MKD-CIRT National Centre for Computer Incident Response
Напреден вид на малициозен софтвер кој се маскира како рудар за криптовалути успеа да го надмине радарот повеќе од пет години, заразувајќи не помалку од еден милион уреди ширум светот во тој процес.
Тоа е според наодите од Kaspersky, кој ја нарекол заканата StripedFly , опишувајќи ја како „сложена модуларна рамка која поддржува и Linux и Windows“.
Рускиот продавач на сајбер-безбедност, кој прв ги откри примероците во 2017 година, рече дека рударот е дел од многу поголем ентитет кој користи приспособена експлоатација на EternalBlue SMBv1 припишан на Equation Group со цел да се инфилтрира во јавно достапни системи.
Злонамерниот shellcode, испорачан преку експлоатот, има можност да презема бинарни датотеки од оддалеченото складиште на Bitbucket, како и да извршува PowerShell скрипти. Исто така, поддржува збирка проширливи функции слични на приклучоци за собирање чувствителни податоци, па дури и самиот деинсталирање.
Шел-кодот на платформата се инјектира во процесот wininit.exe , легитимен процес на Windows што е започнат од менаџерот за подигање (BOOTMGR) и се справува со иницијализацијата на различни услуги .
„Самиот товар на малициозен софтвер е структуриран како монолитен бинарен извршен код дизајниран да поддржува приклучливи модули за продолжување или ажурирање на неговата функционалност“, велат истражувачите за безбедност Сергеј Белов, Вилен Камалов и Сергеј Ложкин во техничкиот извештај објавен минатата недела .
„Опремен е со вграден TOR мрежен тунел за комуникација со командни сервери, заедно со функционалност за ажурирање и испорака преку доверливи услуги како што се GitLab, GitHub и Bitbucket, а сите користат прилагодени шифрирани архиви.
Други значајни шпионски модули му дозволуваат да собира акредитиви на секои два часа, да снима слики од екранот на уредот на жртвата без откривање, да снима влез на микрофон и да стартува обратен прокси за извршување дејства од далечина.
По стекнување на успешна основа, малициозен софтвер продолжува да го оневозможува протоколот SMBv1 на заразениот домаќин и го пропагира малициозниот софтвер на други машини користејќи модул за црви преку SMB и SSH, користејќи клучеви собрани на хакираните системи.
StripedFly постигнува упорност или со менување на регистарот на Windows или со креирање записи за распоредувачот на задачи доколку е инсталиран преведувачот PowerShell и е достапен административен пристап. На Linux, упорноста се постигнува со помош на системска корисничка услуга, автоматски стартувана .desktop датотека или со менување на датотеките /etc/rc*, профил, bashrc или inittab.
Преземен е и рудар за криптовалути Monero кој користи DNS преку барањата HTTPS ( DoH ) за да ги реши серверите на базенот, додавајќи дополнителен слој на скришум на злонамерните активности. Оценето е дека рударот се користи како мамка за да се спречи безбедносниот софтвер да го открие целосниот обем на можностите на малициозниот софтвер.
Во обид да се минимизира отпечатокот, компонентите на малициозен софтвер што може да се симнат се хостираат како шифрирани бинарни датотеки на различни услуги за хостирање на складиштето за кодови, како што се Bitbucket, GitHub или GitLab.
На пример, складиштето Bitbucket управувано од актерот за закани од јуни 2018 година вклучува извршни датотеки способни да го опслужуваат иницијалното оптоварување за инфекција и на Windows и на Linux, проверувајќи нови ажурирања и на крајот ажурирање на малициозен софтвер.
Комуникацијата со серверот за команда и контрола (C2), кој е хостиран во мрежата TOR, се одвива со прилагодена, лесна имплементација на клиентот TOR што не се заснова на какви било јавно документирани методи.
„Нивото на посветеност покажано со оваа функционалност е извонредно“, велат истражувачите. „Целта по секоја цена да се скрие серверот C2 го поттикна развојот на уникатен и одземаат многу време проект – создавање на сопствен TOR клиент“.
Друга впечатлива карактеристика е тоа што овие складишта дејствуваат како резервни механизми за малициозен софтвер за преземање на датотеките за ажурирање кога неговиот примарен извор (т.е. C2 серверот) не реагира.
Kaspersky рече дека дополнително открил семејство на откупни софтвери наречено ThunderCrypt што споделува значителни изворни кодови кои се преклопуваат со StripedFly, со забрана за отсуство на модулот за инфекција SMBv1. ThunderCrypt се вели дека бил користен против цели во Тајван во 2017 година.
Потеклото на StripedFly во моментов останува непознато, иако софистицираноста на рамката и нејзините паралели со EternalBlue ги прикажуваат сите белези на актерот со напредна постојана закана (APT).
Вреди да се истакне дека додека протекувањето на експлоатацијата на EternalBlue од Shadow Brokers се случи на 14 април 2017 година, најраната идентификувана верзија на StripedFly што го вклучува EternalBlue датира една година наназад на 9 април 2016 година. Од протекувањето, експлоатацијата е пренаменет од севернокорејски и руски хакерски тимови за ширење на малициозен софтвер WannaCry и Petya .
Како што рече, има и докази дека кинеските хакерски групи можеби имале пристап до некои од експлоатирањата на Equation Group пред да бидат протечени на интернет, како што беше откриено од Check Point во февруари 2021 година.
Сличностите со малициозниот софтвер поврзан со Equation Group, рече Касперски, се рефлектираат и во стилот на кодирање и практиките што наликуваат на оние што се гледаат во STRAITBIZARRE ( SBZ ), друга платформа за сајбер шпионажа што ја има осомничениот противнички колектив поврзан со САД.
Развојот доаѓа речиси две години откако истражувачите од кинеската лабораторија Пангу детализираа задна врата наречена „ Bvp47 “ од највисока класа, која наводно била употребена од Групацијата „Equation“ на повеќе од 287 цели кои опфаќаат повеќе сектори во 45 земји.
Непотребно е да се каже дека клучниот аспект на кампањата кој продолжува да биде мистерија – освен за оние кои го дизајнирале малициозниот софтвер – е нејзината вистинска цел.
„Иако откупниот софтвер ThunderCrypt сугерира комерцијален мотив за неговите автори, тоа го покренува прашањето зошто наместо тоа не се одлучиле за потенцијално попрофитабилниот пат“, велат истражувачите.
„Тешко е да се прифати идејата дека таков софистициран и професионално дизајниран малициозен софтвер би служел за таква тривијална цел, со оглед на сите докази за спротивното.
Извор: (thehackernews.com)