Zabudnuté heslo?
Prihlásenie

Blackgear zneužíva pre komunikáciu s riadiacim centrom sociálne siete

Blackgear zneužíva pre komunikáciu s riadiacim centrom sociálne siete
Autor:
Roman Mališka
Zverejnené:
1. 10. 2018
Hodnotenie:
Už ste hlasovali.

Najdômyselnejšia kyberšpionážna kampaň rokov 2008-2010 sa objavila znovu. A opäť v plnej sile využíva možnosti tejto doby. Rovnako ako minule mieria útočníci prevažne na Áziu. Aj napriek tomu je dobré sa jej venovať aj v Európe, pretože môže byť ukážkou toho, ako môžu fungovať novodobé útoky kdekoľvek na svete. Aj hackeri sa nechávajú inšpirovať prácou iných.

Najdômyselnejšia kyberšpionážna kampaň rokov 2008-2010 sa objavila znovu. A opäť v plnej sile využíva možnosti tejto doby. Rovnako ako minule mieria útočníci prevažne na Áziu. Aj napriek tomu je dobré sa jej venovať aj v Európe, pretože môže byť ukážkou toho, ako môžu fungovať novodobé útoky kdekoľvek na svete. Aj hackeri sa nechávajú inšpirovať prácou iných.
História kyberšpionážnej kampane Blackgear, známej pod názvom Topgear alebo Comnie, siaha až do roku 2008. Zameriava sa na organizácie v Japonsku, Južnej Kórei a na Taiwane, a to ako na verejnoprávne organizácie, tak aj na telekomunikačné spoločnosti a ďalšie špičkové technologické odvetvia. V prípade kampane Blackgear stojí za zmienku technológia, ktorá bráni odhaleniu útokov.

Na rozdiel od tradičného prístupu skrývania sa pred bezpečnostnými programami, kedy sú informácie o riadiacom centre obsiahnuté priamo v malware a dané uzly je tak možné ľahko zablokovať. Taktika použitá v Blackgear umožňuje ľahké zmeny podľa aktuálnych potrieb. Kampaň tak môže prebiehať dlhšie a útočníci majú príležitosť viac sa rozšíriť v prostredí obete. Inými slovami získať prístup do väčšej časti počítača, serveru alebo mobilu.

Samotný priebeh útoku začína tým, že škodlivý dokument alebo inštalačný súbor zaslaný e-mailom posúži ako návnada – cieľom je primäť nič netušiacu obeť k tomu, aby taký súbor otvorila či spustila. Po kliknutí na škodlivý súbor dôjde v zložke Temp k vytvoreniu sťahovača Marade a k zväčšeniu jeho veľkosti na viac než 50 MB – vďaka tejto veľkosti ho budú tradičné bezpečnostné riešenia využívajúce sandboxing ignorovať. Marade preverí či je napadnutý systém pripojený k internetu a či je nainštalovaný nejaký antivírový program. Pokiaľ je pripojenie k internetu funkčné a nie je nainštalovaný žiadny antivír, Marade sa pozrie na príspevok na blogu alebo sociálnej sieti, ktorý je pod kontrolou Blackgear a stiahne zašifrované informácie o riadiacom centre.

V opačne prípade Marade použije preddefinovanú konfiguráciu, ktorú má obsiahnutú vo svojom kóde. Šifrované reťazce poslúžia ako tzv. magnet linky (teda odkazy, dokazujúce, že zložka obsahuje to, čo tvrdí), ktoré zabránia tomu, aby antivírové programy škodlivú komunikáciu detegovali. Marade potom tieto reťazce dešifruje a získa informácie o riadiacom centre. Riadiace centrum zašle na počítač obete Protux (program na záznam zvuku) a spustí ho. Ten potom posiela informácie riadiacemu centru.

Bez práce nie sú koláče, a to platí aj pre hackerov

 

Veľmi dôležitý je proaktívny prístup. Schopnosť dlhodobého prežitia Blackgearu vychádza z mechanizmov, ktoré mu umožňujú vyhnúť sa tradičným bezpečnostným riešeniam. Konkrétnym príkladom je aj to, že Blackgear využíva v rámci každého útoku dve štádia – prvá fáza „iba“ získava informácie a robí prieskum napadnutého systému a potenciálna obeť nemusí v tomto okamžiku vôbec nič zistiť. Pozornosť (a reakciu technických obranných prostriedkov) nemusí v prípade následnej infekcie vyvolať ani stiahnutie informácií potrebných pre komunikáciu s riadiacim centrom – sú predsa uložené na blogoch alebo príspevkoch na sociálnych sieťach.

Riešenie už ale existuje. „Používame hĺbkovú analýzu a proaktívne reakcie voči ukrývajúcemu sa malvéru i cieleným útokom. Dôležité tiež je, že všetky tieto mechanizmy ochrany fungujú v reálnom čase. Ide o riešenie, ktoré organizáciám poskytuje komplexnú ochranu pred cielenými útokmi i pokročilými hrozbami a využíva k tomu špecializované techniky vrátane prispôsobiteľného sandboxingu a koreláciu informácií naprieč celým životným cyklom útoku,“ uviedla Pavlína Volková, Regional Account Manager zo spoločnosti Trend Micro.

Útoky Blackgear úplne jasne potvrdzujú, že organizácie musia definovať nasadiť bezpečnostné opatrenia, ktoré im na hrozby umožnia reagovať proaktívne. Napríklad rozsiahle využívanie techník pre aktívne odhaľovanie hrozieb v jednotlivých spoločnostiach a zároveň pomáha preveriť identifikátory útoky a zistiť, či je bezpečnostný incident ojedinelý alebo súčasťou väčšej kampane. Vďaka lepšej vizibilite vlastného prostredia majú organizácie k dispozícii podrobnejšie informácie o hrozbách v širšom kontexte a môžu útokom lepšie porozumieť. Môžu odhaliť aké bezpečnostné zraniteľnosti útoky zneužívajú, či prebiehajú na rôznych frontoch alebo či sa už malvéru podarilo v sieti sa rozšíriť.

Ilustračné foto (Zdroj: Pixabay).

(Zdroj: Trend Micro)