Logo et.nowadaytechnol.com

Uus Pahavara Kinnitab Kasutaja Tegevust Enne Tagaukse Kasutamist Küber-spionaaži Läbiviimiseks

Sisukord:

Uus Pahavara Kinnitab Kasutaja Tegevust Enne Tagaukse Kasutamist Küber-spionaaži Läbiviimiseks
Uus Pahavara Kinnitab Kasutaja Tegevust Enne Tagaukse Kasutamist Küber-spionaaži Läbiviimiseks

Video: Uus Pahavara Kinnitab Kasutaja Tegevust Enne Tagaukse Kasutamist Küber-spionaaži Läbiviimiseks

Video: Uus Pahavara Kinnitab Kasutaja Tegevust Enne Tagaukse Kasutamist Küber-spionaaži Läbiviimiseks
Video: The War on Drugs Is a Failure 2024, Märts
Anonim
Image
Image

Küberturbeettevõte ESET on avastanud, et teadaolev ja raskesti mõistetav häkkimisrühm on vaikselt juurutanud pahavara, millel on mõned konkreetsed eesmärgid. Pahavara kasutab ära radari alt minevikus edukalt läbi läinud tagaust. Pealegi viib tarkvara läbi huvitavaid teste, tagamaks, et see on suunatud aktiivselt kasutatavale arvutile. Kui pahavara ei tuvasta tegevust või pole sellega rahul, lülitub see lihtsalt välja ja kaob, et säilitada optimaalne vargus ja vältida võimalikku tuvastamist. Uus pahavara otsib osariigi valitsuse masinavärgist olulisi isiksusi. Lihtsamalt öeldes läheb pahavara taga diplomaate ja valitsusministeeriume kogu maailmas

The Ke3chang paistab, et arenenud püsivate ohtude rühm on uue fokuseeritud häkkimise kampaaniaga taas üles tõusnud. Grupp on küber-spionaažikampaaniaid edukalt käivitanud ja juhtinud vähemalt alates 2010. aastast. Grupi tegevus ja ekspluateerimine on üsna tõhus. Koos kavandatud sihtmärkidega näib, et rühma toetab riik. Viimased pahavara tüved, mille Ke3chang rühm on üsna keerukas. Varem juurutatud kaugjuurdepääsuga Trooja hobused ja muu pahavara olid samuti hästi kujundatud. Uus pahavara ületab aga sihitud masinate pimeda või massilise nakatamise. Selle käitumine on hoopis üpris loogiline. Pahavara üritab sihtmärgi ja masina identiteeti kinnitada ja autentida.

ESETi küberturvalisuse teadlased tuvastavad uued rünnakud Ke3changi abil:

Ke3changi arenenud püsivate ohtude rühm, mis on tegutsenud vähemalt 2010. aastast, on samuti identifitseeritud kui APT 15. Populaarne Slovakkia viirusetõrje-, tulemüüri- ja muu küberturbeettevõte ESET on tuvastanud kinnitatud jäljed ja tõendid rühma tegevusest. ESETi teadlased väidavad, et Ke3changi rühm kasutab oma proovitud ja usaldusväärseid tehnikaid. Pahavara on aga oluliselt uuendatud. Pealegi üritab grupp seekord ära kasutada uut tagaust. Varem avastamata ja teatamata tagauks on esialgselt nimetatud Okrumiks.

ESETi teadlased viitasid ka sellele, et nende siseanalüüs näitab, et rühm läheb diplomaatiliste organite ja muude valitsusasutuste taga. Muide, Ke3changi grupp on olnud erakordselt aktiivne keerukate, sihipäraste ja püsivate küber-spionaažikampaaniate läbiviimisel. Traditsiooniliselt käis rühm valitsusametnike ja valitsusega koos töötanud oluliste isikute taga. Nende tegevust on täheldatud riikides üle Euroopa ning Kesk- ja Lõuna-Ameerika.

Uus Okrumi pahavara, mida Ke3chang Group kasutab diplomaatide sihtimiseks https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO

- Store4app (@ Store4app1) 18. juuli 2019

ESET-i huvi ja fookus püsib jätkuvalt Ke3changi grupi vastu, kuna kontsern on olnud üsna aktiivne ettevõtte kodumaal Slovakkias. Rühma teised populaarsed sihtmärgid on aga Belgia, Horvaatia, Tšehhi Vabariik Euroopas. Rühm on teadaolevalt sihiks võtnud Brasiilia, Tšiili ja Lõuna-Ameerika Guatemalini. Ke3changi grupi tegevus näitab, et tegemist võib olla riigi toetatava häkkerirühmaga, millel on võimas riistvara ja muud tarkvaratööriistad, mis pole tavalistele ega üksikutele häkkeritele kättesaadavad. Seetõttu võivad ka viimased rünnakud olla osa pikaajalisest kestvast luureandmete kogumise kampaaniast, märkis ESETi teadur ZuzanHromcova: "Ründaja peamine eesmärk on tõenäoliselt küberspionaaž, sellepärast valisid nad need sihtmärgid."

Kuidas Ketricani pahavara ja Okrumi tagauks toimivad?

Ketricani pahavara ja Okrumi tagauks on üsna keerukad. Turbeuurijad uurivad endiselt, kuidas tagaukse sihitud masinatele paigaldati või maha visati. Kuigi Okrumi tagaukse levitamine jääb endiselt saladuseks, on selle toimimine veelgi põnevam. Okrumi tagauks teeb mõned tarkvarakatsed, et kinnitada, et see ei tööta liivakastis, mis on sisuliselt turvaline virtuaalne ruum, mida turvauurijad kasutavad pahatahtliku tarkvara käitumise jälgimiseks. Kui laadur ei saa usaldusväärseid tulemusi, lõpetab see avastamise ja edasise analüüsi vältimiseks lihtsalt ise.

Okrumi tagaukse meetod, mis kinnitab, et see töötab reaalses maailmas töötavas arvutis, on samuti üsna huvitav. Laadur või tagauks aktiveerib tee tegeliku kasuliku koormuse saamiseks pärast seda, kui hiire vasakut nuppu on klõpsatud vähemalt kolm korda. Teadlased usuvad, et see kinnituskatse tehakse peamiselt selleks, et tagada tagaukse töö reaalsetes, töötavates masinates, mitte virtuaalsetes masinates või liivakastis.

Kui laadur on rahul, annab Okrumi tagauks kõigepealt endale täielikud administraatoriõigused ja kogub teavet nakatunud masina kohta. Selles on esitatud teave, näiteks arvuti nimi, kasutajanimi, hosti IP-aadress ja installitud operatsioonisüsteem. Seejärel nõuab see täiendavaid tööriistu. Ka uus Ketricani pahavara on üsna keerukas ja sisaldab mitmeid funktsioone. Sellel on isegi sisseehitatud allalaadija ja ka üleslaadija. Üleslaadimismootorit kasutatakse failide vargsi eksportimiseks. Pahavara allalaadimise tööriist võib kutsuda värskendusi ja isegi täita keerukaid shellikäske, et tungida hostimasinasse sügavale.

Chinhasest arvatavalt tegutsev vana kooli varjuküllane pahavararühmitus on sihtinud diplomaate infoseksiooni uurijate sõnul varem dokumentideta tagauksega. Juba aastaid tegutsenud Ke3changi grupp on pikka aega olnud ob …

- register: kokkuvõte (@_TheRegister) 18. juuli 2019

ESETi teadlased olid varem täheldanud, et Okrumi tagauks võib isegi kasutada selliseid täiendavaid tööriistu nagu Mimikatz. See tööriist on sisuliselt varjatud klahviloger. See suudab jälgida ja salvestada klahvivajutusi ning proovida varastada teistele platvormidele või veebisaitidele sisselogimismandaate.

Muide, teadlased on märganud mitmeid sarnasusi Okrumi tagaukse ja pahavara Ketricani käsklustes turvalisuse ületamiseks, kõrgemate privileegide andmiseks ja muudeks ebaseaduslikeks toiminguteks. Nende kahe eksimatu sarnasus on pannud teadlasi uskuma, et need kaks on omavahel tihedalt seotud. Kui see pole piisavalt tugev ühendus, olid mõlemad tarkvarad suunatud samadele ohvritele, märkis Hromcova: „Hakkasime punkte ühendama, kui avastasime, et 2017. aastal koostatud Ketricani tagaukse viskamiseks kasutati Okrumi tagaukse. Lisaks leidis, et mõningaid diplomaatilisi üksusi, mida Okrumi pahavara ja 2015. aasta Ketricani tagauksed mõjutasid, mõjutasid ka 2017. aasta Ketricani tagauksed.”

Ke3changi APT rühm heidab Okrumi tagaukse pommi diplomaatilistele sihtmärkidele https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR

- 420 Cyber, Inc. (@ 420Cyber) 18. juuli 2019

Kaks omavahel seotud pahatahtliku tarkvara tükki, mille vahel on aastad, ja Ke3changi edasijõudnud püsivate ohtude rühma püsivad tegevused näitavad, et rühm on püsinud küberspionaaži suhtes lojaalsena. ESET on enesekindel, grupp on oma taktikat täiustanud ning rünnakute olemus on järjest keerukam ja tõhusam. Küberturvalisuse rühm on juba pikemat aega krooninud grupi ekspluateerimisi ja pidanud üksikasjalikku analüüsiaruannet.

Üsna hiljuti teatasime, kuidas häkkimisrühm oli loobunud oma muudest ebaseaduslikest veebitegevustest ja hakanud keskenduma küberspionaažile. On üsna tõenäoline, et häkkimisrühmad võivad selles tegevuses leida paremaid väljavaateid ja hüvesid. Riigi toetatavate rünnakute korral on ka petturid võimelised salaja rühmitusi toetama ja neile väärtuslike riigisaladuste vahetamiseks armu pakkuma.

Soovitan: