Antivirus ESET opdager angribere, der udnyttede nylige dags OS-sårbarhed i Windows OS til at udføre cyberspionage
Producenter af populært antivirus- og digital sikkerhedssoftware ESET har opdaget de angribere, der udnyttede en nylig Windows OS-nul-dags sårbarhed. Hackegruppen bag angrebet menes at udføre cyberspionage. Interessant nok er dette ikke et typisk mål eller en metode for gruppen, der går under navnet 'Buhtrap', og derfor viser udnyttelsen stærkt, at gruppen muligvis har drejet.
Den slovakiske antivirusproducent ESET har bekræftet, at en hackergruppe kendt som Buhtrap står bag en nylig Windows OS-nul-dags sårbarhed, der blev udnyttet i naturen. Opdagelsen er ret interessant og bekymrende, fordi gruppens aktiviteter blev begrænset alvorligt for et par år tilbage, da dets kernesoftwarekodebase blev lækket online. Angrebet brugte en netop rettet Windows OS-nul-dags sårbarhed efter sigende til at udføre cyberspionage. Dette er bestemt en angående ny udvikling, primært fordi Buhtrap aldrig viste interesse for at udtrække information. Gruppens primære aktiviteter involverede stjæling af penge. Tilbage, da det var meget aktivt, var Buhtrap's primære mål finansielle institutioner og deres servere. Gruppen brugte sin egen software og koder til at kompromittere bankernes eller dens kunders sikkerhed for at stjæle penge.
I øvrigt har Microsoft netop udstedt en patch til at blokere nul-dages Windows OS-sårbarhed. Virksomheden havde identificeret fejlen og tagget den CVE-2019-1132. Patchen var en del af juli 2019 Patch Tuesday-pakke.
Buhtrap drejer til cyber-spionage:
Udviklerne af ESET har bekræftet inddragelsen af Buhtrap. Desuden har antivirusproducenten endda tilføjet, at gruppen var involveret i at udføre cyberspionage. Dette strider fuldstændigt imod Buhtrap's tidligere udnyttelser. I øvrigt er ESET opmærksom på gruppens seneste aktiviteter, men har ikke afsløret gruppens mål.
Interessant nok har flere sikkerhedsagenturer gentagne gange angivet, at Buhtrap ikke er et almindeligt statsstøttet hacker-outfit. Sikkerhedsforskere er overbeviste om, at gruppen hovedsageligt opererer fra Rusland. Det sammenlignes ofte med andre fokuserede hackinggrupper som Turla, Fancy Bears, APT33 og Equation Group. Der er dog en afgørende forskel mellem Buhtrap og andre. Gruppen sjældent overflader eller tager ansvar for sine angreb åbent. Desuden har dets primære mål altid været finansielle institutioner, og gruppen gik efter penge i stedet for information.
Buhtrap dukkede først op i 2014. Gruppen blev kendt efter at have fulgt mange russiske virksomheder. Disse virksomheder var ret små i størrelse, og derfor tilbød ikke heistene mange lukrative afkast. Stadig, når de opnåede succes, begyndte gruppen at målrette mod større finansielle institutioner. Buhtrap begyndte at gå efter relativt velbevogtede og digitalt sikrede russiske banker. En rapport fra Group-IB viser, at Buhtrap-gruppen formåede at slippe væk med mere end $ 25 millioner. I alt ramte gruppen med succes over 13 russiske banker, hævdede sikkerhedsfirmaet Symantec. Interessant nok blev de fleste af de digitale heists succesfuldt udført mellem august 2015 og februar 2016. Med andre ord formåede Buhtrap at udnytte omkring to russiske banker om måneden.
Buhtrap-gruppens aktiviteter ophørte pludselig efter deres egen Buhtrap bagdør, en genialt udviklet kombination af softwareværktøjer dukket online. Rapporter viser, at nogle få medlemmer af gruppen selv har lækket softwaren. Mens gruppens aktiviteter stoppede brat, fik adgang til det kraftfulde sæt softwareværktøjer flere mindre hackinggrupper til at blomstre. Ved hjælp af den allerede perfektionerede software begyndte mange små grupper at gennemføre deres angreb. Den største ulempe var det store antal angreb, der fandt sted ved hjælp af Buhtrap bagdøren.
Siden lækagen af Buhtrap bagdøren drejede gruppen aktivt om at gennemføre cyberangreb med en helt anden hensigt. ESET-forskere hævder dog, at de har set gruppeskiftetaktikken siden langt tilbage i december 2015. Tilsyneladende begyndte gruppen at målrette mod regeringsorganer og institutioner, bemærkede ESET, ”Det er altid svært at tilskrive en kampagne til en bestemt aktør, når deres værktøjer er 'kildekode er frit tilgængelig på nettet. Men da skiftet i mål opstod inden kildekodelækagen, vurderer vi med stor tillid, at de samme mennesker bag de første Buhtrap-malwareangreb mod virksomheder og banker også er involveret i at målrette statslige institutioner. ”
ESET-forskere var i stand til at kræve Buhtrap's hånd i disse angreb, fordi de var i stand til at identificere mønstre og opdagede flere ligheder i den måde, angreb blev udført på. "Selvom nye værktøjer er blevet føjet til deres arsenal, og opdateringer anvendt på ældre, har taktikken, teknikkerne og procedurerne (TTP), der er brugt i de forskellige Buhtrap-kampagner, ikke ændret sig dramatisk i alle disse år."
Buhtrap Brug et Windows OS-nul-dags sårbarhed, der kan købes på det mørke web?
Det er interessant at bemærke, at Buhtrap-gruppen brugte sårbarhed i Windows-operativsystemet, der var ret frisk. Med andre ord indsatte gruppen en sikkerhedsfejl, der normalt er mærket "zero-day". Disse mangler er normalt ikke pakket og ikke let tilgængelige. I øvrigt har gruppen brugt sikkerhedssårbarheder i Windows OS før. Imidlertid har de typisk påberåbt sig andre hacker-grupper. Desuden havde de fleste udnyttelser patches, der blev udstedt af Microsoft. Det er meget sandsynligt, at gruppen kørte søgninger på udkig efter ikke-patchede Windows-maskiner til at infiltrere.
Dette er den første kendte forekomst, hvor Buhtrap-operatører brugte en upatchet sårbarhed. Med andre ord brugte gruppen ægte nul-dags sårbarhed i Windows OS. Da gruppen åbenbart manglede den nødvendige færdighed til at opdage sikkerhedsfejlene, mener forskere stærkt, at gruppen muligvis har købt det samme. Costin Raiu, der leder det globale forsknings- og analyseteam hos Kaspersky, mener, at nul-dages sårbarhed i det væsentlige er en "forhøjelse af privilegium" -fejl, der sælges af en udnyttelsesmægler kendt som Volodya. Denne gruppe har en historie, der sælger nul-dags udnyttelse til både cyberkriminalitet og nationalstat grupper.
Der er rygter, der hævder, at Buhtrap's omdrejningspunkt for cyberspionage kunne have været styret af russisk efterretningstjeneste. Selvom den ikke er underbygget, kunne teorien være korrekt. Det kan være muligt, at den russiske efterretningstjeneste rekrutterede Buhtrap til at spionere efter dem. Pivoten kunne være en del af en aftale om at tilgive gruppens tidligere overtrædelser i stedet for følsomme virksomheds- eller regeringsdata. Ruslands efterretningsafdeling har været antaget at have orkestreret sådan storskala gennem tredjeparts hacking-grupper tidligere. Sikkerhedsforskere har hævdet, at Rusland regelmæssigt men uformelt rekrutterer talentfulde personer til at forsøge at trænge ind i sikkerheden i andre lande.
Interessant nok blev Buhtrap tilbage i 2015 antaget at have været involveret i cyberspionage-operationer mod regeringer. Regeringer i Østeuropa og Centralasien har rutinemæssigt hævdet, at russiske hackere ved flere lejligheder har forsøgt at trænge ind i deres sikkerhed.