Ny malware bekræfter brugeraktivitet inden udnyttelse af bagdøren til at udføre cyberspionage
Cybersikkerhedsfirmaet ESET har opdaget, at en kendt og undvigende hackinggruppe stille og roligt har implementeret en malware, der har nogle specifikke mål. Malware udnytter en bagdør, der har passeret under radaren med succes tidligere. Desuden udfører softwaren nogle interessante test for at sikre, at den er målrettet mod en aktivt brugt computer. Hvis malware ikke registrerer aktivitet eller ikke er tilfreds, lukker den simpelthen ned og forsvinder for at opretholde optimal stealth og undgå mulig afsløring. Den nye malware leder efter vigtige personligheder inden for statens offentlige maskiner. Kort sagt går malware efter diplomater og offentlige afdelinger rundt om i verden
Det Ke3chang Avanceret vedvarende trusselsgruppe ser ud til at være kommet igen med en ny fokuseret hackingkampagne. Gruppen har med succes lanceret og styret cyberspionagekampagner siden mindst 2010. Gruppens aktiviteter og udnyttelser er ret effektive. Kombineret med de tilsigtede mål ser det ud til, at gruppen bliver sponsoreret af en nation. Den seneste stamme af malware implementeret af Ke3chang gruppen er ret sofistikeret. Tidligere indsatte fjernadgangstrojans og anden malware var også godt designet. Imidlertid går den nye malware ud over blind eller masseinfektion af de målrettede maskiner. I stedet er dens opførsel ret logisk. Malwaren forsøger at bekræfte og godkende identiteten af målet og maskinen.
Cybersikkerhedsforskere på ESET identificerer nye angreb ved Ke3chang:
Ke3changs avancerede vedvarende trusselgruppe, der har været aktiv siden mindst 2010, identificeres også som APT 15. Det populære slovakiske antivirus-, firewall- og andet cybersikkerhedsfirma ESET har identificeret bekræftede spor og beviser for gruppens aktiviteter. ESET-forskere hævder, at Ke3chang-gruppen bruger sine afprøvede og pålidelige teknikker. Imidlertid er malware blevet opdateret betydeligt. Desuden forsøger gruppen denne gang at udnytte en ny bagdør. Den tidligere uopdagede og urapporterede bagdør kaldes foreløbigt Okrum.
ESET-forskere oplyste endvidere, at deres interne analyse indikerer, at gruppen går efter diplomatiske organer og andre offentlige institutioner. I øvrigt har Ke3chang-gruppen været usædvanligt aktiv i at gennemføre sofistikerede, målrettede og vedholdende cyberspionagekampagner. Traditionelt gik gruppen efter embedsmænd og vigtige personligheder, der arbejdede med regeringen. Deres aktiviteter er blevet observeret i lande i hele Europa og Central- og Sydamerika.
ESETs interesse og fokus forbliver fortsat på Ke3chang-koncernen, fordi gruppen har været ret aktiv i virksomhedens hjemland, Slovakiet. Imidlertid er andre populære mål for gruppen Belgien, Kroatien, Tjekkiet i Europa. Gruppen vides at have målrettet mod Brasilien, Chile og Guatemala i Sydamerika. Ke3chang-gruppens aktiviteter indikerer, at det kan være en statsstøttet hackegruppe med kraftig hardware og andre softwareværktøjer, der ikke er tilgængelige for almindelige eller individuelle hackere. Derfor kunne de seneste angreb også være en del af en langvarig vedvarende kampagne for at indsamle efterretning, bemærkede Zuzana Hromcova, en forsker ved ESET, "Angriberens hovedmål er sandsynligvis cyberspionage, det er derfor, de valgte disse mål."
Hvordan fungerer Ketrican Malware og Okrum Backdoor?
Ketrican-malware og Okrum bagdør er ret sofistikerede. Sikkerhedsforskere undersøger stadig, hvordan bagdøren blev installeret eller droppet på de målrettede maskiner. Mens distributionen af Okrum bagdøren fortsat forbliver et mysterium, er dens drift endnu mere fascinerende. Okrum bagdøren udfører nogle softwaretests for at bekræfte, at den ikke kører i en sandkasse, hvilket i det væsentlige er et sikkert virtuelt rum, som sikkerhedsforskere bruger til at observere opførsel af ondsindet software. Hvis læsseren ikke får pålidelige resultater, afslutter den simpelthen sig selv for at undgå detektion og yderligere analyse.
Okrum bagdørens metode til at bekræfte, at den kører på en computer, der arbejder i den virkelige verden, er også ret interessant. Læsseren eller bagdøren aktiverer stien for at modtage den faktiske nyttelast, efter at der er klikket på venstre museknap mindst tre gange. Forskere mener, at denne bekræftende test primært udføres for at sikre, at bagdøren fungerer på ægte, fungerende maskiner og ikke virtuelle maskiner eller sandkasser.
Når læsseren er tilfreds, giver Okrum-bagdøren først fuld administratorrettigheder og indsamler oplysninger om den inficerede maskine. Den indeholder oplysninger som computernavn, brugernavn, værts-IP-adresse og hvilket operativsystem der er installeret. Derefter kræver det yderligere værktøjer. Den nye Ketrican-malware er også ret sofistikeret og indeholder flere funktioner. Det har endda en indbygget downloader såvel som en uploader. Uploadmotoren bruges til snigende eksport af filer. Downloaderværktøjet inden for malware kan kræve opdateringer og endda udføre komplekse shell-kommandoer for at trænge dybt ind i værtsmaskinen.
ESET-forskere havde tidligere observeret, at Okrum-bagdøren endda kunne implementere yderligere værktøjer som Mimikatz. Dette værktøj er i det væsentlige en stealth keylogger. Det kan observere og registrere tastetryk og forsøge at stjæle loginoplysninger til andre platforme eller websteder.
I øvrigt har forskere bemærket flere ligheder i kommandoerne, som Okrum bagdør og Ketrican malware bruger til at omgå sikkerhed, give forhøjede privilegier og udføre andre ulovlige aktiviteter. Den umiskendelige lighed mellem de to har fået forskerne til at tro, at de to er tæt beslægtede. Hvis det ikke er en stærk nok tilknytning, havde begge softwaren rettet mod de samme ofre, bemærkede Hromcova, ”Vi begyndte at forbinde prikkerne, da vi opdagede, at Okrum-bagdøren blev brugt til at droppe en Ketrican-bagdør, der blev samlet i 2017. Oven i købet , fandt vi ud af, at nogle diplomatiske enheder, der var påvirket af Okrum-malware og Ketrican-bagdørene i 2015, også blev påvirket af Ketrican-bagdørene i 2017. ”
De to relaterede stykker af ondsindet software, der er adskilt med flere år, og de vedvarende aktiviteter fra Ke3changs avancerede vedvarende trusselsgruppe indikerer, at gruppen har været loyal over for cyberspionage. ESET er overbevist om, at gruppen har forbedret sin taktik, og angrebernes art er vokset i sofistikering og effektivitet. Gruppen til cybersikkerhed har i lang tid krønikeret gruppens bedrifter og har opretholdt en detaljeret analyserapport.
For nylig rapporterede vi om, hvordan en hackinggruppe havde forladt sine andre ulovlige online aktiviteter og begyndte at fokusere på cyberspionage. Det er meget sandsynligt, at hackinggrupper kan finde bedre udsigter og belønninger i denne aktivitet. Med statsstøttede angreb i stigende grad kan skurkagtige regeringer også i hemmelighed støtte grupperne og tilbyde dem en tilgivelse i udveksling af værdifulde statshemmeligheder.