Magyar célpontjai is vannak az összeurópai kibertámadásnak
Több ország mellett Magyarországot is érintő informatikai támadást leplezett le a BME CrySyS laboratóriuma és a Kaspersky. A szakértők szerint a felhasznált módszer újszerű, különleges, a felhasznált kártevő pedig friss, csupán néhány napja készült - valószínűleg még idejekorán sikerült lefülelni.
Támadás kormányzati és emberi jogi szervek ellen
Európa-szerte több országban is sikeresen intéztek informatikai támadásokat kormányzati intézmények, társadalmi szervezetek és privát cégek ellen az Acrobat és a Reader nemrég befoltozott kritikus, távoli kódfuttatásra alkalmas sebezhetőségét használva, jelentette be ma a BME Adat- és Rendszerbiztonság Laboratórium (CrySyS), amely a Kasperskyvel közösen tárta fel és elemezte a kártevőt.
Az eddig feltárt információk szerint a támadók a 0-day sérülékenységet egy emberi jogi konferenciával kapcsolatos levélnek, illetve az ukrán NATO-csatlakozással összefüggő terveknek álcázott PDF állományokkal használták ki, amelyen keresztül aztán backdoort telepítettek az áldozatok gépeire. A kiadott elemzés szerint ezek között cseh, román, ír, luxemburgi, belga, magyar és portugál kormányzati intézmények, minisztériumok, társadalmi szervezetek és privát cégek is voltak - a támadás célpontjává vált szervezetek kilétét nem hozták nyilvánosságra. Szinte minden célpont egyedi mintázatú malware-t kapott, ami nehézzé teszi az azonosításukat.
Adobe sebezhetőséget használtak
“Pár héttel ezelőtt a FireEye nevű cég egy olyan malware-t tárt fel, amelyik képes PDF fájlon keresztül megfertőzni gépeket a legfrissebb Acrobat Readerrel is” - mondta a HWSW-nek Bencsáth Boldizsár, a BME CrySyS labor szakértője. “Ehhez nem tudjuk, mennyire kapcsolódóan, de egy másik célzott támadássorozatot fedeztünk fel, amelyik magyar célpontokat is támadott, legalább négyet. Később tovább vizsgálódtunk és kiderült, hogy több tucat áldozat van” A CrSyS a kártevőt MiniDuke-nak nevezte el, mivel egyes komponensei hasonlítottak a szintén a BME által részletesen dokumentált Duquhoz (amit valószínűleg a Stuxnet szerzői készítettek).
A Kaspersky és a CrySyS közös kutatása szerint a kártevő számos forrásból képes parancsot fogadni, amelyek ráadásul rendkívül nehezen szűrhetőek. Az aktivált, futó kártevő először Twitterre néz ki, ahol néhány előre meghatározott felhasználó üzeneteit vizsgálja kódolt parancsok után, ezt visszafejtve kapja meg a parancskiszolgálót. A malware tartalmaz megoldást arra az esetre is, ha a Twittert nem tudja elérni, ekkor egy specifikus karaktersorra végez Google-keresést, ennek eredményeképp pedig szintén a központi szerver címét várja.
A megvizsgált esetekben teljesen normális, ám elavult infrastruktúrát használó, feltört weboldalak töltötték be a parancs- és irányítószerver szerepét, ezeken futott a megfelelő PHP-script, amely az utasításokat egy preparált GIF-fájl formájában szolgálja ki. A kép egyébként az RSS hagyományos narancssárga ikonja, ebben rejtezik a malware egy pluginja, amelyet letöltés után saját maga mellé telepít. A vizsgált esetben ez a plugin is assemblyben íródott, futtatásához pedig RunDLL-t hívja meg a kártevő.
A vizsgálat alatt a támadók aktiválták a rendszer harmadik fázisát, ebben egy nagyobb, mintegy 300 kilobájtos kártevő letöltését bízták a backdoor-elemre. A kutatás szerint ez az állomány erős obfuszkációt (kódzavarást) és tömörítést kapott, részben az aktív védelem, részben a későbbi felderítés kijátszására. Az adatok szerint ez a modul fájlmásolást, átmozgatást, törlést, mappák létrehozását, folyamatok megszüntetését illetve további modulok letöltését és futtatását támogatja.
Ez csak az első lépés lehetett
A CrySyS akkor szerzett tudomást a kártevőről, amikor egy magyar szerveztnél a PDF-ek megnyitásakor memóriahibával elszállt az Adobe Reader, ezt követően az állományokat a VirusTotalon ellenőrizték, ekkor derülhetett ki, hogy a 0-day sebezhetőséget kihasználó támadásról van szó - tudta meg a HWSW Bencsáth Boldizsártól. Egyelőre négy magyar szervezet érintettségéről lehet tudni, köztük lehet egy minisztérium és két emberi jogi szervezet is.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
Bencsáth spekulációja szerint a támadó a javítatlan sebezhetőséget kihasználva először a lehető legtöbb helyre el szerették volna juttatni a backdoort, amelyen keresztül később hatoltak volna be az érintett rendszerekbe, hogy onnan például adatokat lopjanak. Ezek a támadások rendkívül kifinomultak, a támadók ilyenkor a backdooron keresztül behatolva szinte kézzel fésülik át a szervezetek gépeit ellopható információk és további megfertőzhető rendszerek után kutatva.
“Több fázisa van a támadásnak, és vélhetően most az áldozatok többsége még az
egyik első fázisban van, amikor a malware további parancsra vár, például. egy nagyobb modul letöltésére, aminek segítségével már tudnak adatokat lopni is” - mondta a CrSyS szakértője “Ezért nagyon jó, hogy sikerült időben felfedezni a dolgot, mert talán megakadályozható, hogy a támadó elérje célját - amely biztos fontos, ha minisztériumokat, parlamenteket támadott meg.”
A BME CrySyS labor a felfedezéséről értesítette a magyar hatóságokat, a CERT-et és a nemzetközi érintettség miatt a NATO-t is. A MiniDuke kártevőről tovább részletek a CrySyS blogjában és a Kaspersky által publikált dokumentumban olvashatók.