Усъвършенстван щам на зловреден софтуер, маскиран като миньор за криптовалута, успява да се скрие от радарите в продължение на повече от пет години, като в този процес заразява не по-малко от един милион устройства по света.
Това сочат констатациите на Kaspersky, която е дала кодово име на заплахата StripedFly, описвайки я като „сложна модулна рамка, която поддържа както Linux, така и Windows“.
Руският доставчик на киберсигурност, който за първи път открива образците през 2017 г., заяви, че миньорът е част от много по-голяма структура, която използва персонализиран експлойт EternalBlue SMBv1, приписван на Equation Group, за да проникне в публично достъпни системи.
Зловредният шелкод, доставен чрез експлойта, има способността да изтегля двоични файлове от отдалечено хранилище Bitbucket, както и да изпълнява скриптове PowerShell. Той също така поддържа колекция от разширяеми функции, подобни на плъгини, за събиране на чувствителни данни и дори за самоинсталиране.
Шел кодът на платформата е инжектиран в процеса wininit.exe – легитимен процес на Windows, който се стартира от мениджъра за зареждане (BOOTMGR) и обработва инициализирането на различни услуги.
„Самият полезен товар на зловредния софтуер е структуриран като монолитен двоичен изпълним код, проектиран да поддържа модули за включване с цел разширяване или актуализиране на функционалността му“, казват изследователите по сигурността Сергей Белов, Вилен Камалов и Сергей Ложкин в технически доклад, публикуван миналата седмица.
„Той е оборудван с вграден мрежов тунел TOR за комуникация с командните сървъри, както и с функционалност за актуализиране и доставка чрез надеждни услуги като GitLab, GitHub и Bitbucket, като всички те използват персонализирани криптирани архиви.“
Други забележителни шпионски модули му позволяват да събира идентификационни данни на всеки два часа, да заснема скрийншоти на устройството на жертвата, без да бъде открит, да записва входа на микрофона и да стартира обратен прокси сървър за изпълнение на отдалечени действия.
След като получи успешна опора, зловредният софтуер пристъпва към деактивиране на протокола SMBv1 на заразения хост и разпространява зловредния софтуер на други машини с помощта на модул за червеене както чрез SMB, така и чрез SSH, като използва ключове, събрани в хакнатите системи.
StripedFly постига устойчивост чрез модифициране на регистъра на Windows или чрез създаване на записи в графика на задачите, ако е инсталиран интерпретаторът PowerShell и е наличен административен достъп. В Linux постоянството се постига чрез потребителска услуга systemd, автоматично стартиран файл .desktop или чрез модифициране на файлове /etc/rc*, profile, bashrc или inittab.
Изтеглена е и миньорска програма за криптовалута Monero, която използва DNS over HTTPS (DoH) заявки за разрешаване на сървърите на пула, добавяйки допълнително ниво на скритост към злонамерените дейности. Оценено е, че миньорът се използва като примамка, за да се попречи на софтуера за сигурност да открие пълната степен на възможностите на зловредния софтуер.
В стремежа си да се сведе до минимум отпечатъкът, компонентите на зловредния софтуер, които могат да бъдат разтоварени, се хостват като криптирани двоични файлове в различни услуги за хостинг на хранилища за код, като Bitbucket, GitHub или GitLab.
Например хранилището в Bitbucket, управлявано от автора на заплахата от юни 2018 г., включва изпълними файлове, способни да обслужват първоначалния полезен товар на инфекцията както в Windows, така и в Linux, да проверяват за нови актуализации и в крайна сметка да актуализират зловредния софтуер.
Комуникацията със сървъра за командване и управление (C2), който е разположен в мрежата TOR, се осъществява с помощта на персонализирана, олекотена реализация на клиент TOR, която не се основава на никакви публично документирани методи.
„Нивото на отдаденост, демонстрирано от тази функционалност, е забележително“, казват изследователите. „Целта да се скрие сървърът C2 на всяка цена е довела до разработването на уникален и отнемащ много време проект – създаването на собствен TOR клиент.“
Друга поразителна характеристика е, че тези хранилища действат като резервни механизми за изтегляне на файловете за актуализация от зловредния софтуер, когато основният му източник (т.е. C2 сървърът) не реагира.
Kaspersky съобщи, че освен това е разкрила семейство рансъмуер, наречено ThunderCrypt, което има значително припокриване на изходния код със StripedFly, като се изключи липсата на модул за заразяване с SMBv1. Твърди се, че ThunderCrypt е бил използван срещу цели в Тайван през 2017 г.
Понастоящем произходът на StripedFly остава неизвестен, въпреки че сложността на рамката и нейните паралели с EternalBlue показват всички отличителни белези на напреднала постоянна заплаха (APT).
Струва си да се отбележи, че макар изтичането на експлойта EternalBlue от Shadow Brokers да е станало на 14 април 2017 г., най-ранната идентифицирана версия на StripedFly, включваща EternalBlue, датира година назад – от 9 април 2016 г. След изтичането на информация експлойтът EternalBlue беше използван от севернокорейски и руски хакерски организации за разпространение на зловредните програми WannaCry и Petya.
При това има и доказателства, че китайски хакерски групи може да са имали достъп до някои от експлойтите на Equation Group преди те да изтекат онлайн, както беше разкрито от Check Point през февруари 2021 г.
Сходството със зловредния софтуер, свързан с Equation Group, според Kaspersky, се изразява и в стила на кодиране и практиките, наподобяващи тези, наблюдавани в STRAITBIZARRE (SBZ), друга платформа за кибершпионаж, притежавана от предполагаемия противников колектив, свързан със САЩ.
Разработката идва близо две години след като изследователи от китайската лаборатория Pangu Lab описаха подробно „първокласна“ задна врата, наречена Bvp47, за която се твърди, че е била използвана от Equation Group за повече от 287 цели, обхващащи множество сектори в 45 държави.
Излишно е да казваме, че ключов аспект на кампанията, който продължава да бъде загадка – освен за тези, които са създали зловредния софтуер – е нейната истинска цел.
„Макар че рансъмуерът ThunderCrypt предполага търговски мотив за авторите му, това повдига въпроса защо вместо това те не са избрали потенциално по-доходоносния път“, казват изследователите.
„Трудно е да се приеме идеята, че такъв сложен и професионално разработен зловреден софтуер би служил на толкова тривиална цел, като се имат предвид всички доказателства за обратното.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.