LABSCON – Scottsdale, Ariz. – En ny trusselsaktør, der har inficeret et telekommunikationsselskab i Mellemøsten og adskillige internetudbydere og universiteter i Mellemøsten og Afrika, er ansvarlig for to "ekstremt komplekse" malware-platforme - men meget om gruppe, der forbliver indhyllet i mystik, ifølge ny forskning afsløret her i dag.
Forskere fra SentintelLabs, som delte deres resultater på den første LabsCon-sikkerhedskonference nogensinde, navngav gruppen Metador, baseret på sætningen "I am meta", der optræder i den ondsindede kode, og det faktum, at servermeddelelserne typisk er på spansk. Gruppen menes at have været aktiv siden december 2020, men den har med succes fløjet under radaren i løbet af de sidste par år. Juan Andrés Guerrero-Saade, seniordirektør for SentinelLabs, sagde, at holdet delte oplysninger om Metador med forskere hos andre sikkerhedsfirmaer og regeringspartnere, men ingen vidste noget om gruppen.
Guerrero-Saade og SentinelLabs forskere Amitai Ben Shushan Ehrlich og Aleksandar Milenkoski offentliggjorde en blogindlæg , tekniske detaljer om de to malware-platforme, metaMain og Mafalda, i håb om at finde flere ofre, der er blevet inficeret. "Vi vidste, hvor de var, ikke hvor de er nu," sagde Guerrero-Saade.
MetaMain er en bagdør, der kan logge mus- og tastaturaktivitet, tage skærmbilleder og eksfiltrere data og filer. Det kan også bruges til at installere Mafalda, en meget modulær ramme, der giver angribere mulighed for at indsamle system- og netværksoplysninger og andre yderligere funktioner. Både metaMain og Mafalda fungerer udelukkende i hukommelsen og installerer ikke sig selv på systemets harddisk.
Politisk tegneserie
Malwarens navn menes at være inspireret af Mafalda, en populær spansksproget tegneserie fra Argentina, der jævnligt kommenterer politiske emner.
Metador konfigurerede unikke IP-adresser for hvert offer, hvilket sikrer, at selvom en kommando og kontrol afsløres, forbliver resten af infrastrukturen operationel. Dette gør det også ekstremt svært at finde andre ofre. Det er ofte sådan, at når forskere afslører angrebsinfrastruktur, finder de information, der tilhører flere ofre - hvilket hjælper med at kortlægge omfanget af gruppens aktiviteter. Fordi Metador holder sine målkampagner adskilt, har forskerne kun et begrænset overblik over Metadors operationer og hvilke slags ofre gruppen retter sig mod.
Hvad gruppen dog ikke synes at have noget imod, er at blande sig med andre angrebsgrupper. Det mellemøstlige telekommunikationsselskab, der var et af Metadors ofre, var allerede kompromitteret af mindst 10 andre nationalstats-angrebsgrupper, fandt forskerne. Mange af de andre grupper så ud til at være tilknyttet Kina og Iran.
Flere trusselsgrupper, der retter sig mod det samme system, omtales nogle gange som en "magnet af trusler", da de tiltrækker og hoster de forskellige grupper og malwareplatforme samtidigt. Mange nationalstatsaktører tager sig tid til at fjerne spor af infektion fra andre grupper, selv går så langt som at lappe de fejl, de andre grupper brugte, før de udfører deres egne angrebsaktiviteter. Det faktum, at Metador inficerede malware på et system, der allerede er kompromitteret (gentagne gange) af andre grupper, tyder på, at gruppen er ligeglad med, hvad de andre grupper ville gøre, sagde SentinelLabs-forskerne.
Det er muligt, at teleselskabet var et højt værdifuldt mål, at gruppen var villig til at tage risikoen for opdagelse, da tilstedeværelsen af flere grupper på det samme system øger sandsynligheden for, at offeret vil bemærke noget galt.
Shark Attack
Selvom gruppen ser ud til at have ekstremt gode ressourcer - som det fremgår af den tekniske kompleksitet af malwaren, gruppens avancerede operationelle sikkerhed for at undgå opdagelse og det faktum, at den er under aktiv udvikling - advarede Guerrero-Saade om, at det ikke var nok at fastslå, at der var nationalstatsinvolvering. Det er muligt, at Metador kan være et produkt af en entreprenør, der arbejder på vegne af en nationalstat, da der er tegn på, at gruppen var yderst professionel, sagde Geurrero-Saade. Og medlemmerne kan have tidligere erfaring med at udføre den slags angreb på dette niveau, bemærkede han.
"Vi betragter opdagelsen af Metador som en hajfinne, der bryder vandoverfladen," skrev forskerne og bemærkede, at de ikke aner, hvad der sker nedenunder. "Det er en grund til forvarsel, der underbygger behovet for, at sikkerhedsindustrien proaktivt udvikler sig i retning af at opdage den sande øvre skorpe af trusselsaktører, der i øjeblikket krydser netværk ustraffet."
