Το κινεζικό APT που αναγνωρίστηκε πρόσφατα αποκρύπτει την κερκόπορτα σε ενημερώσεις λογισμικού

Από το 2018, ένας προηγουμένως άγνωστος κινέζος παράγοντας απειλών χρησιμοποιεί μια νέα κερκόπορτα σε επιθέσεις κυβερνοκατασκοπείας (AitM) εναντίον κινεζικών και ιαπωνικών στόχων.

Συγκεκριμένα θύματα του η ομάδα που η ESET έχει ονομάσει "Blackwood" περιλαμβάνουν μια μεγάλη κινεζική κατασκευαστική και εμπορική εταιρεία, το κινεζικό γραφείο μιας ιαπωνικής εταιρείας μηχανικής και κατασκευής, άτομα στην Κίνα και την Ιαπωνία, και ένα κινεζόφωνο άτομο που συνδέεται με ένα ερευνητικό πανεπιστήμιο υψηλού προφίλ στο Ηνωμένο Βασίλειο.

Το ότι το Blackwood μόλις τώρα κυκλοφορεί, περισσότερο από μισή δεκαετία από την πρώτη γνωστή δραστηριότητά του, μπορεί να αποδοθεί κυρίως σε δύο πράγματα: στην ικανότητά του να αβίαστα απόκρυψη κακόβουλου λογισμικού σε ενημερώσεις για δημοφιλή προϊόντα λογισμικού όπως το WPS Office και το ίδιο το κακόβουλο λογισμικό, ένα εξαιρετικά εξελιγμένο εργαλείο κατασκοπείας που ονομάζεται "NSPX30".

Blackwood και NSPX30

Η πολυπλοκότητα του NSPX30, εν τω μεταξύ, μπορεί να αποδοθεί σε σχεδόν δύο ολόκληρες δεκαετίες έρευνας και ανάπτυξης.

Σύμφωνα με τους αναλυτές της ESET, το NSPX30 προέρχεται από μια μακρά σειρά κερκόπορτων που χρονολογούνται από αυτό που μεταθανάτια ονόμασαν «Project Wood», που φαινομενικά συντάχθηκε για πρώτη φορά στις 9 Ιανουαρίου 2005.

Από το Project Wood - το οποίο, σε διάφορα σημεία, χρησιμοποιήθηκε για να στοχεύσει έναν πολιτικό του Χονγκ Κονγκ και στη συνέχεια στόχους στην Ταϊβάν, το Χονγκ Κονγκ και τη νοτιοανατολική Κίνα - προέκυψαν άλλες παραλλαγές, συμπεριλαμβανομένου του DCM του 2008 (γνωστός και ως "Dark Spectre"), το οποίο επέζησε στο κακόβουλες καμπάνιες μέχρι το 2018.

Το NSPX30, που αναπτύχθηκε την ίδια χρονιά, είναι το απόγειο όλης της κατασκοπείας στον κυβερνοχώρο που προηγήθηκε.

Το πολυσταδιακό, πολυλειτουργικό εργαλείο που αποτελείται από ένα σταγονόμετρο, ένα πρόγραμμα εγκατάστασης DLL, φορτωτές, ενορχηστρωτή και κερκόπορτα, με τα δύο τελευταία να έρχονται με τα δικά τους σετ πρόσθετων, εναλλάξιμων προσθηκών.

Το όνομα του παιχνιδιού είναι κλοπή πληροφοριών, είτε πρόκειται για δεδομένα σχετικά με το σύστημα ή το δίκτυο, αρχεία και καταλόγους, διαπιστευτήρια, πληκτρολόγηση, λήψη οθόνης, ήχο, συνομιλίες και λίστες επαφών από δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων — WeChat, Telegram, Skype, Tencent QQ, κ.λπ. — και άλλα.

Μεταξύ άλλων ταλέντων, το NSPX30 μπορεί να δημιουργήσει ένα αντίστροφο κέλυφος, να προστεθεί σε λίστες επιτρεπόμενων στα κινεζικά εργαλεία προστασίας από ιούς και να υποκλέψει την κυκλοφορία του δικτύου. Αυτή η τελευταία ικανότητα επιτρέπει στην Blackwood να αποκρύπτει αποτελεσματικά την υποδομή διοίκησης και ελέγχου, η οποία μπορεί να συνέβαλε στη μακροχρόνια λειτουργία της χωρίς εντοπισμό.

Μια κερκόπορτα κρυμμένη σε ενημερώσεις λογισμικού

Το μεγαλύτερο κόλπο του Blackwood, ωστόσο, διπλασιάζεται και ως το μεγαλύτερο μυστήριο του.

Για να μολύνει μηχανήματα με το NSPX30, δεν χρησιμοποιεί κανένα από τα τυπικά κόλπα: phishing, μολυσμένες ιστοσελίδες κ.λπ. Αντίθετα, όταν ορισμένα απολύτως νόμιμα προγράμματα προσπαθούν να πραγματοποιήσουν λήψη ενημερώσεων από εξίσου νόμιμους εταιρικούς διακομιστές μέσω μη κρυπτογραφημένου HTTP, το Blackwood με κάποιο τρόπο εισάγει επίσης την κερκόπορτα του στο μείγμα.

Με άλλα λόγια, δεν πρόκειται για παραβίαση της εφοδιαστικής αλυσίδας τύπου SolarWinds από έναν προμηθευτή. Αντίθετα, η ESET εικάζει ότι η Blackwood μπορεί να χρησιμοποιεί εμφυτεύματα δικτύου. Τέτοια εμφυτεύματα μπορεί να αποθηκευτούν σε ευάλωτες συσκευές άκρων σε στοχευμένα δίκτυα, όπως είναι κοινό μεταξύ άλλων κινεζικών APT.

Τα προϊόντα λογισμικού που χρησιμοποιούνται για τη διάδοση του NSPX30 περιλαμβάνουν το WPS Office (μια δημοφιλής δωρεάν εναλλακτική λύση στη σουίτα λογισμικού γραφείου της Microsoft και της Google), την υπηρεσία άμεσων μηνυμάτων QQ (που αναπτύχθηκε από τον κολοσσό πολυμέσων Tencent) και τον επεξεργαστή μεθόδου εισαγωγής Sogou Pinyin (αγορά της Κίνας- κορυφαίο εργαλείο pinyin με εκατοντάδες εκατομμύρια χρήστες).

Πώς μπορούν λοιπόν οι οργανισμοί να αμυνθούν έναντι αυτής της απειλής; Βεβαιωθείτε ότι το εργαλείο προστασίας τελικού σημείου σας αποκλείει το NSPX30 και δώστε προσοχή στους εντοπισμούς κακόβουλου λογισμικού που σχετίζονται με νόμιμα συστήματα λογισμικού, συμβουλεύει ο Mathieu Tartare, ανώτερος ερευνητής κακόβουλου λογισμικού στην ESET. "Επίσης, παρακολουθήστε και αποκλείστε σωστά τις επιθέσεις AitM, όπως η δηλητηρίαση ARP - οι σύγχρονοι διακόπτες έχουν χαρακτηριστικά σχεδιασμένα για να μετριάζουν μια τέτοια επίθεση", λέει. Η απενεργοποίηση του IPv6 μπορεί να βοηθήσει στην αποτροπή μιας επίθεσης SLAAC στο IPv6, προσθέτει.

"Ένα καλά τμηματοποιημένο δίκτυο θα βοηθήσει επίσης, καθώς το AitM θα επηρεάσει μόνο το υποδίκτυο όπου εκτελείται", λέει ο Tartare.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/chinese-apt-hides-backdoor-in-software-updates