Το Billbug APT διεισδύει στην αρχή έκδοσης πιστοποιητικών με έδρα την Κίνα

Η ομάδα κυβερνοεπιθέσεων που χρηματοδοτείται από το κράτος, γνωστή ως Billbug, κατάφερε να θέσει σε κίνδυνο μια αρχή ψηφιακών πιστοποιητικών (CA) ως μέρος μιας εκτεταμένης εκστρατείας κατασκοπείας που εκτεινόταν μέχρι τον Μάρτιο - μια ανησυχητική εξέλιξη στο βιβλίο προηγμένης επίμονης απειλής (APT), προειδοποιούν οι ερευνητές.

Τα ψηφιακά πιστοποιητικά είναι αρχεία που χρησιμοποιούνται για την υπογραφή λογισμικού ως έγκυρου και για την επαλήθευση της ταυτότητας μιας συσκευής ή χρήστη για την ενεργοποίηση κρυπτογραφημένων συνδέσεων. Ως εκ τούτου, ένας συμβιβασμός της CA θα μπορούσε να οδηγήσει σε μια λεγεώνα κρυφών επακόλουθων επιθέσεων.

"Η στόχευση μιας αρχής έκδοσης πιστοποιητικών είναι αξιοσημείωτη, καθώς εάν οι εισβολείς κατάφερναν να την παραβιάσουν με επιτυχία για να αποκτήσουν πρόσβαση σε πιστοποιητικά, θα μπορούσαν ενδεχομένως να τα χρησιμοποιήσουν για να υπογράψουν κακόβουλο λογισμικό με ένα έγκυρο πιστοποιητικό και να το βοηθήσουν να αποφύγει τον εντοπισμό σε μηχανήματα θύματα", σύμφωνα με να αναφέρουν αυτή την εβδομάδα από τη Symantec. "Θα μπορούσε επίσης να χρησιμοποιήσει δυνητικά παραβιασμένα πιστοποιητικά για να υποκλέψει την κυκλοφορία HTTPS."

«Αυτό είναι δυνητικά πολύ επικίνδυνο», σημείωσαν οι ερευνητές.

Μια συνεχής σειρά κυβερνο-συμβιβασμών

Η Billbug (γνωστή και ως Lotus Blossom ή Thrip) είναι μια ομάδα κατασκοπείας με έδρα την Κίνα που στοχεύει κυρίως θύματα στη Νοτιοανατολική Ασία. Είναι γνωστό για το κυνήγι μεγάλων θηραμάτων — δηλαδή, παρακολουθεί τα μυστικά που κρατούν οι στρατιωτικοί οργανισμοί, οι κυβερνητικές οντότητες και οι πάροχοι επικοινωνιών. Μερικές φορές ρίχνει ένα ευρύτερο δίκτυο, υπονοώντας πιο σκοτεινά κίνητρα: Σε μια προηγούμενη περίπτωση, διείσδυσε σε έναν αεροδιαστημικό φορέα για να μολύνει τους υπολογιστές που παρακολουθούν και ελέγχουν τις κινήσεις των δορυφόρων.

Στην τελευταία σειρά κακόβουλης δραστηριότητας, το APT έπληξε ένα πάνθεον κυβερνητικών και αμυντικών υπηρεσιών σε όλη την Ασία, σε μια περίπτωση μολύνοντας «ένα μεγάλο αριθμό μηχανών» σε ένα κυβερνητικό δίκτυο με το προσαρμοσμένο κακόβουλο λογισμικό του.

«Αυτή η εκστρατεία συνεχιζόταν τουλάχιστον από τον Μάρτιο του 2022 έως τον Σεπτέμβριο του 2022 και είναι πιθανό αυτή η δραστηριότητα να είναι σε εξέλιξη», λέει η Brigid O Gorman, ανώτερη αναλυτής πληροφοριών στην ομάδα Symantec Threat Hunter. «Η Billbug είναι μια εδραιωμένη ομάδα απειλών που έχει πραγματοποιήσει πολλές εκστρατείες όλα αυτά τα χρόνια. Είναι πιθανό ότι αυτή η δραστηριότητα θα μπορούσε να επεκταθεί σε πρόσθετους οργανισμούς ή γεωγραφικές περιοχές, αν και η Symantec δεν έχει καμία απόδειξη για αυτό αυτή τη στιγμή».

Μια οικεία προσέγγιση στις κυβερνοεπιθέσεις

Σε αυτούς τους στόχους, καθώς και στην ΑΠ, ο αρχικός φορέας πρόσβασης ήταν η εκμετάλλευση ευάλωτων εφαρμογών που αντιμετωπίζουν το κοινό. Αφού αποκτήσουν τη δυνατότητα εκτέλεσης κώδικα, οι φορείς απειλών συνεχίζουν να εγκαθιστούν τις γνωστές, προσαρμοσμένες κερκόπορτες Hannotog ή Sagerunex προτού τρυπώσουν βαθύτερα στα δίκτυα.

Για τα μεταγενέστερα στάδια kill-chain, οι εισβολείς του Billbug χρησιμοποιούν πολλά δυαδικά αρχεία που ζουν εκτός της γης (LoLBins), όπως AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail και WinRAR, σύμφωνα με την αναφορά της Symantec.

Αυτά τα νόμιμα εργαλεία μπορούν να χρησιμοποιηθούν για διάφορες χρήσεις doppelganger, όπως η αναζήτηση στην υπηρεσία καταλόγου Active Directory για χαρτογράφηση ενός δικτύου, αρχεία ZIP για εξαγωγή, αποκάλυψη διαδρομών μεταξύ τελικών σημείων, σάρωση NetBIOS και θυρών και εγκατάσταση πιστοποιητικών root του προγράμματος περιήγησης — για να μην αναφέρουμε τη λήψη πρόσθετου κακόβουλου λογισμικού .

Οι προσαρμοσμένες κερκόπορτες σε συνδυασμό με εργαλεία διπλής χρήσης είναι ένα οικείο αποτύπωμα, που έχουν χρησιμοποιηθεί από το APT στο παρελθόν. Αλλά η έλλειψη ανησυχίας για τη δημόσια έκθεση είναι par για το μάθημα για την ομάδα.

«Είναι αξιοσημείωτο ότι ο Billbug φαίνεται να μην πτοείται από την πιθανότητα να του αποδοθεί αυτή η δραστηριότητα, με την επαναχρησιμοποίηση εργαλείων που είχαν συνδεθεί με την ομάδα στο παρελθόν», λέει ο Gorman.

Και προσθέτει, «Η έντονη χρήση της ομάδας από τη γη και τα εργαλεία διπλής χρήσης είναι επίσης αξιοσημείωτη, και υπογραμμίζει την ανάγκη οι οργανισμοί να διαθέτουν προϊόντα ασφαλείας που όχι μόνο μπορούν να ανιχνεύσουν κακόβουλο λογισμικό, αλλά αναγνωρίζουν επίσης εάν χρησιμοποιούνται νόμιμα εργαλεία με ύποπτο ή κακόβουλο τρόπο».

Η Symantec έχει ειδοποιήσει την εν λόγω ΑΠ που δεν κατονομάζεται για να την ενημερώσει για τη δραστηριότητα, αλλά η Gorman αρνήθηκε να προσφέρει περισσότερες λεπτομέρειες σχετικά με την απόκριση ή τις προσπάθειες αποκατάστασης.

Αν και δεν υπάρχει καμία ένδειξη μέχρι στιγμής ότι η ομάδα μπόρεσε να προχωρήσει σε συμβιβασμούς σε πραγματικά ψηφιακά πιστοποιητικά, ο ερευνητής συμβουλεύει, «Οι επιχειρήσεις θα πρέπει να γνωρίζουν ότι το κακόβουλο λογισμικό θα μπορούσε να υπογραφεί με έγκυρα πιστοποιητικά, εάν οι φορείς απειλής είναι σε θέση να επιτύχουν πρόσβαση στις αρχές πιστοποίησης».

Γενικά, οι οργανισμοί θα πρέπει να υιοθετήσουν μια στρατηγική άμυνας σε βάθος, χρησιμοποιώντας πολλαπλές τεχνολογίες ανίχνευσης, προστασίας και σκλήρυνσης για να μετριάσουν τον κίνδυνο σε κάθε σημείο μιας πιθανής αλυσίδας επίθεσης, λέει.

«Η Symantec θα συμβούλευε επίσης την εφαρμογή κατάλληλου ελέγχου και ελέγχου της χρήσης του διαχειριστικού λογαριασμού», σημείωσε ο Gorman. «Θα προτείναμε επίσης τη δημιουργία προφίλ χρήσης για εργαλεία διαχειριστή, καθώς πολλά από αυτά τα εργαλεία χρησιμοποιούνται από εισβολείς για να μετακινούνται πλευρικά χωρίς να εντοπίζονται μέσω ενός δικτύου. Σε γενικές γραμμές, ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) μπορεί να βοηθήσει στον περιορισμό της χρησιμότητας των παραβιασμένων διαπιστευτηρίων."