LABSCON – Scottsdale, Ariz – Ένας νέος παράγοντας απειλής που έχει μολύνει μια εταιρεία τηλεπικοινωνιών στη Μέση Ανατολή και πολλούς παρόχους υπηρεσιών Διαδικτύου και πανεπιστήμια στη Μέση Ανατολή και την Αφρική είναι υπεύθυνος για δύο «εξαιρετικά περίπλοκες» πλατφόρμες κακόβουλου λογισμικού — αλλά πολλά για το ομάδα που παραμένει τυλιγμένη στο μυστήριο, σύμφωνα με νέα έρευνα που αποκαλύφθηκε εδώ σήμερα.
Ερευνητές από το SentintelLabs, που μοιράστηκαν τα ευρήματά τους στο πρώτο συνέδριο ασφαλείας LabsCon, ονόμασαν την ομάδα Metador, με βάση τη φράση "I am meta" που εμφανίζεται στον κακόβουλο κώδικα και το γεγονός ότι τα μηνύματα διακομιστή είναι συνήθως στα ισπανικά. Η ομάδα πιστεύεται ότι δραστηριοποιείται από τον Δεκέμβριο του 2020, αλλά έχει πετάξει με επιτυχία κάτω από τα ραντάρ τα τελευταία χρόνια. Ο Juan Andrés Guerrero-Saade, ανώτερος διευθυντής της SentinelLabs, είπε ότι η ομάδα μοιράστηκε πληροφορίες για το Metador με ερευνητές σε άλλες εταιρείες ασφαλείας και κυβερνητικούς εταίρους, αλλά κανείς δεν γνώριζε τίποτα για την ομάδα.
Οι ερευνητές των Guerrero-Saade και SentinelLabs, Amitai Ben Shushan Ehrlich και Aleksandar Milenkoski, δημοσίευσαν μια ανάρτηση και τεχνικές λεπτομέρειες σχετικά με τις δύο πλατφόρμες κακόβουλου λογισμικού, το metaMain και το Mafalda, με την ελπίδα να βρεθούν περισσότερα θύματα που έχουν μολυνθεί. «Ξέραμε πού ήταν, όχι πού βρίσκονται τώρα», είπε ο Γκερέρο-Σαάντε.
Το MetaMain είναι μια κερκόπορτα που μπορεί να καταγράφει τη δραστηριότητα του ποντικιού και του πληκτρολογίου, να τραβήξει στιγμιότυπα οθόνης και να εξάγει δεδομένα και αρχεία. Μπορεί επίσης να χρησιμοποιηθεί για την εγκατάσταση του Mafalda, ενός εξαιρετικά αρθρωτού πλαισίου που παρέχει στους εισβολείς τη δυνατότητα να συλλέγουν πληροφορίες συστήματος και δικτύου και άλλες πρόσθετες δυνατότητες. Τόσο το metaMain όσο και το Mafalda λειτουργούν εξ ολοκλήρου στη μνήμη και δεν εγκαθίστανται στον σκληρό δίσκο του συστήματος.
Πολιτικό κόμικ
Το όνομα του κακόβουλου λογισμικού πιστεύεται ότι είναι εμπνευσμένο από το Mafalda, ένα δημοφιλές ισπανόφωνο καρτούν από την Αργεντινή που σχολιάζει τακτικά πολιτικά θέματα.
Η Metador δημιούργησε μοναδικές διευθύνσεις IP για κάθε θύμα, διασφαλίζοντας ότι ακόμη και αν αποκαλυφθεί μία εντολή και έλεγχος, η υπόλοιπη υποδομή παραμένει λειτουργική. Αυτό καθιστά επίσης εξαιρετικά δύσκολη την εύρεση άλλων θυμάτων. Συχνά συμβαίνει ότι όταν οι ερευνητές αποκαλύπτουν υποδομές επίθεσης, βρίσκουν πληροφορίες που ανήκουν σε πολλά θύματα — κάτι που βοηθά στη χαρτογράφηση της έκτασης των δραστηριοτήτων της ομάδας. Επειδή η Metador διατηρεί τις καμπάνιες-στόχους της χωριστές, οι ερευνητές έχουν μόνο περιορισμένη άποψη για τις λειτουργίες της Metador και το είδος των θυμάτων που στοχεύει η ομάδα.
Αυτό που δεν φαίνεται να ενοχλεί η ομάδα, ωστόσο, είναι η ανάμειξη με άλλες ομάδες επίθεσης. Η εταιρεία τηλεπικοινωνιών της Μέσης Ανατολής που ήταν ένα από τα θύματα του Metador είχε ήδη παραβιαστεί από τουλάχιστον 10 άλλες ομάδες επίθεσης εθνικών κρατών, διαπίστωσαν οι ερευνητές. Πολλές από τις άλλες ομάδες φάνηκαν να συνδέονται με την Κίνα και το Ιράν.
Πολλαπλές ομάδες απειλών που στοχεύουν το ίδιο σύστημα μερικές φορές αναφέρονται ως «μαγνήτης απειλών», καθώς προσελκύουν και φιλοξενούν τις διάφορες ομάδες και τις πλατφόρμες κακόβουλου λογισμικού ταυτόχρονα. Πολλοί παράγοντες των εθνικών κρατών αφιερώνουν χρόνο για να αφαιρέσουν τα ίχνη μόλυνσης από άλλες ομάδες, φτάνοντας ακόμη και στο να επιδιορθώσουν τα ελαττώματα που χρησιμοποιούσαν οι άλλες ομάδες, προτού πραγματοποιήσουν τις δικές τους επιθετικές δραστηριότητες. Το γεγονός ότι το Metador μόλυνε κακόβουλο λογισμικό σε ένα σύστημα που έχει ήδη παραβιαστεί (επανειλημμένα) από άλλες ομάδες υποδηλώνει ότι η ομάδα δεν ενδιαφέρεται για το τι θα έκαναν οι άλλες ομάδες, είπαν οι ερευνητές του SentinelLabs.
Είναι πιθανό η εταιρεία τηλεπικοινωνιών να ήταν τέτοιος στόχος υψηλής αξίας που η ομάδα ήταν πρόθυμη να αναλάβει τον κίνδυνο εντοπισμού, καθώς η παρουσία πολλαπλών ομάδων στο ίδιο σύστημα αυξάνει την πιθανότητα το θύμα να παρατηρήσει κάτι λάθος.
Επίθεση καρχαρία
Ενώ η ομάδα φαίνεται να διαθέτει εξαιρετικά καλούς πόρους - όπως αποδεικνύεται από την τεχνική πολυπλοκότητα του κακόβουλου λογισμικού, την προηγμένη λειτουργική ασφάλεια της ομάδας για αποφυγή εντοπισμού και το γεγονός ότι βρίσκεται υπό ενεργό ανάπτυξη - ο Guerrero-Saade προειδοποίησε ότι δεν ήταν αρκετό για να διαπιστωθεί ότι υπήρχε εμπλοκή έθνους-κράτους. Είναι πιθανό ότι η Metador μπορεί να είναι προϊόν ενός εργολάβου που εργάζεται για λογαριασμό ενός έθνους-κράτους, καθώς υπάρχουν ενδείξεις ότι η ομάδα ήταν εξαιρετικά επαγγελματίας, είπε ο Geurrero-Saade. Και τα μέλη μπορεί να έχουν προηγούμενη εμπειρία από τη διεξαγωγή αυτού του είδους επιθέσεων σε αυτό το επίπεδο, σημείωσε.
«Θεωρούμε ότι η ανακάλυψη του Μεταδόρ είναι παρόμοια με ένα πτερύγιο καρχαρία που εισχωρεί στην επιφάνεια του νερού», έγραψαν οι ερευνητές, σημειώνοντας ότι δεν έχουν ιδέα τι συμβαίνει από κάτω. «Είναι μια αιτία για προαίσθημα που τεκμηριώνει την ανάγκη για τη βιομηχανία ασφάλειας να σχεδιάσει προληπτικά για τον εντοπισμό του πραγματικού ανώτερου φλοιού των παραγόντων απειλών που διασχίζουν αυτήν τη στιγμή τα δίκτυα ατιμώρητα».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
