Riigi toetatud küberrünnakute rühmitus, mida tuntakse Billbugi nime all, suutis märtsini kestnud laiaulatusliku spionaažikampaania osana kompromiteerida digitaalse sertifikaadi väljaandjat (CA), mis on murettekitav arenenud püsiva ohu (APT) mänguraamatu areng, hoiatavad teadlased.
Digitaalsed sertifikaadid on failid, mida kasutatakse tarkvara kehtivaks allkirjastamiseks ja seadme või kasutaja identiteedi kontrollimiseks, et võimaldada krüptitud ühendusi. Sellisena võib CA kompromiss viia salajaste jätkurünnakute leegioni.
"Serdiasutuse sihtimine on märkimisväärne, sest kui ründajad suudaksid selle edukalt sertifikaatidele juurdepääsuks rikkuda, võivad nad neid potentsiaalselt kasutada pahavara allkirjastamiseks kehtiva sertifikaadiga ja aidata vältida selle tuvastamist ohvrite masinates," ütles ta. aruanne sel nädalal Symantecilt. "See võib kasutada ka ohustatud sertifikaate HTTPS-i liikluse pealtkuulamiseks."
"See on potentsiaalselt väga ohtlik," märkisid teadlased.
Pidev küberkompromisside hulk
Billbug (teise nimega Lotus Blossom või Thrip) on Hiinas asuv spionaažirühmitus, mis sihib peamiselt Kagu-Aasia ohvreid. See on tuntud suurte ulukite küttimise poolest, st sõjaliste organisatsioonide, valitsusasutuste ja sideteenuste pakkujate saladuste otsimise poolest. Mõnikord loob see laiema võrgu, vihjates tumedamatele motiividele: ühel varasemal juhul imbus see kosmoseoperaatorisse, et nakatada satelliitide liikumist jälgivaid ja kontrollivaid arvuteid.
Viimase pahatahtliku tegevuse käigus tabas APT valitsus- ja kaitseasutuste panteoni kogu Aasias, ühel juhul nakatades oma kohandatud pahavaraga "suurt hulka masinaid" valitsusvõrgus.
"See kampaania kestis vähemalt märtsist 2022 kuni septembrini 2022 ja on võimalik, et see tegevus võib jätkuda," ütleb Symantec Threat Hunter Teami vanemluureanalüütik Brigid O Gorman. "Billbug on pikaajaline ohurühm, mis on aastate jooksul läbi viinud mitmeid kampaaniaid. Võimalik, et see tegevus laieneb täiendavatele organisatsioonidele või geograafilistele piirkondadele, kuigi Symantecil pole praegu selle kohta tõendeid.
Tuttav lähenemine küberrünnakutele
Nii nende sihtmärkide kui ka CA puhul on esialgne juurdepääsuvektor olnud haavatavate avalike rakenduste ärakasutamine. Pärast koodi käivitamise võime omandamist jätkavad ohutegijad oma teadaolevate kohandatud Hannotogi või Sagerunexi tagaukse installimist, enne kui nad süvenevad võrkudesse.
Hilisemate tapmisahela etappide jaoks kasutavad Billbugi ründajad mitut maast väljas elamise kahendfailid (LoLBins), nagu AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail ja WinRAR, vastavalt Symanteci aruandele.
Neid seaduslikke tööriistu saab kuritarvitada mitmel erineval viisil, näiteks võrgu kaardistamiseks Active Directory päringute esitamine, failide ZIP-i saatmine eksfiltreerimiseks, lõpp-punktide vaheliste teede tuvastamine, NetBIOS-i ja portide skannimine ning brauseri juursertifikaatide installimine – rääkimata täiendava pahavara allalaadimisest. .
Kohandatud tagauksed koos kahekordse kasutusega tööriistadega on tuttav jalajälg, mida APT on varem kasutanud. Kuid mure puudumine avalikkuse kokkupuute pärast on par kursuse jaoks rühmale.
"On märkimisväärne, et Billbugi näib olevat heidutav võimalus omistada see tegevus talle, kasutades taaskasutades tööriistu, mis on grupiga varem seotud," ütleb Gorman.
Ta lisab: "Märkimisväärne on ka see, et grupp kasutab palju maa peal elamist ja kahesuguse kasutusega tööriistu, ning rõhutab, et organisatsioonidel on vaja turvatooteid, mis mitte ainult ei suuda tuvastada pahavara, vaid ka samuti tuvastada, kas potentsiaalselt kasutatakse seaduslikke tööriistu kahtlasel või pahatahtlikul viisil."
Symantec on teavitanud kõnealust nimetut CA-d, et teda tegevusest teavitada, kuid Gorman keeldus oma vastuse või parandusmeetmete kohta lisateavet pakkumast.
Kuigi seni pole viiteid selle kohta, et rühm oleks suutnud tegelikke digitaalseid sertifikaate ohustada, soovitab teadlane: "Ettevõtted peaksid olema teadlikud, et pahavara võib allkirjastada kehtivate sertifikaatidega, kui ohus osalejad saavad juurdepääsu sertifitseerimisasutustele."
Üldiselt peaksid organisatsioonid võtma kasutusele põhjaliku kaitsestrateegia, kasutades mitut tuvastamis-, kaitse- ja tugevdamistehnoloogiat, et vähendada riski potentsiaalse ründeahela igas punktis, ütleb ta.
„Symantec soovitaks ka rakendada halduskonto kasutamise nõuetekohast auditit ja kontrolli,“ märkis Gorman. "Samuti soovitame luua administraatoritööriistade kasutusprofiilid, kuna ründajad kasutavad paljusid neist tööriistadest võrgus külgsuunas märkamatult liikumiseks. Kõikjal võib mitmefaktoriline autentimine (MFA) aidata piirata rikutud mandaatide kasulikkust.
