Äsja ID-ga Hiina APT peidab tarkvaravärskendustes tagaukse

Taasavaldanud Platon

järgijaid: 0

Alates 2018. aastast on seni tundmatu Hiina ohunäitleja kasutanud Hiina ja Jaapani sihtmärkide vastu suunatud küberspionaažirünnakutes uudset tagaust (AitM).

Konkreetsed ohvrid grupp, millele ESET on pannud nimeks "Blackwood" Nende hulka kuuluvad suur Hiina tootmis- ja kaubandusettevõte, Jaapani inseneri- ja tootmisettevõtte Hiina kontor, üksikisikud Hiinas ja Jaapanis ning hiina keelt kõnelev isik, kes on seotud Ühendkuningriigi kõrgetasemelise teadusülikooliga.

Selle, et Blackwood on alles nüüd, enam kui pool kümnendit oma varaseimast teadaolevast tegevusest möödas, võib olla tingitud peamiselt kahest asjast: selle võimest vaevata peita pahavara populaarsete tarkvaratoodete värskendustes nagu WPS Office ja pahavara ise, ülimalt keerukas spionaažitööriist nimega NSPX30.

Blackwood ja NSPX30

Vahepeal võib NSPX30 keerukuse seostada peaaegu kahe aastakümne pikkuse uurimis- ja arendustegevusega.

ESET-i analüütikute sõnul tuleneb NSPX30 pikast tagauste liinist, mis ulatub tagasi selleni, mida nad postuumselt nimetasid “Project Wood”, mis näiliselt koostati esmakordselt 9. jaanuaril 2005.

Projektist Wood – mida erinevates kohtades kasutati Hongkongi poliitiku sihikule seadmiseks ja seejärel Taiwani, Hongkongi ja Kagu-Hiina sihtmärkideks – tulid veel variandid, sealhulgas 2008. aasta DCM (teise nimega “Dark Specter”), mis säilis aastal. pahatahtlikud kampaaniad kuni 2018. aastani.

Samal aastal välja töötatud NSPX30 on kogu sellele eelnenud küberspionaaži apogee.

Mitmeastmeline multifunktsionaalne tööriist, mis koosneb tilgutist, DLL-i installijast, laaduritest, orkestraatorist ja tagauksest, kusjuures kahel viimasel on oma täiendavate vahetatavate pistikprogrammide komplektid.

Mängu nimi on teabevargus, olgu need siis süsteemi või võrgu andmed, failid ja kataloogid, mandaadid, klahvivajutused, ekraanipildid, heli, vestlused ja kontaktiloendid populaarsetest sõnumsiderakendustest – WeChat, Telegram, Skype, Tencent QQ, jne — ja rohkemgi veel.

Muu hulgas suudab NSPX30 luua pöördkesta, lisada end Hiina viirusetõrjetööriistade lubamisloenditesse ja võrguliiklust pealt kuulata. Viimane võimalus võimaldab Blackwoodil tõhusalt varjata oma juhtimis- ja juhtimisinfrastruktuuri, mis võis kaasa aidata selle pikaajalisele ilma tuvastamiseta toimimisele.

Tarkvaravärskendustesse peidetud tagauks

Blackwoodi suurim trikk on aga ka selle suurim mõistatus.

Masinate nakatamiseks NSPX30-ga ei kasutata ühtegi tüüpilist nippi: andmepüük, nakatunud veebilehed jne. Selle asemel, kui teatud täiesti legitiimsed programmid üritavad krüpteerimata HTTP kaudu värskendusi samaväärselt legitiimsetest ettevõtte serveritest alla laadida, sisestab Blackwood mingil moel ka oma tagaukse. segu sisse.

Teisisõnu, see ei ole müüja SolarWindsi stiilis tarneahela rikkumine. Selle asemel oletab ESET, et Blackwood võib kasutada võrguimplantaate. Selliseid implantaate võidakse hoida sihitud võrkudes haavatavates servaseadmetes levinud teiste Hiina APT-de seas.

NSPX30 levitamiseks kasutatavate tarkvaratoodete hulka kuuluvad WPS Office (populaarne tasuta alternatiiv Microsofti ja Google'i kontoritarkvara komplektile), QQ kiirsuhtlusteenus (mille on välja töötanud multimeediumihiiglane Tencent) ja sisestusmeetodi redaktor Sogou Pinyin (Hiina turu- juhtiv pinyini tööriist sadade miljonite kasutajatega).

Kuidas saavad organisatsioonid selle ohu eest kaitsta? Veenduge, et teie lõpp-punkti kaitse tööriist blokeerib NSPX30 ja pöörake tähelepanu seaduslike tarkvarasüsteemidega seotud pahavara tuvastamisele, nõustab ESET-i pahavara vanemuurija Mathieu Tartare. "Samuti jälgige ja blokeerige korralikult AitM-i rünnakuid, nagu ARP-mürgitus - kaasaegsetel lülititel on funktsioone, mis on mõeldud selliste rünnakute leevendamiseks, " ütleb ta. Ta lisab, et IPv6 keelamine võib aidata takistada IPv6 SLAAC-i rünnakut.

"Aitab ka hästi segmenteeritud võrk, kuna AitM mõjutab ainult seda alamvõrku, kus seda tehakse," ütleb Tartare.