FBI, USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) ja rahandusministeerium hoiatasid kolmapäeval Põhja-Korea riiklikult toetatud ohus osalejate eest, mis sihivad USA tervishoiu- ja rahvatervise sektori organisatsioone. Rünnakud viiakse läbi mõnevõrra ebatavalise käsitsi juhitava uue lunavaratööriistaga Maui.
Alates 2021. aasta maist on esinenud mitmeid intsidente, kus pahavara käitavad ohus osalejad on krüpteerinud serverid, mis vastutavad kriitiliste tervishoiuteenuste, sealhulgas diagnostikateenuste, elektrooniliste terviseandmete serverite ja pildiserverite eest sihtsektorite organisatsioonides. Mõnel juhul häirisid Maui rünnakud ohvriorganisatsioonide teenuseid pikemaks ajaks, teatasid kolm agentuuri nõuandes.
"Põhja-Korea riiklikult toetatud küberosalised eeldavad tõenäoliselt, et tervishoiuorganisatsioonid on nõus lunaraha maksma, kuna need organisatsioonid pakuvad teenuseid, mis on inimeste elu ja tervise jaoks kriitilised," seisab nõuandes. "Selle eelduse tõttu hindavad FBI, CISA ja riigikassa Põhja-Korea riiklikult toetatud osalejaid tõenäoliselt jätkavad sihtimist [tervishoid ja rahvatervis] Sektori organisatsioonid.
Mõeldud käsitsi kasutamiseks
6. juuli tehnilises analüüsis kirjeldas turvafirma Stairwell Mauid kui lunavara, mis on märkimisväärne selle poolest, et neil puuduvad funktsioonid, mis tavaliselt esinevad teistes lunavaratööriistades. Näiteks ei ole Mauil tavalist manustatud lunavaramärget, mis sisaldab teavet ohvritele nende andmete taastamise kohta. Samuti ei paista sellel olevat sisseehitatud funktsiooni krüpteerimisvõtmete automaatseks edastamiseks häkkeritele.
Selle asemel pahavara näib olevat mõeldud käsitsi täitmiseks, kus kaugründaja suhtleb Mauiga käsurea liidese kaudu ja annab talle ülesandeks krüpteerida valitud failid nakatunud masinas ja väljastada võtmed tagasi ründajale.
Stairwell ütles, et selle teadlased jälgisid Maui failide krüptimist, kasutades AES-, RSA- ja XOR-krüpteerimisskeemide kombinatsiooni. Iga valitud fail krüpteeritakse esmalt AES-i abil ainulaadse 16-baidise võtmega. Seejärel krüpteerib Maui iga saadud AES-võtme RSA-krüptimisega ja seejärel krüpteerib RSA avaliku võtme XOR-iga. RSA privaatvõti on kodeeritud pahavara endasse manustatud avaliku võtmega.
Stairwelli peamine pöördinsener Silas Cutler ütleb, et Maui failide krüptimise töövoo ülesehitus on üsna kooskõlas teiste kaasaegsete lunavaraperekondadega. Erinev on tegelikult lunaraha puudumine.
"Taastejuhistega manustatud lunarahateate puudumine on peamine puuduv atribuut, mis eristab seda teistest lunavaraperekondadest," ütleb Cutler. "Lunarahatähtedest on saanud mõnede suurte lunavaragruppide kõnekaardid [ja mõnikord on neid kaunistatud oma kaubamärgiga." Ta ütleb, et Stairwell uurib endiselt, kuidas ohunäitleja ohvritega suhtleb ja milliseid nõudmisi täpselt esitatakse.
Turvateadlaste sõnul on mitu põhjust, miks ohustaja võis otsustada Mauiga käsitsi teed minna. Tim McGuffin, Lares Consultingi võistleva tehnika direktor, ütleb, et käsitsi juhitaval pahavaral on paremad võimalused tänapäevaste lõpp-punktide kaitse tööriistadest ja kanaarifailidest kõrvale hoida, võrreldes automatiseeritud kogu süsteemi hõlmava lunavaraga.
"Konkreetsete failide sihtimisel saavad ründajad valida, mis on tundlik ja mida välja filtreerida, võrreldes "pihustage ja palveta" lunavaraga palju taktikalisemalt, " ütleb McGuffin. "See 100% pakub lunavarale varjatud ja kirurgilist lähenemist, takistades kaitsjaid automaatse lunavara eest hoiatamast ja muutes selle kasutamise keerulisemaks ajastus- või käitumispõhised lähenemisviisid tuvastamiseks või reageerimiseks.
Tehnilisest vaatenurgast ei kasuta Maui avastamisest kõrvalehoidmiseks mingeid keerukaid vahendeid, ütleb Cutler. Mis võib selle tuvastamisel täiendavalt problemaatiliseks muuta, on selle madal profiil.
"Tavalise lunavarateatri puudumine - [nagu] lunaraha märkmed [ja] kasutajate tausta muutmine - võib põhjustada selle, et kasutajad ei saa kohe aru, et nende failid on krüptitud," ütleb ta.
Kas Maui on punane heeringas?
Vectra tehnikadirektor Aaron Turner ütleb, et ohustaja Maui käsitsi ja valikuline kasutamine võib viidata sellele, et kampaania taga on muud motiivid kui rahaline kasu. Kui Põhja-Korea tõesti neid rünnakuid sponsoreerib, on mõeldav, et lunavara on vaid järelmõte ja tegelikud motiivid peituvad mujal.
Täpsemalt on see suure tõenäosusega kombinatsioon intellektuaalomandi vargusest või tööstusspionaažist koos lunavaraga rünnakute oportunistliku monetiseerimisega.
"Minu arvates näitab operaatori juhitud selektiivse krüptimise kasutamine tõenäoliselt seda, et Maui kampaania ei ole lihtsalt lunavarategevus, " ütleb Turner.
Maui operaatorid poleks kindlasti esimesed, kes kasutavad lunavara IP-varguste ja muude tegevuste kattena. Värskeim näide teisest ründajast, kes sama tegi, on Hiinas asuv Bronze Starlight, mis Secureworksi andmetel näib olevat lunavara kasutamine kattena ulatusliku valitsuse rahastatud IP varguse ja küberspionaaži eest.
Teadlaste sõnul peaksid tervishoiuorganisatsioonid enda kaitsmiseks investeerima kindlasse varustrateegiasse. SafeBreachi CISO Avishai Avivi sõnul peab strateegia hõlmama sagedast, vähemalt kord kuus toimuvat taastetesti, et tagada varukoopiate elujõulisus.
"Samuti peaksid tervishoiuorganisatsioonid võtma kõik ettevaatusabinõud oma võrkude segmenteerimiseks ja keskkondade isoleerimiseks, et vältida lunavara külgmist levikut," märgib Avivi meilis. "Need põhilised küberhügieeni sammud on palju parem viis organisatsioonidele, kes valmistuvad lunavararünnakuks [kui lunaraha maksmiseks Bitcoinide varumine]. Näeme ikka veel, et organisatsioonid ei suuda mainitud põhisamme astuda. … See kahjuks tähendab, et kui (mitte siis, kui) lunavara nende turvakontrollist läbi saab, ei ole neil korralikku varukoopiat ja pahatahtlik tarkvara võib levida külgmiselt läbi organisatsiooni võrkude.
Stairwell on välja andnud ka YARA reeglid ja tööriistad, mida teised saavad kasutada Maui lunavara tuvastamiseks.
