LABSCON – Scottsdale, Ariz. – Uus ohutegija, kes on nakatanud telekommunikatsiooniettevõtte Lähis-Idas ning mitmeid Interneti-teenuse pakkujaid ja ülikoole Lähis-Idas ja Aafrikas, vastutab kahe „äärmiselt keerulise” pahavaraplatvormi eest, kuid paljuski rühm, mis on täna avaldatud uute uuringute kohaselt endiselt saladuses.
SentintelLabsi teadlased, kes jagasid oma tulemusi esimesel LabsConi turvakonverentsil, andsid rühmale nimeks Metador, tuginedes pahatahtlikus koodis esinevale fraasile "I am meta" ja asjaolule, et serveriteated on tavaliselt hispaania keeles. Arvatakse, et rühmitus on tegutsenud alates 2020. aasta detsembrist, kuid on viimastel aastatel edukalt radari alla lennanud. SentinelLabsi vanemdirektor Juan Andrés Guerrero-Saade ütles, et meeskond jagas Metadori kohta teavet teiste turvafirmade ja valitsuspartnerite teadlastega, kuid keegi ei teadnud grupist midagi.
Guerrero-Saade ja SentinelLabsi teadlased Amitai Ben Shushan Ehrlich ja Aleksandar Milenkoski avaldasid blogi postitus ja tehnilised detailid kahe pahavaraplatvormi metaMain ja Mafalda kohta, lootuses leida rohkem nakatunud ohvreid. "Me teadsime, kus nad on, mitte seda, kus nad praegu on," ütles Guerrero-Saade.
MetaMain on tagauks, mis suudab logida hiire ja klaviatuuri tegevusi, teha ekraanipilte ning andmeid ja faile välja filtreerida. Seda saab kasutada ka Mafalda, väga modulaarse raamistiku installimiseks, mis annab ründajatele võimaluse koguda süsteemi- ja võrguteavet ning muid lisavõimalusi. Nii metaMain kui ka Mafalda töötavad täielikult mälus ega installi end süsteemi kõvakettale.
Poliitiline koomiks
Arvatakse, et pahavara nimi on inspireeritud Argentinast pärit populaarsest hispaaniakeelsest multikast Mafaldast, mis kommenteerib regulaarselt poliitilisi teemasid.
Metador seadistas igale ohvrile kordumatud IP-aadressid, tagades, et isegi kui üks käsk ja juhtimine on paljastatud, jääb ülejäänud infrastruktuur toimima. See muudab ka teiste ohvrite leidmise äärmiselt keeruliseks. Sageli juhtub, et kui teadlased avastavad ründeinfrastruktuuri, leiavad nad mitmele ohvrile kuuluva teabe – see aitab kaardistada rühma tegevuse ulatust. Kuna Metador hoiab oma sihtkampaaniad lahus, on teadlastel vaid piiratud ülevaade Metadori tegevusest ja sellest, millistele ohvritele rühm sihib.
See, mida rühmitus aga ei paista, on segunemine teiste ründerühmadega. Uurijad leidsid, et Lähis-Ida telekommunikatsiooniettevõte, mis oli üks Metadori ohvritest, oli juba vähemalt 10 teise rahvusriigi rünnakurühma poolt ohustatud. Paljud teised rühmad tundusid olevat seotud Hiina ja Iraaniga.
Mitut sama süsteemi sihitavat ohurühma nimetatakse mõnikord "ohtude magnetiks", kuna need meelitavad ja hostivad korraga erinevaid rühmitusi ja pahavaraplatvorme. Paljud rahvusriikide osalejad võtavad aega, et eemaldada teiste rühmituste nakatumise jäljed, isegi kuni nende vigade paikamine, mida teised rühmad kasutasid, enne kui hakkavad omaenda ründetegevusi toime panema. Asjaolu, et Metador nakatas pahavara süsteemis, mida teised rühmad on juba (korduvalt) ohustanud, viitab sellele, et rühm ei hooli sellest, mida teised rühmad teeksid, ütlesid SentinelLabsi teadlased.
Võimalik, et telekommunikatsiooniettevõte oli nii kõrge väärtusega sihtmärk, et rühm oli valmis võtma avastamise riski, kuna mitme rühma olemasolu samas süsteemis suurendab tõenäosust, et ohver märkab midagi valesti.
Shark Attack
Kuigi grupp näib olevat äärmiselt hästi varustatud – mida tõendab pahavara tehniline keerukus, grupi kõrgetasemeline operatiivturvalisus avastamisest kõrvalehoidmiseks ja tõsiasi, et seda arendatakse aktiivselt – hoiatas Guerrero-Saade, et sellest ei piisa. teha kindlaks, et tegemist oli rahvusriigi osalusega. Võimalik, et Metador võib olla rahvusriigi nimel töötava töövõtja toode, kuna on märke, et rühmitus oli väga professionaalne, ütles Geurrero-Saade. Ta märkis, et liikmetel võib olla eelnev kogemus seda tüüpi rünnakute läbiviimisel sellel tasemel.
"Me peame Metadori avastamist sarnaseks haiuimega, mis purustab veepinna," kirjutasid teadlased, märkides, et neil pole aimugi, mis selle all toimub. "See on põhjus aimamiseks, mis kinnitab, et turvatööstusel on vaja ennetavalt kavandada, et tuvastada praegu karistamatult võrke läbivate ohustajate tegelik ülemine koor."
