Valtion sponsoroima kyberhyökkäysryhmä, joka tunnetaan nimellä Billbug, onnistui vaarantamaan digitaalisen sertifikaatin viranomaisen (CA) osana laajaa vakoilukampanjaa, joka ulottui maaliskuuhun asti – mikä on huolestuttava kehitys edistyneen jatkuvan uhkan (APT) pelikirjassa, tutkijat varoittavat.
Digitaaliset sertifikaatit ovat tiedostoja, joita käytetään ohjelmistojen allekirjoittamiseen kelvollisiksi ja laitteen tai käyttäjän henkilöllisyyden vahvistamiseksi salattujen yhteyksien mahdollistamiseksi. Sellaisenaan CA-kompromissi voi johtaa joukkoon salaperäisiä jatkohyökkäyksiä.
"Varmenteen myöntäjän kohdistus on huomionarvoista, sillä jos hyökkääjät pystyisivät onnistuneesti murtamaan sen päästäkseen varmenteisiin, he voisivat käyttää niitä haittaohjelmien allekirjoittamiseen voimassa olevalla varmenteella ja auttaa välttämään havaitsemisen uhrikoneilla", sanoo tiedottaja. raportti tällä viikolla Symantecilta. "Se voi myös mahdollisesti käyttää vaarantuneita varmenteita HTTPS-liikenteen sieppaamiseen."
"Tämä on mahdollisesti erittäin vaarallista", tutkijat huomauttavat.
Jatkuva kyberkompromissitulva
Billbug (alias Lotus Blossom tai Thrip) on Kiinassa toimiva vakoiluryhmä, joka kohdistuu pääasiassa uhreihin Kaakkois-Aasiassa. Se tunnetaan suurriistan metsästyksestä eli sotilasorganisaatioiden, valtion yksiköiden ja viestintäpalvelujen tarjoajien salaisuuksien etsimisestä. Joskus se luo leveämmän verkon vihjaten synkemmistä syistä: Eräässä menneisyydessä se soluttautui ilmailuoperaattoriin tartuttaakseen tietokoneet, jotka valvovat ja ohjaavat satelliittien liikkeitä.
Viimeisimmällä ilkeän toiminnan aikana APT osui valtion ja puolustusvirastojen panteoniin kaikkialla Aasiassa, yhdessä tapauksessa se tarttui "suureen määrään koneita" hallituksen verkossa mukautetuilla haittaohjelmillaan.
"Tämä kampanja oli käynnissä ainakin maaliskuusta 2022 syyskuuhun 2022, ja on mahdollista, että tämä toiminta saattaa jatkua", sanoo Brigid O Gorman, Symantec Threat Hunter Teamin vanhempi tiedustelu-analyytikko. "Billbug on pitkään vakiintunut uhkaryhmä, joka on toteuttanut useita kampanjoita vuosien varrella. On mahdollista, että tämä toiminta ulottuu muihin organisaatioihin tai maantieteellisiin alueisiin, vaikka Symantecilla ei ole tästä tällä hetkellä näyttöä."
Tuttu lähestymistapa kyberhyökkäuksiin
Näissä kohteissa samoin kuin varmentajan kohdalla alkuperäinen pääsyvektori on ollut haavoittuvien, julkisten sovellusten hyväksikäyttö. Saatuaan kyvyn suorittaa koodia uhkatoimijat asentavat tunnetut, mukautetut Hannotog- tai Sagerunex-takaovet ennen kuin ne kaivautuvat syvemmälle verkkoihin.
Myöhemmissä tappoketjun vaiheissa Billbug-hyökkääjät käyttävät useita maan ulkopuolella elävät binaarit (LoLBins), kuten AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail ja WinRAR Symantecin raportin mukaan.
Näitä laillisia työkaluja voidaan käyttää väärin useisiin eri käyttötarkoituksiin, kuten Active Directoryn kyselyihin verkon kartoittamiseksi, tiedostojen ZIP-pakkaukseen suodattamista varten, päätepisteiden välisten polkujen paljastamiseen, NetBIOSin ja porttien skannaukseen ja selaimen juurivarmenteiden asentamiseen – puhumattakaan ylimääräisten haittaohjelmien lataamisesta. .
Mukautetut takaovet yhdistettynä kaksikäyttötyökaluihin ovat tuttu jalanjälki, jota APT on käyttänyt aiemmin. Mutta huolen puute julkisuudesta on pari kurssille ryhmälle.
"On huomionarvoista, että Billbugia ei näytä pelottavan mahdollisuus saada tämä toiminta sen syyksi, jolloin se käyttää uudelleen työkaluja, jotka on liitetty ryhmään aiemmin", Gorman sanoo.
Hän lisää: "Yhtymän raskas käyttö maalla elämiseen ja kaksikäyttötyökaluihin on myös huomionarvoista, ja korostaa, että organisaatioilla on oltava käytössään tietoturvatuotteita, jotka eivät vain tunnista haittaohjelmia, vaan tunnistaa myös, jos laillisia työkaluja mahdollisesti käytetään epäilyttävällä tai pahantahtoisella tavalla."
Symantec on ilmoittanut kyseiselle nimettömälle CA:lle toiminnasta, mutta Gorman kieltäytyi antamasta lisätietoja vastauksestaan tai korjaustoimistaan.
Vaikka toistaiseksi ei ole viitteitä siitä, että ryhmä olisi kyennyt vaarantamaan todellisia digitaalisia varmenteita, tutkija neuvoo: "Yritysten tulisi olla tietoisia siitä, että haittaohjelmat voidaan allekirjoittaa kelvollisilla varmenteilla, jos uhkatekijät pystyvät saamaan pääsyn varmenneviranomaisiin."
Yleensä organisaatioiden tulisi omaksua syvällinen puolustusstrategia, jossa käytetään useita havaitsemis-, suojaus- ja kovetustekniikoita riskien vähentämiseksi mahdollisen hyökkäysketjun jokaisessa kohdassa, hän sanoo.
"Symantec neuvoisi myös hallinnollisten tilien käytön asianmukaisen tarkastuksen ja valvonnan toteuttamista", Gorman huomautti. "Suosittelemme myös käyttöprofiilien luomista järjestelmänvalvojan työkaluille, koska hyökkääjät käyttävät monia näistä työkaluista liikkuakseen sivusuunnassa havaitsematta verkon läpi. Monivaiheinen todennus (MFA) voi auttaa rajoittamaan vaarantuneiden tunnistetietojen käyttökelpoisuutta."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
