LABSCON – Scottsdale, Ariz. – Uusi uhkatoimija, joka on tartuttanut televiestintäyrityksen Lähi-idässä ja useita Internet-palveluntarjoajia ja yliopistoja Lähi-idässä ja Afrikassa, on vastuussa kahdesta "erittäin monimutkaisesta" haittaohjelmaalustasta - mutta paljon ryhmä, joka on edelleen mysteerin peitossa, täällä tänään paljastetun uuden tutkimuksen mukaan.
SentintelLabsin tutkijat, jotka jakoivat havaintojaan ensimmäisessä LabsCon-tietoturvakonferenssissa, antoivat ryhmän nimeksi Metador, joka perustuu haitallisessa koodissa esiintyvään lauseeseen "I am meta" ja siihen, että palvelinviestit ovat tyypillisesti espanjaksi. Ryhmän uskotaan olleen aktiivinen joulukuusta 2020 lähtien, mutta se on lentänyt menestyksekkäästi tutkan alla viime vuosina. SentinelLabsin vanhempi johtaja Juan Andrés Guerrero-Saade sanoi, että tiimi jakoi tietoja Metadorista muiden turvallisuusyritysten ja valtion kumppanien tutkijoille, mutta kukaan ei tiennyt ryhmästä mitään.
Guerrero-Saade ja SentinelLabsin tutkijat Amitai Ben Shushan Ehrlich ja Aleksandar Milenkoski julkaisivat blogi ja tekniset yksityiskohdat kahdesta haittaohjelmaalustasta, metaMainista ja Mafaldasta, toivoen löytävänsä lisää tartunnan saaneita uhreja. "Tiesimme missä he olivat, emme missä he ovat nyt", Guerrero-Saade sanoi.
MetaMain on takaovi, joka voi kirjata hiiren ja näppäimistön toimintaa, ottaa kuvakaappauksia ja poistaa tietoja ja tiedostoja. Sitä voidaan myös käyttää asentamaan Mafalda, erittäin modulaarinen kehys, joka tarjoaa hyökkääjille mahdollisuuden kerätä järjestelmä- ja verkkotietoja ja muita lisäominaisuuksia. Sekä metaMain että Mafalda toimivat kokonaan muistissa eivätkä asennu itseään järjestelmän kiintolevylle.
Poliittinen sarjakuva
Haittaohjelman nimen uskotaan saaneen inspiraationsa Mafaldasta, suositusta espanjankielisestä sarjakuvasta Argentiinasta, joka kommentoi säännöllisesti poliittisia aiheita.
Metador asetti jokaiselle uhrille yksilölliset IP-osoitteet varmistaakseen, että vaikka yksi komento ja ohjaus paljastetaan, muu infrastruktuuri pysyy toimintakunnossa. Tämä tekee myös erittäin vaikeaksi löytää muita uhreja. Usein käy niin, että kun tutkijat löytävät hyökkäysinfrastruktuurin, he löytävät useille uhreille kuuluvaa tietoa – mikä auttaa kartoittamaan ryhmän toiminnan laajuutta. Koska Metador pitää kohdekampanjansa erillään, tutkijoilla on vain rajallinen näkemys Metadorin toiminnasta ja siitä, millaisiin uhreihin ryhmä kohdistuu.
Se, mitä ryhmä ei kuitenkaan näytä välittävän, on sekoittuminen muiden hyökkäysryhmien kanssa. Metadorin uhriksi joutunut Lähi-idän televiestintäyritys oli jo vaarantunut ainakin 10 muun kansallisvaltion hyökkäysryhmän toimesta, tutkijat havaitsivat. Monet muut ryhmät näyttivät olevan yhteydessä Kiinaan ja Iraniin.
Useita samaan järjestelmään kohdistuvia uhkaryhmiä kutsutaan joskus "uhkien magneetiksi", koska ne houkuttelevat ja isännöivät eri ryhmiä ja haittaohjelmaalustoja samanaikaisesti. Monet kansallisvaltion toimijat ottavat aikaa poistaakseen jälkiä muiden ryhmien tartunnasta ja jopa korjatakseen muiden ryhmien käyttämiä puutteita ennen omien hyökkäystoimintojensa suorittamista. Se, että Metador tartutti haittaohjelmia järjestelmään, jonka muut ryhmät ovat jo (toistuvasti) vaarantaneet, viittaa siihen, että ryhmä ei välitä siitä, mitä muut ryhmät tekisivät, SentinelLabsin tutkijat sanoivat.
On mahdollista, että tietoliikenneyritys oli niin arvokas kohde, että ryhmä oli valmis ottamaan havaitsemisriskin, koska useiden ryhmien läsnäolo samassa järjestelmässä lisää todennäköisyyttä, että uhri huomaa jotain vialla.
Hai hyökkäys
Vaikka ryhmä näyttää olevan erittäin hyvin resursoitu - kuten haittaohjelmien tekninen monimutkaisuus, ryhmän edistynyt toimintaturvallisuus havaitsemisen välttämiseksi ja se, että sitä kehitetään aktiivisesti, Guerrero-Saade varoitti, että se ei riittänyt. kansallisvaltion osallisuuden selvittämiseksi. On mahdollista, että Metador voi olla kansallisvaltion puolesta työskentelevän urakoitsijan tuote, koska on merkkejä siitä, että ryhmä oli erittäin ammattimainen, Geurrero-Saade sanoi. Ja jäsenillä saattaa olla aikaisempaa kokemusta tämän tyyppisten hyökkäysten toteuttamisesta tällä tasolla, hän huomautti.
"Pidämme Metadorin löytöä hain evänä, joka rikkoo veden pinnan", tutkijat kirjoittivat ja huomauttavat, että heillä ei ole aavistustakaan siitä, mitä alla tapahtuu. "Se on ennakko-aavistuksen syy, joka vahvistaa tietoturvateollisuuden tarpeen ennakoivasti suunnitella havaitsemaan uhkatoimijoiden todellisen yläkuoren, jotka tällä hetkellä kulkevat verkkojen läpi rankaisematta."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
