A Billbug néven ismert, államilag szponzorált kibertámadási csoportnak sikerült feltörnie egy digitális tanúsító hatóságot (CA) egy széles körű kémkampány részeként, amely márciusig nyúlt vissza – ez egy aggasztó fejlemény a fejlett tartós fenyegetés (APT) játékkönyvében – figyelmeztetnek a kutatók.
A digitális tanúsítványok olyan fájlok, amelyek a szoftver érvényesként való aláírására, valamint az eszköz vagy felhasználó azonosságának ellenőrzésére szolgálnak a titkosított kapcsolatok engedélyezéséhez. Mint ilyen, egy CA-kompromisszum a lopakodó támadások légiójához vezethet.
"Figyelemre méltó a tanúsító hatóság célzása, hiszen ha a támadók sikeresen feltörhetik azt a tanúsítványokhoz való hozzáférés érdekében, akkor potenciálisan felhasználhatnák azokat rosszindulatú programok aláírására egy érvényes tanúsítvánnyal, és segíthetnének elkerülni az észlelést az áldozat gépeken" jelentés ezen a héten a Symantectől. "Előfordulhat, hogy feltört tanúsítványokat is használhat a HTTPS-forgalom elfogására."
„Ez potenciálisan nagyon veszélyes” – jegyezték meg a kutatók.
Folyamatos kiberkompromisszumok özöne
A Billbug (más néven Lotus Blossom vagy Thrip) egy kínai székhelyű kémcsoport, amely elsősorban a délkelet-ázsiai áldozatokat veszi célba. A nagyvadak vadászatáról ismert, vagyis a katonai szervezetek, kormányzati szervek és kommunikációs szolgáltatók titkai után kutat. Néha szélesebb hálót vet ki, sötétebb motivációkat sejtetve: egy korábbi esetben beszivárgott egy repülőgép-üzemeltetőhöz, hogy megfertőzze a műholdak mozgását figyelő és vezérlő számítógépeket.
A legutóbbi aljas tevékenység során az APT a kormányzati és védelmi ügynökségek panteonját érte Ázsia-szerte, és egy esetben „nagyszámú gépet” fertőzött meg egy kormányzati hálózaton egyedi kártevőivel.
„Ez a kampány legalább 2022 márciusa és 2022 szeptembere között zajlott, és lehetséges, hogy ez a tevékenység még folyamatban van” – mondja Brigid O Gorman, a Symantec Threat Hunter Team vezető hírszerzési elemzője. „A Billbug egy régóta fennálló fenyegetettségi csoport, amely több kampányt is végrehajtott az évek során. Lehetséges, hogy ez a tevékenység további szervezetekre vagy földrajzi területekre is kiterjedhet, bár a Symantecnek jelenleg nincs bizonyítéka erre.”
Ismerős megközelítés a kibertámadásokhoz
Ezeken a célokon, valamint a CA-nál a kezdeti hozzáférési vektor a sebezhető, nyilvános alkalmazások kihasználása volt. Miután megszerezték a kód végrehajtásának képességét, a fenyegetés szereplői telepítik ismert, egyedi Hannotog vagy Sagerunex hátsó ajtóikat, mielőtt mélyebbre hatolnának a hálózatokba.
Az ölési lánc későbbi szakaszaihoz a Billbug támadók többszöröst is használnak élő off-the-land binárisok (LoLBins), mint például az AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail és WinRAR a Symantec jelentése szerint.
Ezekkel a törvényes eszközökkel vissza lehet élni különféle doppelganger célokra, mint például az Active Directory lekérdezése a hálózat leképezéséhez, a fájlok ZIP-csomagolása a kiszűréshez, a végpontok közötti utak feltárása, a NetBIOS és a portok vizsgálata, valamint a böngésző gyökértanúsítványainak telepítése – nem beszélve a további rosszindulatú programok letöltéséről. .
Az egyedi hátsó ajtók kettős felhasználású eszközökkel kombinálva ismerős lábnyomok, amelyeket korábban az APT is használt. De az aggodalom hiánya a nyilvánosság előtt par a tanfolyamra a csoportnak.
„Figyelemre méltó, hogy a Billbugot nem tántorítja el az a lehetőség, hogy ezt a tevékenységet neki tulajdonítsák, és olyan eszközöket használjon újra, amelyeket a múltban a csoporthoz kapcsoltak” – mondja Gorman.
Hozzáteszi: „Az is figyelemreméltó, hogy a csoport nagymértékben használja a földet és a kettős felhasználású eszközöket, és hangsúlyozza, hogy a szervezeteknek olyan biztonsági termékekkel kell rendelkezniük, amelyek nemcsak észlelik a rosszindulatú programokat, hanem azt is felismeri, hogy jogszerű eszközöket használnak-e gyanús vagy rosszindulatú módon.”
A Symantec értesítette a szóban forgó, meg nem nevezett CA-t, hogy tájékoztassa a tevékenységről, de Gorman nem volt hajlandó további részleteket közölni a válaszadásról vagy a helyreállítási erőfeszítésekről.
Bár egyelőre semmi jel nem utal arra, hogy a csoport képes lett volna tényleges digitális tanúsítványokat feltörni, a kutató azt tanácsolja: „A vállalatoknak tisztában kell lenniük azzal, hogy a rosszindulatú programok érvényes tanúsítványokkal is aláírhatók, ha a fenyegető szereplők hozzáférhetnek a hitelesítési hatóságokhoz.”
Általánosságban elmondható, hogy a szervezeteknek egy mélyreható védelmi stratégiát kell alkalmazniuk, többféle észlelési, védelmi és keményítő technológiát alkalmazva a kockázatok csökkentése érdekében a potenciális támadási lánc minden pontján, mondja.
„A Symantec az adminisztratív fiókhasználat megfelelő auditálását és ellenőrzését is javasolja” – jegyezte meg Gorman. „Azt is javasoljuk, hogy hozzon létre használati profilokat az adminisztrátori eszközökhöz, mivel ezen eszközök nagy részét a támadók arra használják, hogy oldalirányban, észrevétlenül mozogjanak a hálózaton keresztül. A többtényezős hitelesítés (MFA) mindenütt segíthet korlátozni a feltört hitelesítő adatok hasznosságát.”
