התוכנה הזדונית החזקה של Chaos התפתחה שוב, והפכה לאיום חדש מבוסס Go, מרובה פלטפורמות, שאינו דומה לאיטרציה הקודמת של תוכנת הכופר. כעת הוא מכוון לפרצות אבטחה ידועות כדי להשיק התקפות מניעת שירות מבוזרות (DDoS) ולבצע קריפטומין.
חוקרים מ-Black Lotus Labs, זרוע מודיעין האיומים של Lumen Technologies, צפו לאחרונה בגרסה של כאוס שנכתבה בסינית, ממנפת תשתית מבוססת סין ומציגה התנהגות שונה בהרבה מהפעילות האחרונה שראה בונה תוכנת הכופר באותו שם, הם אמרו בפוסט בבלוג פורסם ב-28 בספטמבר.
ואכן, ההבחנות בין גרסאות מוקדמות יותר של כאוס לבין 100 אשכולות הכאוס המובחנים והאחרונים שחוקרים הבחינו בהם כל כך שונות עד שהם אומרים שזה מהווה איום חדש לגמרי. למעשה, חוקרים מאמינים שהגרסה האחרונה היא למעשה האבולוציה של DDoS botnet Kaiji ואולי "נבדל מבונה תוכנת הכופר של Chaos" שנראה בעבר בטבע, הם אמרו.
Kaiji, שהתגלה ב-2020, כיוון במקור לשרתי AMD ו-i386 מבוססי לינוקס על ידי מינוף של כוח גס של SSH כדי להדביק בוטים חדשים ולאחר מכן להשיק התקפות DDoS. Chaos פיתחה את היכולות המקוריות של Kaiji כדי לכלול מודולים עבור ארכיטקטורות חדשות - כולל Windows - כמו גם הוספת מודולי הפצה חדשים באמצעות ניצול CVE וקצירת מפתחות SSH, אמרו החוקרים.
פעילות כאוס אחרונה
בפעילות האחרונה, Chaos פגעה בהצלחה שרת GitLab ופתחה שפע של התקפות DDoS המכוונות לתעשיית המשחקים, השירותים הפיננסיים והטכנולוגיה, ותעשיית המדיה והבידור, יחד עם ספקי DDoS-as-a-service ובורסת מטבעות קריפטוגרפיים.
Chaos מכוון כעת לא רק לארגונים ולארגונים גדולים, אלא גם ל"מכשירים ומערכות שאינם מנוטרים באופן שגרתי כחלק ממודל אבטחה ארגוני, כגון נתבי SOHO ו- FreeBSD OS", אמרו החוקרים.
ולמרות שבפעם האחרונה שכאוס זוהה בטבע היא פעלה יותר כתוכנת כופר טיפוסית שנכנסה לרשתות במטרה להצפין קבצים, לשחקנים מאחורי הגרסה האחרונה יש מניעים שונים מאוד בראש, אמרו החוקרים.
נראה כי הפונקציונליות בין הפלטפורמות והמכשירים שלו, כמו גם פרופיל החמקן של תשתית הרשת מאחורי פעילות Chaos האחרונה מוכיחים שמטרת הקמפיין היא לטפח רשת של מכשירים נגועים כדי למנף לגישה ראשונית, התקפות DDoS והצפנה , לפי החוקרים.
הבדלים מרכזיים ודמיון אחד
בעוד שדוגמאות קודמות של Chaos נכתבו ב-.NET, התוכנה הזדונית האחרונה כתובה ב-Go, שהופך במהירות ל- שפת בחירה עבור גורמי איומים בשל הגמישות בין הפלטפורמות, שיעורי זיהוי האנטי-וירוס הנמוכים והקושי בהנדסה לאחור, אמרו החוקרים.
ואכן, אחת הסיבות לכך שהגרסה האחרונה של Chaos כל כך חזקה היא משום שהיא פועלת על פני פלטפורמות מרובות, כולל לא רק מערכות הפעלה של Windows ולינוקס אלא גם ARM, Intel (i386), MIPS ו-PowerPC, הם אמרו.
זה גם מתפשט בצורה שונה בהרבה מאשר גרסאות קודמות של התוכנה הזדונית. בעוד שחוקרים לא הצליחו לברר את וקטור הגישה הראשוני שלו, ברגע שהוא משתלט על מערכת, גרסאות ה-Chaos העדכניות מנצלות פגיעויות ידועות באופן שמראה את היכולת להסתובב במהירות, ציינו החוקרים.
"בין הדגימות שניתחנו דווח CVEs עבור Huawei (CVE-2017-17215) ו ZYXEL (CVE-2022-30525) חומות אש אישיות, ששניהם מינפו פגיעויות לא מאומתות של הזרקת שורת פקודה מרחוק", הם ציינו בפוסט שלהם. "עם זאת, קובץ ה-CVE נראה טריוויאלי עבור השחקן לעדכן, ואנו מעריכים שיש סבירות גבוהה שהשחקן ממנף CVEs אחרים."
הכאוס אכן עבר גלגולים רבים מאז הופיע לראשונה ביוני 2021 וסביר להניח שהגרסה האחרונה הזו לא תהיה האחרונה שלה, אמרו החוקרים. האיטרציה הראשונה שלו, Chaos Builder 1.0-3.0, התיימרה להיות בונה עבור גרסת .NET של תוכנת הכופר של Ryuk, אך עד מהרה הבחינו החוקרים שהיא מזכירה מעט את Ryuk והיא למעשה מגב.
התוכנה הזדונית התפתחה על פני מספר גרסאות עד לגרסה רביעית של בונה Chaos אשר שוחררה בסוף 2021 וקיבלה דחיפה כאשר קבוצת איומים בשם Onyx יצרה תוכנת כופר משלה. גרסה זו הפכה במהרה למהדורת Chaos הנפוצה ביותר שנצפתה ישירות בטבע, כשהיא מצפינה כמה קבצים אך ממשיכה לדרוס והרסה את רוב הקבצים בדרכה.
מוקדם יותר השנה במאי, בונה הכאוס החליפה את יכולות המגב שלה להצפנה, על פני השטח עם מותג בינארי מחודש בשם Yashma ששילב יכולות כופר מלאות.
בעוד שההתפתחות העדכנית ביותר של הכאוס שבה ראתה Black Lotus Labs שונה בהרבה, יש לה דמיון משמעותי אחד עם קודמותיה - צמיחה מהירה שספק אם תאט בקרוב, אמרו החוקרים.
התעודה המוקדמת ביותר של גרסת הכאוס האחרונה הופקה ב-16 באפריל; זה לאחר מכן כאשר חוקרים מאמינים ששחקני איום השיקו את הגרסה החדשה בטבע.
מאז, מספר תעודות Chaos בחתימה עצמית הראה "צמיחה ניכרת", יותר מהכפלה במאי ל-39 ואז קפץ ל-93 בחודש אוגוסט, אמרו החוקרים. נכון ל-20 בספטמבר, החודש הנוכחי כבר עבר את סך החודש הקודם עם יצירת 94 תעודות כאוס, לדבריהם.
הפחתת סיכונים בכל רחבי הלוח
מכיוון שכאוס תוקף כעת קורבנות מהמשרדים הביתיים הקטנים ביותר ועד הארגונים הגדולים ביותר, החוקרים הגישו המלצות ספציפיות לכל סוג מטרה.
לאלו המגינים על רשתות, הם יעצו שמנהלי רשת יישארו בשליטה על ניהול התיקונים עבור נקודות תורפה שהתגלו לאחרונה, מכיוון שזוהי הדרך העיקרית שבה כאוס מתפשט.
"השתמש ב-IoCs המתוארים בדוח זה כדי לעקוב אחר זיהום כאוס, כמו גם קשרים לכל תשתית חשודה", המליצו החוקרים.
צרכנים עם נתבים קטנים למשרד ולמשרד ביתי צריכים לעקוב אחר שיטות עבודה מומלצות של הפעלה מחדש של נתבים והתקנת עדכוני אבטחה ותיקונים, כמו גם למנף פתרונות EDR מוגדרים ומעודכנים כהלכה במארחים. משתמשים אלה צריכים גם לתקן תוכנה באופן קבוע על ידי החלת עדכוני ספקים במידת הצורך.
עובדים מרחוק - משטח תקיפה שגדל באופן משמעותי במהלך השנתיים האחרונות של המגיפה - גם נמצא בסיכון, ואמור להפחית אותו על ידי שינוי סיסמאות ברירת המחדל והשבתת גישת שורש מרחוק במכונות שאינן דורשות זאת, המליצו החוקרים. עובדים כאלה צריכים גם לאחסן מפתחות SSH בצורה מאובטחת ורק במכשירים הדורשים אותם.
עבור כל העסקים, Black Lotus Labs ממליצה לשקול את היישום של הגנות מקיפות של שירות גישה מאובטחת (SASE) והגנת DDoS כדי לחזק את תנוחות האבטחה הכוללות שלהם ולאפשר זיהוי חזק בתקשורת מבוססת רשת.
