LABSCON – סקוטסדייל, אריז. – שחקן איום חדש שהדביק חברת טלקומוניקציה במזרח התיכון ומספר ספקי שירותי אינטרנט ואוניברסיטאות במזרח התיכון ובאפריקה אחראי לשתי פלטפורמות תוכנות זדוניות "מורכבות ביותר" - אבל הרבה על קבוצה שנותרה אפופה במסתורין, על פי מחקר חדש שנחשף כאן היום.
חוקרים מ-SentintelLabs, ששיתפו את הממצאים שלהם בכנס האבטחה הראשון אי פעם של LabsCon, כינו את הקבוצה Metador, בהתבסס על הביטוי "I am meta" המופיע בקוד הזדוני והעובדה שהודעות השרת הן בדרך כלל בספרדית. ההערכה היא שהקבוצה פעילה מאז דצמבר 2020, אך היא טסה בהצלחה מתחת לרדאר בשנים האחרונות. חואן אנדרס גררו-סאדה, מנהל בכיר של SentinelLabs, אמר שהצוות שיתף מידע על Metador עם חוקרים מחברות אבטחה אחרות ושותפים ממשלתיים, אך איש לא ידע דבר על הקבוצה.
חוקרי Guerrero-Sade ו-SentinelLabs אמיתי בן שושן ארליך ואלכסנדר מילנקוסקי פרסמו בלוג ו פרטים טכניים על שתי פלטפורמות הזדוניות, metaMain ו-Mafalda, בתקווה למצוא עוד קורבנות שנדבקו. "ידענו איפה הם נמצאים, לא איפה הם נמצאים עכשיו", אמר גררו-סאדה.
MetaMain היא דלת אחורית שיכולה לרשום פעילות עכבר ומקלדת, לתפוס צילומי מסך ולחלץ נתונים וקבצים. ניתן להשתמש בו גם כדי להתקין את Mafalda, מסגרת מודולרית ביותר המספקת לתוקפים את היכולת לאסוף מידע מערכת ורשת ויכולות נוספות אחרות. גם metaMain וגם Mafalda פועלות לחלוטין בזיכרון ואינן מתקינות את עצמן על הכונן הקשיח של המערכת.
קומיקס פוליטי
על פי הערכות, שמה של התוכנה הזדונית נוצר בהשראת Mafalda, קריקטורה פופולרית בשפה הספרדית מארגנטינה המעירה באופן קבוע על נושאים פוליטיים.
Metador הגדיר כתובות IP ייחודיות לכל קורבן, מה שמבטיח שגם אם נחשפים פקודה ושליטה אחת, שאר התשתית תישאר מבצעית. זה גם מקשה מאוד על מציאת קורבנות אחרים. לעתים קרובות קורה שכאשר חוקרים חושפים תשתית תקיפה, הם מוצאים מידע השייך למספר קורבנות - מה שעוזר למפות את היקף הפעילות של הקבוצה. מכיוון שמטאדור שומרת על הפרדה בין מסעות הפרסום שלה, לחוקרים יש רק ראייה מוגבלת לגבי הפעילות של Metador ולאיזה סוג של קורבנות הקבוצה מכוונת.
עם זאת, מה שנראה שלא אכפת לקבוצה הוא ערבוב עם קבוצות תקיפה אחרות. חברת התקשורת במזרח התיכון שהייתה אחת מקורבנותיו של מטאדור כבר נפגעה על ידי לפחות 10 קבוצות תקיפה אחרות של מדינות לאום, מצאו החוקרים. נראה שרבים מהקבוצות האחרות היו קשורות לסין ולאיראן.
קבוצות איומים מרובות המכוונות לאותה מערכת מכונה לעתים "מגנט של איומים", מכיוון שהן מושכות ומארחות את הקבוצות השונות ופלטפורמות תוכנות זדוניות בו זמנית. שחקנים רבים במדינות הלאום לוקחים את הזמן כדי להסיר עקבות של זיהום על ידי קבוצות אחרות, אפילו הולכים עד כדי תיקון הפגמים שבהם השתמשו הקבוצות האחרות, לפני שהם מבצעים את פעילות התקיפה שלהם. העובדה שמטאדור הדביקה תוכנה זדונית במערכת שכבר נפגעה (שוב ושוב) על ידי קבוצות אחרות מעידה על כך שלקבוצה לא אכפת ממה שהקבוצות האחרות יעשו, אמרו חוקרי SentinelLabs.
ייתכן שחברת הטלקומוניקציה הייתה יעד בעל ערך גבוה שהקבוצה הייתה מוכנה לקחת את הסיכון של גילוי מכיוון שהנוכחות של מספר קבוצות באותה מערכת מגדילה את הסבירות שהקורבן יבחין במשהו לא בסדר.
Shark Attack
למרות שנראה שהקבוצה בעלת משאבים טובים במיוחד - כפי שמעידה המורכבות הטכנית של התוכנה הזדונית, האבטחה התפעולית המתקדמת של הקבוצה כדי להתחמק מגילוי, והעובדה שהיא בפיתוח פעיל - גררו-סאדה הזהירה שזה לא מספיק לקבוע שיש מעורבות של מדינת לאום. ייתכן שמטדור עשוי להיות תוצר של קבלן שעובד מטעם מדינת לאום, מכיוון שיש סימנים שהקבוצה הייתה מקצועית ביותר, אמר ג'וררו-סאדה. והחברים עשויים להיות בעלי ניסיון קודם בביצוע התקפות מסוג זה ברמה זו, הוא ציין.
"אנו רואים בגילוי של מטאדור דומה לסנפיר כריש הפורץ את פני המים", כתבו החוקרים, וציינו שאין להם מושג מה קורה מתחת. "זו סיבה לגילוי ראש שמבסס את הצורך של תעשיית האבטחה להנדסה באופן יזום לקראת זיהוי הקרום העליון האמיתי של גורמי איומים שחוצים כיום רשתות ללא עונש".
