LABSCON – Scottsdale, Ariz. – Een nieuwe bedreigingsacteur die een telecommunicatiebedrijf in het Midden-Oosten en meerdere internetserviceproviders en universiteiten in het Midden-Oosten en Afrika heeft besmet, is verantwoordelijk voor twee “extreem complexe” malwareplatforms – maar veel over de groep die gehuld blijft in mysterie, volgens nieuw onderzoek dat hier vandaag is onthuld.
Onderzoekers van SentintelLabs, die hun bevindingen deelden op de allereerste LabsCon-beveiligingsconferentie, noemden de groep Metador, gebaseerd op de uitdrukking "I am meta" die in de kwaadaardige code verschijnt en het feit dat de serverberichten meestal in het Spaans zijn. De groep zou sinds december 2020 actief zijn, maar is de afgelopen jaren met succes onder de radar gevlogen. Juan Andrés Guerrero-Saade, senior directeur van SentinelLabs, zei dat het team informatie over Metador deelde met onderzoekers van andere beveiligingsbedrijven en overheidspartners, maar niemand wist iets over de groep.
Guerrero-Saade en SentinelLabs-onderzoekers Amitai Ben Shushan Ehrlich en Aleksandar Milenkoski publiceerden een blogpost en technische details over de twee malwareplatforms, metaMain en Mafalda, in de hoop meer geïnfecteerde slachtoffers te vinden. "We wisten waar ze waren, niet waar ze nu zijn", zei Guerrero-Saade.
MetaMain is een achterdeur die muis- en toetsenbordactiviteit kan loggen, screenshots kan maken en gegevens en bestanden kan exfiltreren. Het kan ook worden gebruikt om Mafalda te installeren, een zeer modulair raamwerk dat aanvallers de mogelijkheid biedt om systeem- en netwerkinformatie en andere aanvullende mogelijkheden te verzamelen. Zowel metaMain als Mafalda werken volledig in het geheugen en installeren zichzelf niet op de harde schijf van het systeem.
Politieke strip
De naam van de malware zou zijn geïnspireerd op Mafalda, een populaire Spaanstalige cartoon uit Argentinië die regelmatig commentaar levert op politieke onderwerpen.
Metador heeft voor elk slachtoffer unieke IP-adressen ingesteld, zodat zelfs als één commando en controle wordt ontdekt, de rest van de infrastructuur operationeel blijft. Dit maakt het ook extreem moeilijk om andere slachtoffers te vinden. Het is vaak zo dat wanneer onderzoekers aanvalsinfrastructuur ontdekken, ze informatie vinden die toebehoort aan meerdere slachtoffers - wat helpt om de omvang van de activiteiten van de groep in kaart te brengen. Omdat Metador zijn doelcampagnes gescheiden houdt, hebben onderzoekers slechts een beperkt zicht op de activiteiten van Metador en op wat voor soort slachtoffers de groep zich richt.
Wat de groep echter niet erg lijkt, is het mengen met andere aanvalsgroepen. Het telecommunicatiebedrijf uit het Midden-Oosten dat een van de slachtoffers van Metador was, was al gecompromitteerd door ten minste 10 andere aanvalsgroepen van nationale staten, ontdekten de onderzoekers. Veel van de andere groepen bleken banden te hebben met China en Iran.
Meerdere bedreigingsgroepen die zich op hetzelfde systeem richten, worden soms een 'magneet van bedreigingen' genoemd, omdat ze de verschillende groepen en malwareplatforms tegelijkertijd aantrekken en hosten. Veel nationale actoren nemen de tijd om sporen van infectie door andere groepen te verwijderen, en gaan zelfs zover dat ze de gebreken herstellen die de andere groepen gebruikten, voordat ze hun eigen aanvalsactiviteiten uitvoeren. Het feit dat Metador malware heeft geïnfecteerd op een systeem dat al (herhaaldelijk) door andere groepen is gecompromitteerd, suggereert dat de groep er niet om geeft wat de andere groepen zouden doen, aldus de onderzoekers van SentinelLabs.
Het is mogelijk dat het telecommunicatiebedrijf zo'n waardevol doelwit was dat de groep bereid was het risico van detectie te nemen, aangezien de aanwezigheid van meerdere groepen op hetzelfde systeem de kans vergroot dat het slachtoffer iets verkeerds opmerkt.
Haaien aanval
Hoewel de groep buitengewoon goed uitgerust lijkt te zijn - zoals blijkt uit de technische complexiteit van de malware, de geavanceerde operationele beveiliging van de groep om detectie te ontwijken en het feit dat de groep actief in ontwikkeling is - waarschuwde Guerrero-Saade dat het niet genoeg was om vast te stellen dat er sprake was van betrokkenheid van de natiestaat. Het is mogelijk dat Metador het product is van een aannemer die namens een natiestaat werkt, aangezien er tekenen zijn dat de groep zeer professioneel was, zei Geurrero-Saade. En de leden kunnen eerdere ervaring hebben met het uitvoeren van dit soort aanvallen op dit niveau, merkte hij op.
"We beschouwen de ontdekking van Metador als een haaienvin die het wateroppervlak doorbreekt", schreven de onderzoekers en merkten op dat ze geen idee hebben wat er onder gebeurt. "Het is een voorgevoel dat de noodzaak bevestigt voor de beveiligingsindustrie om proactief te werken aan het detecteren van de echte bovenlaag van bedreigingsactoren die momenteel ongestraft netwerken doorkruisen."
