LABSCON – Scottsdale, Arizona – En ny trusselaktør som har infisert et telekommunikasjonsselskap i Midtøsten og flere Internett-leverandører og universiteter i Midtøsten og Afrika er ansvarlig for to "ekstremt komplekse" skadevareplattformer – men mye om gruppe som fortsatt er innhyllet i mystikk, ifølge ny forskning avslørt her i dag.
Forskere fra SentintelLabs, som delte funnene sine på den første LabsCon-sikkerhetskonferansen noensinne, kalte gruppen Metador, basert på uttrykket "I am meta" som vises i den ondsinnede koden og det faktum at servermeldingene vanligvis er på spansk. Gruppen antas å ha vært aktiv siden desember 2020, men den har fløyet under radaren de siste årene. Juan Andrés Guerrero-Saade, seniordirektør for SentinelLabs, sa at teamet delte informasjon om Metador med forskere ved andre sikkerhetsfirmaer og regjeringspartnere, men ingen visste noe om gruppen.
Guerrero-Saade og SentinelLabs forskere Amitai Ben Shushan Ehrlich og Aleksandar Milenkoski publiserte en blogginnlegg og tekniske detaljer om de to malware-plattformene, metaMain og Mafalda, i håp om å finne flere ofre som har blitt infisert. "Vi visste hvor de var, ikke hvor de er nå," sa Guerrero-Saade.
MetaMain er en bakdør som kan logge mus- og tastaturaktivitet, ta skjermbilder og eksfiltrere data og filer. Den kan også brukes til å installere Mafalda, et svært modulært rammeverk som gir angripere muligheten til å samle inn system- og nettverksinformasjon og andre tilleggsfunksjoner. Både metaMain og Mafalda opererer utelukkende i minnet og installerer seg ikke på systemets harddisk.
Politisk tegneserie
Navnet på skadevaren antas å ha vært inspirert av Mafalda, en populær spanskspråklig tegneserie fra Argentina som jevnlig kommenterer politiske emner.
Metador satte opp unike IP-adresser for hvert offer, og sikrer at selv om én kommando og kontroll blir avdekket, forblir resten av infrastrukturen operativ. Dette gjør det også ekstremt vanskelig å finne andre ofre. Det er ofte slik at når forskere avdekker angrepsinfrastruktur, finner de informasjon som tilhører flere ofre – noe som hjelper til med å kartlegge omfanget av gruppens aktiviteter. Fordi Metador holder målkampanjene sine adskilt, har forskere bare et begrenset syn på Metadors operasjoner og hva slags ofre gruppen retter seg mot.
Det gruppen imidlertid ikke synes å ha noe imot, er å blande seg med andre angrepsgrupper. Midtøsten-telekommunikasjonsselskapet som var et av Metadors ofre var allerede kompromittert av minst 10 andre nasjonalstatlige angrepsgrupper, fant forskerne. Mange av de andre gruppene så ut til å være tilknyttet Kina og Iran.
Flere trusselgrupper som retter seg mot det samme systemet blir noen ganger referert til som en "magnet av trusler", ettersom de tiltrekker seg og er vert for de forskjellige gruppene og skadevareplattformene samtidig. Mange nasjonalstatlige aktører tar seg tid til å fjerne spor etter infeksjon fra andre grupper, og går til og med så langt som å lappe feilene de andre gruppene brukte, før de utfører sine egne angrepsaktiviteter. Det faktum at Metador infiserte skadelig programvare på et system som allerede er kompromittert (gjentatte ganger) av andre grupper antyder at gruppen ikke bryr seg om hva de andre gruppene ville gjøre, sa SentinelLabs-forskerne.
Det er mulig at telekommunikasjonsselskapet var et mål av høy verdi at gruppen var villig til å ta risikoen for oppdagelse siden tilstedeværelsen av flere grupper på samme system øker sannsynligheten for at offeret vil legge merke til noe galt.
Shark Attack
Selv om gruppen ser ut til å være ekstremt ressurssterke – som bevist av den tekniske kompleksiteten til skadevaren, gruppens avanserte operasjonelle sikkerhet for å unngå oppdagelse, og det faktum at den er under aktiv utvikling – advarte Guerrero-Saade om at det ikke var nok for å fastslå at det var nasjonalstatsinvolvering. Det er mulig at Metador kan være et produkt av en entreprenør som jobber på vegne av en nasjonalstat, ettersom det er tegn på at gruppen var svært profesjonell, sa Geurrero-Saade. Og medlemmene kan ha tidligere erfaring med å utføre slike angrep på dette nivået, bemerket han.
"Vi anser oppdagelsen av Metador som en haifinne som bryter vannoverflaten," skrev forskerne og la merke til at de ikke aner hva som skjer under. "Det er en grunn til forvarsel som underbygger behovet for sikkerhetsindustrien til å proaktivt utvikle for å oppdage den sanne øvre skorpen av trusselaktører som for tiden krysser nettverk ustraffet."
