Sponsorowana przez państwo grupa zajmująca się cyberatakami, znana jako Billbug, zdołała włamać się do cyfrowego urzędu certyfikacji (CA) w ramach szeroko zakrojonej kampanii szpiegowskiej, która trwała od marca — ostrzegają naukowcy.
Certyfikaty cyfrowe to pliki używane do podpisywania oprogramowania jako ważnego oraz weryfikowania tożsamości urządzenia lub użytkownika w celu umożliwienia szyfrowanych połączeń. W związku z tym kompromis CA może doprowadzić do legionu ukradkowych ataków następczych.
„Celowanie na urząd certyfikacji jest godne uwagi, ponieważ gdyby atakujący byli w stanie z powodzeniem złamać go w celu uzyskania dostępu do certyfikatów, mogliby potencjalnie wykorzystać je do podpisania złośliwego oprogramowania za pomocą ważnego certyfikatu i pomóc mu uniknąć wykrycia na komputerach ofiar”, zgodnie z zgłosić w tym tygodniu od firmy Symantec. „Może również potencjalnie wykorzystywać naruszone certyfikaty do przechwytywania ruchu HTTPS”.
„Jest to potencjalnie bardzo niebezpieczne” – zauważyli naukowcy.
Ciągła fala cyber-kompromisów
Billbug (aka Lotus Blossom lub Thrip) to chińska grupa szpiegowska, której celem są głównie ofiary w Azji Południowo-Wschodniej. Znany jest z polowania na grubego zwierza, czyli poszukiwania tajemnic posiadanych przez organizacje wojskowe, jednostki rządowe i dostawców usług komunikacyjnych. Czasami rzuca szerszą sieć, wskazując na mroczniejsze motywy: w jednym z wcześniejszych przypadków infiltrował operatora lotniczego, aby zainfekować komputery monitorujące i kontrolujące ruchy satelitów.
W ostatnim okresie nikczemnej działalności APT uderzył w panteon agencji rządowych i obronnych w całej Azji, w jednym przypadku infekując „dużą liczbę maszyn” w sieci rządowej swoim niestandardowym złośliwym oprogramowaniem.
„Ta kampania trwała co najmniej od marca 2022 r. do września 2022 r. i możliwe, że to działanie może nadal trwać” — mówi Brigid O Gorman, starszy analityk wywiadu w zespole Symantec Threat Hunter Team. „Billbug to istniejąca od dawna grupa zajmująca się zagrożeniami, która na przestrzeni lat przeprowadziła wiele kampanii. Możliwe, że działalność ta może rozszerzyć się na dodatkowe organizacje lub obszary geograficzne, chociaż firma Symantec nie ma w tej chwili na to dowodów”.
Znane podejście do cyberataków
W przypadku tych celów, jak również w urzędzie certyfikacji, początkowym wektorem dostępu było wykorzystanie podatnych na ataki aplikacji publicznych. Po zdobyciu zdolności do wykonywania kodu cyberprzestępcy instalują swoje znane, niestandardowe backdoory Hannotog lub Sagerunex, zanim zagłębią się w sieci.
Na późniejszych etapach łańcucha zabijania atakujący Billbug używają wielu pliki binarne żyjące poza ziemią (LoLBins), takie jak AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail i WinRAR, zgodnie z raportem firmy Symantec.
Te legalne narzędzia mogą być wykorzystywane do różnych sobowtórów, takich jak wysyłanie zapytań do Active Directory w celu mapowania sieci, spakowanie plików ZIP w celu eksfiltracji, odkrywanie ścieżek między punktami końcowymi, skanowanie NetBIOS i portów oraz instalowanie certyfikatów głównych przeglądarki — nie wspominając już o pobieraniu dodatkowego złośliwego oprogramowania .
Niestandardowe backdoory w połączeniu z narzędziami podwójnego zastosowania to znany ślad, który był używany przez APT w przeszłości. Ale brak troski o narażenie opinii publicznej jest równowartość kursu dla grupy.
„Warto zauważyć, że Billbug wydaje się być niezrażony możliwością przypisania mu tej czynności, z ponownym wykorzystaniem narzędzi, które były powiązane z grupą w przeszłości” — mówi Gorman.
Dodaje: „Intensywne wykorzystywanie przez grupę narzędzi do utrzymywania się z ziemi i narzędzi podwójnego zastosowania jest również godne uwagi i podkreśla potrzebę posiadania przez organizacje produktów zabezpieczających, które mogą nie tylko wykrywać złośliwe oprogramowanie, ale rozpoznaje również, czy potencjalnie używane są legalne narzędzia w sposób podejrzany lub złośliwy”.
Firma Symantec powiadomiła nienazwany urząd certyfikacji, aby poinformował go o tym działaniu, ale Gorman odmówił podania dalszych szczegółów dotyczących reakcji lub działań naprawczych.
Chociaż jak dotąd nic nie wskazuje na to, by grupie udało się złamać rzeczywiste certyfikaty cyfrowe, badacz radzi: „Przedsiębiorstwa powinny mieć świadomość, że złośliwe oprogramowanie może zostać podpisane za pomocą ważnych certyfikatów, jeśli cyberprzestępcy będą w stanie uzyskać dostęp do urzędów certyfikacji”.
Ogólnie rzecz biorąc, organizacje powinny przyjąć strategię głębokiej obrony, wykorzystującą wiele technologii wykrywania, ochrony i wzmacniania w celu ograniczenia ryzyka w każdym punkcie potencjalnego łańcucha ataków – mówi.
„Symantec zaleca również wdrożenie odpowiedniego audytu i kontroli wykorzystania kont administracyjnych” — zauważył Gorman. „Zasugerowalibyśmy również utworzenie profili użycia narzędzi administracyjnych, ponieważ wiele z tych narzędzi jest używanych przez atakujących do niezauważonego poruszania się po sieci. We wszystkich przypadkach uwierzytelnianie wieloskładnikowe (MFA) może pomóc ograniczyć przydatność naruszonych danych uwierzytelniających”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
