LABSCON – Scottsdale, Arizona – Nowy podmiot zajmujący się zagrożeniami, który zainfekował firmę telekomunikacyjną na Bliskim Wschodzie oraz wielu dostawców usług internetowych i uniwersytetów na Bliskim Wschodzie i w Afryce, jest odpowiedzialny za dwie „niezwykle złożone” platformy szkodliwego oprogramowania — ale wiele o Grupa, która pozostaje owiana tajemnicą, według nowych badań ujawnionych tutaj dzisiaj.
Badacze z SentintelLabs, którzy podzielili się swoimi odkryciami na pierwszej w historii konferencji bezpieczeństwa LabsCon, nazwali grupę Metador, opierając się na frazie „Jestem meta”, która pojawia się w złośliwym kodzie oraz fakcie, że wiadomości serwera są zazwyczaj w języku hiszpańskim. Uważa się, że grupa działa od grudnia 2020 r., ale w ciągu ostatnich kilku lat z powodzeniem latała pod radarem. Juan Andrés Guerrero-Saade, starszy dyrektor SentinelLabs, powiedział, że zespół udostępnił informacje o Metador badaczom z innych firm zajmujących się bezpieczeństwem i partnerami rządowymi, ale nikt nie wiedział nic o grupie.
Badacze Guerrero-Saade i SentinelLabs Amitai Ben Shushan Ehrlich i Aleksandar Milenkoski opublikowali blogu i szczegóły techniczne o dwóch platformach złośliwego oprogramowania, metaMain i Mafalda, w nadziei na znalezienie większej liczby zainfekowanych ofiar. „Wiedzieliśmy, gdzie byli, a nie gdzie są teraz” – powiedział Guerrero-Saade.
MetaMain to backdoor, który może rejestrować aktywność myszy i klawiatury, przechwytywać zrzuty ekranu oraz wydobywać dane i pliki. Można go również wykorzystać do zainstalowania Mafaldy, wysoce modularnego frameworka, który zapewnia atakującym możliwość zbierania informacji o systemie i sieci oraz innych dodatkowych możliwości. Zarówno metaMain, jak i Mafalda działają całkowicie w pamięci i nie instalują się na dysku twardym systemu.
Komiks polityczny
Uważa się, że nazwa szkodliwego oprogramowania została zainspirowana Mafaldą, popularną hiszpańskojęzyczną kreskówką z Argentyny, która regularnie komentuje tematy polityczne.
Metador ustawia unikalne adresy IP dla każdej ofiary, zapewniając, że nawet w przypadku wykrycia jednego polecenia i kontroli reszta infrastruktury pozostanie sprawna. Utrudnia to również znalezienie innych ofiar. Często zdarza się, że badacze odkrywając infrastrukturę ataku, znajdują informacje należące do wielu ofiar — co pomaga określić zakres działań grupy. Ponieważ Metador utrzymuje oddzielne kampanie docelowe, badacze mają tylko ograniczony wgląd w operacje Metadora i jakiego rodzaju ofiary są skierowane do grupy.
Grupie jednak nie przeszkadza mieszanie się z innymi grupami atakującymi. Naukowcy odkryli, że bliskowschodnia firma telekomunikacyjna, która była jedną z ofiar Metadora, została już skompromitowana przez co najmniej 10 innych grup atakujących państwa narodowe. Wiele innych grup wydawało się być powiązanych z Chinami i Iranem.
Wiele grup zagrożeń atakujących ten sam system jest czasami określanych jako „magnes zagrożeń”, ponieważ jednocześnie przyciągają i hostują różne grupy i platformy złośliwego oprogramowania. Wielu aktorów państwowych poświęca czas na usunięcie śladów infekcji przez inne grupy, posuwając się nawet do załatania wad, których używały inne grupy, przed przeprowadzeniem własnych działań ataku. Według badaczy z SentinelLabs fakt, że Metador zainfekował złośliwe oprogramowanie w systemie, który został już (wielokrotnie) zagrożony przez inne grupy, sugeruje, że grupa nie dba o to, co zrobią inne grupy.
Możliwe, że firma telekomunikacyjna była tak wartościowym celem, że grupa była skłonna podjąć ryzyko wykrycia, ponieważ obecność wielu grup w tym samym systemie zwiększa prawdopodobieństwo, że ofiara zauważy coś nie tak.
Shark Attack
Chociaż wydaje się, że grupa posiada bardzo dobre zasoby — o czym świadczy złożoność techniczna szkodliwego oprogramowania, zaawansowane zabezpieczenia operacyjne grupy pozwalające uniknąć wykrycia oraz fakt, że jest w trakcie aktywnego rozwoju — Guerrero-Saade ostrzegł, że to nie wystarczy. aby ustalić, czy doszło do zaangażowania państwa narodowego. Możliwe, że Metador może być produktem wykonawcy pracującego w imieniu państwa narodowego, ponieważ istnieją oznaki, że grupa była wysoce profesjonalna, powiedział Geurrero-Saade. Zauważył, że członkowie mogą mieć wcześniejsze doświadczenie w przeprowadzaniu tego rodzaju ataków na tym poziomie.
„Uważamy odkrycie Metadora za podobne do płetwy rekina wbijającej się w powierzchnię wody” – napisali naukowcy, zauważając, że nie mają pojęcia, co dzieje się pod spodem. „Jest to powód do złych przeczuć, który uzasadnia potrzebę, aby branża bezpieczeństwa aktywnie pracowała nad wykrywaniem prawdziwej górnej warstwy cyberprzestępców, którzy obecnie bezkarnie przemierzają sieci”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
