LABSCON – Scottsdale, Arizona – Un nou actor de amenințări care a infectat o companie de telecomunicații din Orientul Mijlociu și mai mulți furnizori de servicii de internet și universități din Orientul Mijlociu și Africa este responsabil pentru două platforme malware „extrem de complexe” – dar multe despre grup care rămâne învăluit în mister, conform noilor cercetări dezvăluite astăzi aici.
Cercetătorii de la SentitelLabs, care și-au împărtășit descoperirile la prima conferință de securitate LabsCon, au numit grupul Metador, pe baza expresiei „Sunt meta” care apare în codul rău intenționat și a faptului că mesajele de pe server sunt de obicei în spaniolă. Se crede că grupul a fost activ din decembrie 2020, dar a trecut cu succes sub radar în ultimii ani. Juan Andrés Guerrero-Saade, director senior al SentinelLabs, a declarat că echipa a împărtășit informații despre Metador cu cercetătorii altor firme de securitate și parteneri guvernamentali, dar nimeni nu știa nimic despre grup.
Cercetătorii Guerrero-Saade și SentinelLabs Amitai Ben Shushan Ehrlich și Aleksandar Milenkoski au publicat un blog și detalii tehnice despre cele două platforme malware, metaMain și Mafalda, în speranța de a găsi mai multe victime care au fost infectate. „Știam unde sunt, nu unde sunt acum”, a spus Guerrero-Saade.
MetaMain este o ușă din spate care poate înregistra activitatea mouse-ului și a tastaturii, poate face capturi de ecran și poate exfiltra date și fișiere. Poate fi folosit și pentru a instala Mafalda, un cadru extrem de modular care oferă atacatorilor capacitatea de a colecta informații despre sistem și rețea și alte capacități suplimentare. Atât metaMain, cât și Mafalda funcționează în întregime în memorie și nu se instalează pe hard disk-ul sistemului.
Comic politic
Se crede că numele malware-ului ar fi fost inspirat de Mafalda, un desen animat popular în limba spaniolă din Argentina, care comentează în mod regulat subiecte politice.
Metador a configurat adrese IP unice pentru fiecare victimă, asigurându-se că, chiar dacă o comandă și un control sunt descoperite, restul infrastructurii rămâne operațională. Acest lucru face, de asemenea, extrem de dificilă găsirea altor victime. Se întâmplă adesea ca atunci când cercetătorii descoperă infrastructura de atac, ei găsesc informații care aparțin mai multor victime – ceea ce ajută la identificarea amplorii activităților grupului. Deoarece Metador își păstrează campaniile țintă separate, cercetătorii au doar o viziune limitată asupra operațiunilor Metador și asupra tipului de victime vizate de grup.
Ceea ce grupului nu pare să-l deranjeze, totuși, este amestecarea cu alte grupuri de atac. Compania de telecomunicații din Orientul Mijlociu care a fost una dintre victimele lui Metador a fost deja compromisă de cel puțin alte 10 grupuri de atac ale statului național, au descoperit cercetătorii. Multe dintre celelalte grupuri păreau a fi afiliate cu China și Iran.
Mai multe grupuri de amenințări care vizează același sistem sunt uneori denumite „magnet al amenințărilor”, deoarece atrag și găzduiesc diferite grupuri și platforme de malware simultan. Mulți actori din statul național își fac timp pentru a îndepărta urmele de infecție de către alte grupuri, mergând chiar până la a corecta defectele pe care le-au folosit celelalte grupuri, înainte de a-și desfășura propriile activități de atac. Faptul că Metador a infectat malware pe un sistem deja compromis (în mod repetat) de către alte grupuri sugerează că grupului nu îi pasă de ceea ce ar face celelalte grupuri, au spus cercetătorii SentinelLabs.
Este posibil ca compania de telecomunicații să fi fost o țintă de valoare atât de mare încât grupul să fi fost dispus să își asume riscul de detectare, deoarece prezența mai multor grupuri pe același sistem crește probabilitatea ca victima să observe ceva în neregulă.
Atac de rechin
În timp ce grupul pare să dispună de resurse extrem de bine - așa cum demonstrează complexitatea tehnică a malware-ului, securitatea operațională avansată a grupului pentru a evita detectarea și faptul că este în curs de dezvoltare activă - Guerrero-Saade a avertizat că nu a fost suficient. pentru a determina că a existat implicarea statului-națiune. Este posibil ca Metador să fie produsul unui antreprenor care lucrează în numele unui stat-națiune, deoarece există semne că grupul a fost foarte profesionist, a spus Geurrero-Saade. Și membrii pot avea experiență anterioară în efectuarea unor astfel de atacuri la acest nivel, a menționat el.
„Considerăm că descoperirea lui Metador este asemănătoare cu o înotătoare de rechin care sparge suprafața apei”, au scris cercetătorii, observând că nu au idee ce se întâmplă dedesubt. „Este un motiv de presimțire care confirmă necesitatea ca industria de securitate să se proiecteze în mod proactiv pentru a detecta adevărata crusta superioară a actorilor amenințărilor care traversează în prezent rețelele cu impunitate.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
