Skupini za kibernetske napade, ki jo sponzorira država, znani kot Billbug, je uspelo ogroziti urada za digitalna potrdila (CA) kot del obsežne vohunske kampanje, ki je trajala vse do marca – kar je skrb zbujajoč razvoj napredne trajne grožnje (APT), opozarjajo raziskovalci.
Digitalna potrdila so datoteke, ki se uporabljajo za podpisovanje programske opreme kot veljavne in preverjanje identitete naprave ali uporabnika za omogočanje šifriranih povezav. Kot tak bi lahko kompromis CA vodil do legije prikritih nadaljnjih napadov.
"Ciljanje na overitelja potrdil je opazno, saj če bi ga napadalci uspeli uspešno ogroziti za dostop do potrdil, bi jih lahko potencialno uporabili za podpis zlonamerne programske opreme z veljavnim potrdilom in ji pomagali, da se izogne odkrivanju na računalnikih žrtev," pravi. Poročilo ta teden od Symanteca. "Prav tako bi lahko uporabil ogrožena potrdila za prestrezanje prometa HTTPS."
"To je potencialno zelo nevarno," ugotavljajo raziskovalci.
Nenehen niz kibernetskih kompromisov
Billbug (alias Lotus Blossom ali Thrip) je vohunska skupina s sedežem na Kitajskem, ki cilja predvsem na žrtve v jugovzhodni Aziji. Znan je po lovu na veliko divjad, tj. po iskanju skrivnosti, ki jih hranijo vojaške organizacije, vladni subjekti in ponudniki komunikacij. Včasih meče širšo mrežo in namiguje na temnejše motive: v enem od preteklih primerov se je infiltriral v vesoljskega operaterja, da bi okužil računalnike, ki spremljajo in nadzorujejo gibanje satelitov.
V zadnjem nizu zlobne dejavnosti je APT zadel panteon vladnih in obrambnih agencij po vsej Aziji, v enem primeru pa je s svojo prilagojeno zlonamerno programsko opremo okužil "veliko število strojev" v vladnem omrežju.
»Ta kampanja je potekala vsaj od marca 2022 do septembra 2022 in možno je, da ta dejavnost še poteka,« pravi Brigid O Gorman, višja obveščevalna analitika pri Symantec Threat Hunter Team. »Billbug je dolgoletna skupina groženj, ki je v preteklih letih izvedla več kampanj. Možno je, da bi se ta dejavnost lahko razširila na dodatne organizacije ali območja, čeprav Symantec za to trenutno nima dokazov.«
Poznan pristop k kibernetskim napadom
Pri teh ciljih in pri CA je bil začetni vektor dostopa izkoriščanje ranljivih, javnih aplikacij. Ko akterji groženj pridobijo možnost izvajanja kode, nadaljujejo z namestitvijo svojih znanih stranskih vrat Hannotog ali Sagerunex po meri, preden se zakopljejo globlje v omrežja.
Za kasnejše stopnje uničevalne verige napadalci Billbug uporabljajo več binarne datoteke, ki živijo zunaj zemlje (LoLBins), kot so AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail in WinRAR, glede na Symantecovo poročilo.
Ta legitimna orodja je mogoče zlorabiti za različne dvojniške uporabe, kot je poizvedovanje v imeniku Active Directory za preslikavo omrežja, arhiviranje datotek ZIP za eksfiltracijo, odkrivanje poti med končnimi točkami, skeniranje NetBIOS in vrat ter nameščanje korenskih potrdil brskalnika - da ne omenjamo prenosa dodatne zlonamerne programske opreme .
Zakulisna vrata po meri v kombinaciji z orodji za dvojno uporabo so znan odtis, ki ga je APT uporabljal v preteklosti. Toda pomanjkanje skrbi glede javne izpostavljenosti je par za tečaj za skupino.
»Pomembno je, da se zdi, da Billbuga ne moti možnost, da se mu pripiše ta dejavnost, pri čemer ponovno uporablja orodja, ki so bila v preteklosti povezana s skupino,« pravi Gorman.
Dodala je: »Pomembna je tudi velika uporaba orodij za dvojno rabo v skupini, ki živijo od zemlje, in poudarja, da morajo imeti organizacije varnostne izdelke, ki ne morejo le zaznati zlonamerne programske opreme, ampak lahko tudi prepoznati, ali se potencialno uporabljajo zakonita orodja na sumljiv ali zlonameren način."
Symantec je obvestil zadevni neimenovani CA, da ga obvesti o dejavnosti, vendar Gorman ni želel ponuditi dodatnih podrobnosti o njegovem odzivu ali prizadevanjih za odpravo napak.
Čeprav zaenkrat ni znakov, da je skupini uspelo ogroziti dejanska digitalna potrdila, raziskovalec svetuje: »Podjetja se morajo zavedati, da je lahko zlonamerna programska oprema podpisana z veljavnimi potrdili, če akterji groženj lahko dosežejo dostop do organov za certificiranje.«
Na splošno bi morale organizacije sprejeti strategijo poglobljene obrambe z uporabo več tehnologij za odkrivanje, zaščito in utrjevanje za zmanjšanje tveganja na vsaki točki potencialne verige napadov, pravi.
"Symantec bi prav tako svetoval izvajanje ustrezne revizije in nadzora uporabe administrativnega računa," je opozoril Gorman. »Predlagali bi tudi ustvarjanje profilov uporabe za skrbniška orodja, saj mnoga od teh orodij napadalci uporabljajo za stransko neopaženo premikanje po omrežju. Na splošno lahko večfaktorsko preverjanje pristnosti (MFA) pomaga omejiti uporabnost ogroženih poverilnic.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
