LABSCON – Scottsdale, Ariz. – Nova grožnja, ki je okužila telekomunikacijsko podjetje na Bližnjem vzhodu in številne ponudnike internetnih storitev ter univerze na Bližnjem vzhodu in v Afriki, je odgovorna za dve »izjemno zapleteni« platformi zlonamerne programske opreme – a veliko o skupina, ki ostaja zavita v tančico skrivnosti, kažejo nove raziskave, ki so jih danes razkrili tukaj.
Raziskovalci iz SentintelLabs, ki so delili svoje ugotovitve na prvi varnostni konferenci LabsCon v zgodovini, so skupino poimenovali Metador na podlagi izraza "I am meta", ki se pojavi v zlonamerni kodi, in dejstva, da so sporočila strežnika običajno v španščini. Skupina naj bi bila aktivna od decembra 2020, vendar je v zadnjih nekaj letih uspešno priletela pod radar. Juan Andrés Guerrero-Saade, višji direktor SentinelLabs, je dejal, da je ekipa delila informacije o Metadorju z raziskovalci v drugih varnostnih podjetjih in vladnih partnerjih, vendar nihče ni vedel ničesar o skupini.
Guerrero-Saade in raziskovalca SentinelLabs Amitai Ben Shushan Ehrlich in Aleksandar Milenkoski sta objavila blog post in tehnične podrobnosti o dveh platformah zlonamerne programske opreme, metaMain in Mafalda, v upanju, da bomo našli več okuženih žrtev. "Vedeli smo, kje so, ne pa, kje so zdaj," je dejal Guerrero-Saade.
MetaMain je stranska vrata, ki lahko beležijo dejavnost miške in tipkovnice, zajamejo posnetke zaslona ter izločijo podatke in datoteke. Uporablja se lahko tudi za namestitev Mafalde, visoko modularnega ogrodja, ki napadalcem omogoča zbiranje informacij o sistemu in omrežju ter druge dodatne zmogljivosti. Tako metaMain kot Mafalda delujeta izključno v pomnilniku in se ne namestita na trdi disk sistema.
Politični strip
Ime zlonamerne programske opreme naj bi navdihnila Mafalda, priljubljena risanka v španskem jeziku iz Argentine, ki redno komentira politične teme.
Metador je nastavil edinstvene naslove IP za vsako žrtev, s čimer je zagotovil, da ostala infrastruktura še naprej deluje, tudi če sta en ukaz in nadzor odkrita. Zaradi tega je tudi izjemno težko najti druge žrtve. Pogosto se zgodi, da ko raziskovalci odkrijejo infrastrukturo napada, najdejo informacije, ki pripadajo več žrtvam – kar pomaga začrtati obseg dejavnosti skupine. Ker ima Metador svoje ciljne akcije ločene, imajo raziskovalci le omejen pogled na Metadorjeve operacije in na to, na kakšne žrtve skupina cilja.
Zdi se, da skupine ne moti mešanje z drugimi napadalnimi skupinami. Raziskovalci so ugotovili, da je bližnjevzhodno telekomunikacijsko podjetje, ki je bilo ena od Metadorjevih žrtev, že ogrozilo najmanj 10 drugih napadalnih skupin iz nacionalnih držav. Številne druge skupine so bile videti povezane s Kitajsko in Iranom.
Več skupin groženj, ki ciljajo na isti sistem, se včasih imenuje "magnet groženj", saj pritegnejo in gostijo različne skupine in platforme zlonamerne programske opreme hkrati. Številni akterji nacionalne države si vzamejo čas, da odstranijo sledove okužbe s strani drugih skupin, gredo celo tako daleč, da popravijo napake, ki so jih uporabile druge skupine, preden začnejo izvajati lastne napade. Dejstvo, da je Metador okužil zlonamerno programsko opremo v sistemu, ki so ga (večkrat) že ogrozile druge skupine, nakazuje, da skupini ni mar, kaj bodo druge skupine naredile, so povedali raziskovalci SentinelLabs.
Možno je, da je bilo telekomunikacijsko podjetje tako pomembna tarča, da je bila skupina pripravljena tvegati odkritje, saj prisotnost več skupin v istem sistemu poveča verjetnost, da bo žrtev opazila nekaj narobe.
Shark Attack
Medtem ko se zdi, da ima skupina izjemno dobro podprta sredstva – kar dokazuje tehnična zapletenost zlonamerne programske opreme, napredna operativna varnost skupine, da se izogne odkrivanju, in dejstvo, da je v aktivnem razvoju – je Guerrero-Saade opozoril, da to ni dovolj ugotoviti, da je bila vpletena nacionalna država. Možno je, da je Metador produkt izvajalca, ki dela v imenu nacionalne države, saj obstajajo znaki, da je bila skupina visoko profesionalna, je dejal Geurrero-Saade. In člani imajo morda že izkušnje z izvajanjem tovrstnih napadov na tej ravni, je opozoril.
"Menimo, da je odkritje metadorja podobno plavuti morskega psa, ki prebije gladino vode," so zapisali raziskovalci in opozorili, da nimajo pojma, kaj se dogaja pod njo. "To je razlog za slutnjo, ki utemeljuje potrebo, da se varnostna industrija proaktivno loti odkrivanja resničnih vrhov akterjev groženj, ki trenutno nekaznovano prečkajo omrežja."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
