Läsningstid: 4 minuter
En flygapparat är en dator som är så kraftigt säkrad att den inte har några fysiska eller digitala anslutningar till några nätverk. De är oftast också mycket fysiskt säkrade i datacentra och serverrum med noggrant övervakad fysisk åtkomst. För att lägga till ny data i en luftgappad maskin måste en cyberkriminell fysiskt kränka den anläggning som den är i och använda någon form av externa eller borttagbara media för deras attack, till exempel en optisk skiva, en USB-enhet eller en extern hårddisk . Att använda luftgappade maskiner är verkligen obekvämt, så datorer brukar bara luftaffektera om de hanterar mycket, mycket känslig information. Det gör dem särskilt attraktiva mål för angripare. Om en luftgappad maskin var en handväska, skulle den vara en Hermès vit Himalaya krokodil diamant Birkin väska medan en typisk klientmaskin skulle vara det en av mina älskade Tokidoki-väskor. (Jag föredrar väldigt mina Tokidoki-väskor.)
Palo Alto Networks Unit 42 upptäckte tecken på en ny attack för luftgappade maskiner. Tick är en cyberespionagrupp som har riktat enheter i Sydkorea och Japan. Det finns en koreansk försvarsentreprenör som gör USB-enheter enligt mycket nisch IT-säkerhetscertifieringscenter riktlinjer för koreansk offentlig sektor och privat sektor företagskunder. Enhet 42 upptäckte att åtminstone en av USB-enheterna har mycket noggrant skapat skadlig programvara på dem. Men Unit 42-forskare har inte fysiskt haft någon av de komprometterade USB-enheterna. Det borde vara svårt för en extern part att få skadlig programvara på en av dessa enheter i första hand. Enhet 42 kallar skadlig programvara SymonLoader och utnyttjar exklusivt Windows XP och Windows Server 2003 sårbarheter.
Så Tick har försökt attackera luftaapparater med Windows-versioner som inte har stöttts på länge. Kör många av dessa luftgappade maskiner äldre operativsystem? Det är mycket troligt att Tick försiktigt fingeravtryckt sina mål innan de började utveckla SymonLoader.
Här är angreppsscenariot som enhet 42 antar. Markera på något sätt förvärvade och komprometterade några av dessa hårt säkrade USB-enheter. De lägger sin SymonLoader-skadlig kod på dem när de kan få tillgång till dem. När en kompromitterad enhet är monterad i en riktad luftgappad Windows XP eller Windows Server 2003-maskin utnyttjar SymonLoader sårbarheter som endast hänför sig till dessa operativsystem. Medan SymonLoader finns i minnet, om mer hårt säkrade USB-enheter upptäcks som monterade i filsystemet, kommer det att försöka ladda den okända skadliga filen med API: er utformade för filsystemåtkomst. Det är cykeln med mycket specifikt utformad skadlig programvara för mycket specifika mål! Det är skräddarsydd haute couture Windows-skadlig programvara! Det är för exklusivt för små människor som jag! (Jag använder Linux Mint för närvarande som helst.) Eftersom Unit 42 inte har någon av de komprometterade enheterna i deras besittning kan de bara spekulera hur enheterna har infekterats och hur de levereras till sina mål.
Tick har varit känt för att förvandla legitima applikationer till trojaner. Här är vad Unit 42 skrev om HomamDownloader förra sommaren:
”HomamDownloader är ett litet nedladdningsprogram med minimala intressanta egenskaper ur teknisk synvinkel. HomamDownloader upptäcktes levereras av Tick via en spearphishing-e-post. Motståndaren skapade trovärdig e-post och bilaga efter att ha förstått målen och deras beteende ...
Förutom den socialtekniska e-posttekniken använder angriparen också ett trick till bilagan. Skådespelaren inbäddade skadlig kod i ett resursavsnitt i den legitima SFX-filen som skapats av ett filkrypteringsverktyg och modifierade programmets ingångspunkt för att hoppa till den skadliga koden strax efter att SFX-programmet startade. Den skadliga koden tappar HomamDownloader och hoppar sedan tillbaka till det vanliga flödet i CODE-avsnittet, vilket i sin tur ber användaren om lösenordet och dekrypterar filen. Därför, när en användare kör bilagan och ser lösenordsdialogen på SFX, börjar nedladdaren som släpps av den skadliga koden fungera även om användaren väljer Avbryt i lösenordsfönstret. "
Nu är det dags att återvända till SymonLoader. När en USB-enhet med SymonLoader är monterad i ett av Ticks mål försöker den låta användaren köra den genom att använda en trojaniserad version av någon form av programvara som användaren vill installera i sin miljö. När den har utförts letar SymonLoader efter andra säkrade USB-enheter om och när de är monterade i filsystemet.
SymonLoader extraherar en dold körbar fil från en speciell säker USB-enhet och kör sedan den. Enhet 42-forskare har inte haft en kopia av filen för att undersöka själva. Men de är ganska säkra på att Tick står bakom denna attack eftersom de har hittat skalkod som liknar skalkod som gruppen tidigare varit känd för att använda.
SymonLoader kontrollerar maskinen för sin version av Windows och om den är nyare än Windows Server 2003 eller Windows XP, slutar den att försöka göra något annat. Windows Vista är dess kryptonit, antar jag. Om maskinens operativsystem är Windows XP eller Windows Server 2003, körs ett doldt fönster som kontinuerligt kontrollerar för monterade enheter eftersom de blir en del av filsystemet. SymonLoader använder kommandot SCSI INQUIRY för att verifiera om någon av de nymonterade enheterna är av den specifikt säkrade enhetsmodellen de letar efter. Om parametrarna någonsin matchas extraherar SymonLoader sedan en okänd fil från USB-enheten.
Inte mycket annat är känt om hur SymonLoader beter sig eller varför, men Enhet 42 skrev detta:
”Även om vi inte har en kopia av filen dold på den säkra USB-enheten, har vi mer än tillräckligt med information för att fastställa att det är mer än troligt skadligt. Att utnyttja en säker USB-enhet är en ovanlig teknik och troligen görs i ett försök att kompromissa med luftgappade system, som är system som inte ansluter till det offentliga internet. Vissa branscher eller organisationer är kända för att införa luftgapning av säkerhetsskäl. Dessutom används föråldrade version av operativsystem ofta i dessa miljöer på grund av inga lättuppdaterade lösningar utan internetuppkoppling. När användare inte kan ansluta till externa servrar tenderar de att förlita sig på fysiska lagringsenheter, särskilt USB-enheter, för datautbyte. SymonLoader och den säkra USB-enheten som diskuteras i den här bloggen kan passa för denna omständighet. ”
Det är viss MacGyver-utveckling och distribution av skadlig programvara. Det skulle vara fascinerande och upplystande att veta vilka Ticks specifika mål är, för det är uppenbart att de verkligen vill ha något från dem.
PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Able
- Om oss
- tillgång
- Enligt
- förvärva
- förvärvade
- Dessutom
- Efter
- LUFT
- och
- API: er
- tillämpningar
- attackera
- Attacker
- attraktiv
- tillbaka
- Väskor
- därför att
- blir
- innan
- bakom
- älskad
- Blogg
- brott
- Samtal
- försiktigt
- certifiering
- egenskaper
- Kontroller
- klar
- klient
- CNBC
- koda
- koden sjunker
- kompromiss
- Äventyras
- dator
- datorer
- säker
- Kontakta
- Anslutningar
- Anslutningar
- kontinuerligt
- Entreprenör
- skapas
- trovärdig
- För närvarande
- beställnings
- IT-KRIMINELL
- datum
- Datautbyte
- Försvar
- levereras
- utformade
- detekterad
- Bestämma
- utveckla
- Utveckling
- anordning
- enheter
- dialogruta
- Diamant
- svårt
- digital
- upptäckt
- diskuteras
- fördelning
- inte
- driv
- tappade
- Droppar
- ansträngning
- inbäddade
- sysselsätter
- kryptering
- Teknik
- tillräckligt
- Företag
- enheter
- inträde
- Miljö
- miljöer
- speciellt
- Även
- händelse
- NÅGONSIN
- utbyta
- Exklusiv
- uteslutande
- exekvera
- Utför
- bedrifter
- extern
- extrakt
- Facility
- fascinerande
- Fil
- Förnamn
- passa
- flöda
- hittade
- Fri
- från
- skaffa sig
- Grupp
- riktlinjer
- hantera
- Hård
- kraftigt
- dold
- höggradigt
- Hur ser din drömresa ut
- html
- HTTPS
- in
- industrier
- informationen
- installera
- omedelbar
- intressant
- Internet
- införa
- IT
- Japan
- hopp
- Vet
- känd
- korea
- koreanska
- Efternamn
- Legacy
- sannolikt
- linux
- liten
- läsa in
- Lång
- länge sedan
- du letar
- UTSEENDE
- Lot
- Maskinen
- Maskiner
- GÖR
- malware
- matchas
- Media
- Minne
- minimum
- mint
- modell
- modifierad
- övervakas
- mer
- nätverk
- Nya
- ONE
- drift
- operativsystem
- organisationer
- OS
- Övriga
- parametrar
- del
- särskilt
- parti
- Lösenord
- Personer
- fysisk
- Fysiskt
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- Synvinkel
- besittning
- föredra
- pretty
- tidigare
- privat
- den privata sektorn
- Program
- allmän
- sätta
- skäl
- regelbunden
- forskare
- Liknar
- resurs
- avkastning
- Rum
- Körning
- score-kort
- §
- sektor
- säkra
- Säkrad
- säkerhet
- ser
- känslig
- Servrar
- skall
- Tecken
- Small
- So
- Social hållbarhet
- Samhällsteknik
- Mjukvara
- Lösningar
- några
- något
- Söder
- Sydkorea
- speciell
- specifik
- specifikt
- igång
- startar
- Stoppar
- förvaring
- sådana
- sommar
- Som stöds
- system
- System
- skräddarsydd
- riktade
- mål
- Teknisk
- Smakämnen
- deras
- sig själva
- därför
- Genom
- tid
- till
- alltför
- verktyg
- SVÄNG
- typisk
- typiskt
- Ovanlig
- förståelse
- enhet
- usb
- USB-enheter
- användning
- Användare
- användare
- vanligen
- verifiera
- version
- via
- utsikt
- sårbarheter
- Vad
- som
- medan
- vit
- VEM
- fönster
- utan
- arbetssätt
- skulle
- xp
- Din
- zephyrnet
