นักวิจัยเปิดเผย 'Metador' Cyber-Espionage Group ลึกลับ

LABSCON – สกอตส์เดล รัฐแอริโซนา – ภัยคุกคามรายใหม่ที่แพร่เชื้อให้กับบริษัทโทรคมนาคมในตะวันออกกลาง ผู้ให้บริการอินเทอร์เน็ตและมหาวิทยาลัยหลายแห่งในตะวันออกกลางและแอฟริกา เป็นผู้รับผิดชอบแพลตฟอร์มมัลแวร์ที่ “ซับซ้อนอย่างยิ่ง” สองแพลตฟอร์ม แต่ส่วนใหญ่เกี่ยวกับ กลุ่มที่ยังคงปกคลุมไปด้วยความลึกลับ ตามการวิจัยใหม่ที่เปิดเผยที่นี่ในวันนี้

นักวิจัยจาก SentintelLabs ที่แบ่งปันสิ่งที่ค้นพบในการประชุมด้านความปลอดภัยของ LabsCon เป็นครั้งแรก ได้ตั้งชื่อกลุ่ม Metador โดยอ้างอิงจากวลี “I am meta” ที่ปรากฏในโค้ดที่เป็นอันตรายและข้อความจากเซิร์ฟเวอร์มักเป็นภาษาสเปน เชื่อกันว่ากลุ่มนี้เปิดใช้งานตั้งแต่เดือนธันวาคม 2020 แต่ประสบความสำเร็จในการบินภายใต้เรดาร์ในช่วงไม่กี่ปีที่ผ่านมา Juan Andrés Guerrero-Saade ผู้อำนวยการอาวุโสของ SentinelLabs กล่าวว่าทีมได้แบ่งปันข้อมูลเกี่ยวกับ Metador กับนักวิจัยที่บริษัทรักษาความปลอดภัยอื่นๆ และพันธมิตรของรัฐบาล แต่ไม่มีใครรู้อะไรเกี่ยวกับกลุ่มนี้

นักวิจัยของ Guerrero-Saade และ SentinelLabs Amitai Ben Shushan Ehrlich และ Aleksandar Milenkoski ได้ตีพิมพ์ โพสต์บล็อก และ  รายละเอียดทางเทคนิค เกี่ยวกับสองแพลตฟอร์มมัลแวร์ metaMain และ Mafalda โดยหวังว่าจะพบเหยื่อที่ติดเชื้อเพิ่ม “เรารู้ว่าพวกเขาอยู่ที่ไหน ไม่ใช่ตอนนี้” Guerrero-Saade กล่าว

MetaMain เป็นแบ็คดอร์ที่สามารถบันทึกกิจกรรมของเมาส์และคีย์บอร์ด จับภาพหน้าจอ และดึงข้อมูลและไฟล์ออก นอกจากนี้ยังสามารถใช้เพื่อติดตั้ง Mafalda ซึ่งเป็นเฟรมเวิร์กแบบโมดูลาร์สูงที่ช่วยให้ผู้โจมตีสามารถรวบรวมข้อมูลระบบและเครือข่าย และความสามารถเพิ่มเติมอื่นๆ ได้ ทั้ง metaMain และ Mafalda ทำงานในหน่วยความจำทั้งหมด และไม่ติดตั้งตัวเองบนฮาร์ดไดรฟ์ของระบบ

การ์ตูนการเมือง

เชื่อกันว่าชื่อของมัลแวร์ได้รับแรงบันดาลใจจาก Mafalda การ์ตูนภาษาสเปนยอดนิยมจากอาร์เจนตินาที่แสดงความคิดเห็นในหัวข้อทางการเมืองเป็นประจำ

Metador ตั้งค่าที่อยู่ IP ที่ไม่ซ้ำกันสำหรับเหยื่อแต่ละราย เพื่อให้มั่นใจว่าแม้ว่าจะมีการเปิดเผยคำสั่งและการควบคุมเพียงคำสั่งเดียว แต่โครงสร้างพื้นฐานที่เหลือยังคงทำงานอยู่ นอกจากนี้ยังทำให้ยากต่อการค้นหาเหยื่อรายอื่น บ่อยครั้งเมื่อนักวิจัยค้นพบโครงสร้างพื้นฐานของการโจมตี พวกเขาพบข้อมูลที่เป็นของเหยื่อหลายราย ซึ่งช่วยกำหนดขอบเขตของกิจกรรมของกลุ่ม เนื่องจาก Metador แยกแคมเปญเป้าหมายออกจากกัน นักวิจัยจึงมีมุมมองที่จำกัดในการดำเนินงานของ Metador และเหยื่อประเภทใดที่กลุ่มกำหนดเป้าหมาย

อย่างไรก็ตาม สิ่งที่กลุ่มนี้ไม่สนใจก็คือการปะปนกับกลุ่มโจมตีอื่นๆ บริษัทโทรคมนาคมในตะวันออกกลางที่ตกเป็นเหยื่อของ Metador ถูกโจมตีโดยกลุ่มโจมตีรัฐชาติอื่น ๆ อย่างน้อย 10 กลุ่ม นักวิจัยพบว่า กลุ่มอื่นๆ อีกหลายกลุ่มดูเหมือนจะเชื่อมโยงกับจีนและอิหร่าน

กลุ่มภัยคุกคามหลายกลุ่มที่กำหนดเป้าหมายระบบเดียวกันบางครั้งเรียกว่า "แม่เหล็กของภัยคุกคาม" เนื่องจากดึงดูดและโฮสต์กลุ่มและแพลตฟอร์มมัลแวร์ต่างๆ พร้อมกัน ผู้ดำเนินการรัฐชาติหลายคนใช้เวลาในการขจัดร่องรอยของการติดเชื้อจากกลุ่มอื่น แม้กระทั่งแก้ไขข้อบกพร่องที่กลุ่มอื่นใช้ก่อนที่จะดำเนินกิจกรรมการโจมตีของตนเอง นักวิจัย SentinelLabs กล่าวว่าข้อเท็จจริงที่ว่า Metador ติดมัลแวร์บนระบบที่ถูกบุกรุก (ซ้ำแล้วซ้ำเล่า) โดยกลุ่มอื่น ๆ แสดงให้เห็นว่ากลุ่มนี้ไม่สนใจว่ากลุ่มอื่น ๆ จะทำอะไร

เป็นไปได้ว่าบริษัทโทรคมนาคมอาจเป็นเป้าหมายที่มีมูลค่าสูง ซึ่งกลุ่มก็เต็มใจที่จะเสี่ยงต่อการตรวจจับ เนื่องจากการมีอยู่ของหลายกลุ่มในระบบเดียวกันจะเพิ่มโอกาสที่ผู้เสียหายจะสังเกตเห็นสิ่งผิดปกติ

การโจมตีปลาฉลาม

แม้ว่ากลุ่มจะดูมีทรัพยากรที่ดีอย่างมาก โดยเห็นได้จากความซับซ้อนทางเทคนิคของมัลแวร์ การรักษาความปลอดภัยในการปฏิบัติงานขั้นสูงของกลุ่มเพื่อหลบเลี่ยงการตรวจจับ และความจริงที่ว่าอยู่ระหว่างการพัฒนา — Guerrero-Saade เตือนว่ายังไม่เพียงพอ เพื่อพิจารณาว่ามีส่วนเกี่ยวข้องกับรัฐชาติ เป็นไปได้ว่า Metador อาจเป็นผลิตภัณฑ์ของผู้รับเหมาที่ทำงานในนามของรัฐชาติ เนื่องจากมีสัญญาณบ่งชี้ว่ากลุ่มนี้มีความเป็นมืออาชีพสูง Geurrero-Saade กล่าว และสมาชิกอาจมีประสบการณ์ในการโจมตีแบบนี้มาก่อนในระดับนี้

“เราพิจารณาการค้นพบ Metador ที่คล้ายกับครีบฉลามที่ทะลุผิวน้ำ” นักวิจัยเขียน โดยสังเกตว่าพวกเขาไม่รู้ว่าเกิดอะไรขึ้นใต้น้ำ “มันเป็นสาเหตุของการคาดเดาที่พิสูจน์ให้เห็นถึงความจำเป็นที่อุตสาหกรรมการรักษาความปลอดภัยจะต้องทำวิศวกรรมเชิงรุกเพื่อตรวจหาเปลือกนอกที่แท้จริงของผู้คุกคามที่ข้ามผ่านเครือข่ายโดยไม่ต้องรับโทษ”