LABSCON – Скоттсдейл, штат Аризона. – Нова загроза, яка заразила телекомунікаційну компанію на Близькому Сході та кількох інтернет-провайдерів і університетів на Близькому Сході та в Африці, відповідає за дві «надзвичайно складні» платформи зловмисного програмного забезпечення — але багато про група, яка залишається оповитою таємницею, згідно з новими дослідженнями, розкритими тут сьогодні.
Дослідники з SentintelLabs, які поділилися своїми висновками на першій в історії конференції з безпеки LabsCon, назвали групу Metador на основі фрази «Я мета», яка з’являється у шкідливому коді, і того факту, що повідомлення на сервері зазвичай іспанською мовою. Вважається, що група була активна з грудня 2020 року, але протягом останніх кількох років вона успішно пройшла поза увагою. Хуан Андрес Герреро-Сааде, старший директор SentinelLabs, сказав, що команда поділилася інформацією про Metador з дослідниками з інших охоронних фірм і державних партнерів, але ніхто нічого не знав про групу.
Дослідники Guerrero-Saade і SentinelLabs Амітай Бен Шушан Ерліх і Александар Міленкоскі опублікували блог та технічні подробиці про дві платформи зловмисного програмного забезпечення, metaMain і Mafalda, в надії знайти більше жертв, які були заражені. «Ми знали, де вони були, а не де вони зараз», — сказав Герреро-Сааде.
MetaMain — це бекдор, який може реєструвати дії миші та клавіатури, робити знімки екрана та викрадати дані та файли. Його також можна використовувати для встановлення Mafalda, високомодульної структури, яка надає зловмисникам можливість збирати інформацію про систему та мережу та інші додаткові можливості. І metaMain, і Mafalda повністю працюють у пам’яті й не встановлюються на жорсткий диск системи.
Політичний комікс
Вважається, що назва зловмисного програмного забезпечення була навіяна Mafalda, популярним іспаномовним мультфільмом з Аргентини, який регулярно коментує політичні теми.
Metador встановлює унікальні IP-адреси для кожної жертви, гарантуючи, що навіть якщо один командний і контрольний механізм буде розкрито, решта інфраструктури буде працювати. Це також ускладнює пошук інших жертв. Часто буває так, що коли дослідники виявляють інфраструктуру атак, вони знаходять інформацію, що належить кільком жертвам, що допомагає визначити масштаби діяльності групи. Оскільки Metador тримає свої цільові кампанії окремо, дослідники мають лише обмежене уявлення про операції Metador і про те, на яких жертв орієнтується група.
Однак група, здається, не заперечує, так це змішування з іншими атаками. Дослідники виявили, що близькосхідна телекомунікаційна компанія, яка стала однією з жертв Metador, вже була скомпрометована щонайменше 10 іншими національно-державними атаками. Багато інших груп, як видається, пов'язані з Китаєм та Іраном.
Кілька груп загроз, націлених на одну систему, іноді називають «магнітом загроз», оскільки вони одночасно приваблюють і розміщують різні групи та платформи зловмисного програмного забезпечення. Багато акторів національних держав витрачають час на видалення слідів зараження іншими групами, навіть доходячи до виправлення недоліків, використаних іншими групами, перш ніж здійснювати власні атаки. Той факт, що Metador заразив зловмисне програмне забезпечення в системі, яка вже зламана (неодноразово) іншими групами, говорить про те, що групі байдуже, що робитимуть інші групи, вважають дослідники SentinelLabs.
Цілком можливо, що телекомунікаційна компанія була такою високою ціллю, що група була готова взяти на себе ризик виявлення, оскільки присутність кількох груп в одній системі збільшує ймовірність того, що жертва помітить щось не так.
Shark Attack
Незважаючи на те, що група виглядає надзвичайно добре забезпеченою ресурсами — про що свідчить технічна складність зловмисного програмного забезпечення, розширений оперативний захист групи, щоб уникнути виявлення, і той факт, що вона знаходиться в стадії активної розробки — Герреро-Сааде попередив, що цього недостатньо щоб визначити, що була участь національної держави. Цілком можливо, що Metador може бути продуктом підрядника, який працює від імені національної держави, оскільки є ознаки того, що група була високопрофесійною, сказав Геурреро-Сааде. І члени можуть мати попередній досвід здійснення подібних атак на цьому рівні, зазначив він.
«Ми вважаємо відкриття Метадора схожим на акулячий плавник, який пробиває поверхню води», написали дослідники, зазначивши, що вони не мають уявлення про те, що відбувається під ним. «Це привід для передчуттів, який обґрунтовує потребу індустрії безпеки активно працювати над виявленням справжньої верхівки загрозливих акторів, які зараз безкарно перетинають мережі».
