Dokonalejšia kybernetická špionáž: Blackgear zneužíva pre komunikáciu sociálne siete

Najdômyselnejšia kyberšpionážna kampaň rokov 2008-2010 sa objavila znovu. A opäť v plnej sile využíva možnosti tejto doby. Rovnako ako minule mieria útočníci prevažne na Áziu. Aj napriek tomu je dobré sa jej venovať aj v Európe, pretože môže byť ukážkou toho, ako môžu fungovať novodobé útoky kdekoľvek na svete. Aj hackeri sa nechávajú inšpirovať prácou iných.

História kyberšpionážnej kampane Blackgear, známej pod názvom Topgear alebo Comnie, siaha až do roku 2008. V prípade kampane Blackgear stojí za zmienku technológia, ktorá bráni odhaleniu útokov. Na rozdiel od tradičného prístupu skrývania sa pred bezpečnostnými programami, kedy sú informácie o riadiacom centre obsiahnuté priamo v malware a dané uzly je tak možné ľahko zablokovať. Taktika použitá v Blackgear umožňuje ľahké zmeny podľa aktuálnych potrieb. Kampaň tak môže prebiehať dlhšie a útočníci majú príležitosť viac sa rozšíriť v prostredí obete. Inými slovami - získať prístup do väčšej časti počítača, serveru alebo mobilu.

Samotný priebeh útoku začína tým, že škodlivý dokument alebo inštalačný súbor zaslaný e-mailom posúži ako návnada – cieľom je primäť nič netušiacu obeť k tomu, aby taký súbor otvorila či spustila. Po kliknutí na škodlivý súbor dôjde v zložke Temp k vytvoreniu sťahovača Marade a k zväčšeniu jeho veľkosti na viac než 50 MB – vďaka tejto veľkosti ho budú tradičné bezpečnostné riešenia využívajúce sandboxing ignorovať.

Marade preverí či je napadnutý systém pripojený k internetu a či je nainštalovaný nejaký antivírový program. Pokiaľ je pripojenie k internetu funkčné a nie je nainštalovaný žiadny antivír, Marade sa pozrie na príspevok na blogu alebo sociálnej sieti, ktorý je pod kontrolou Blackgear a stiahne zašifrované informácie o riadiacom centre.

V opačnom prípade Marade použije preddefinovanú konfiguráciu, ktorú má obsiahnutú vo svojom kóde. Šifrovaané reťazce poslúžia ako tzv. magnet linky (teda odkazy, dokazujúce, že zložka obsahuje to, čo tvrdí), ktoré zabránia tomu, aby antivírové programy škodlivú komunikáciu detekovali. Marade potom tieto reťazce dešifruje a získa informácie o riadiacom centre. Riadiace centrum zašle na počítač obete Protux (program na záznam zvuku) a spustí ho. Ten potom posiela informácie riadiacemu centru.

Bez práce nie sú koláče, a to platí aj pre hackerov
Veľmi dôležitý je proaktívny prístup. Schopnosť dlhodobého prežitia Blackgearu vychádza z mechanizmov, ktoré mu umožňujú vyhnúť sa tradičným bezpečnostným riešeniam. Konkrétnym príkladom je aj to, že Blackgear využíva v rámci každého útoku dve štádia – prvá fáza „iba“ získava informácie a robí prieskum napadnutého systému a potenciálna obeť nemusí v tomto okamžiku vôbec nič zistiť.

Pozornosť (a reakciu technických obranných prostriedkov) nemusí v prípade následnej infekcie vyvolať ani stiahnutie informácií potrebných pre komunikáciu s riadiacim centrom – sú predsa uložené na blogoch alebo príspevkoch na sociálnych sieťach.

Útoky Blackgear potvrdzujú, že organizácie musia definovať nasadiť bezpečnostné opatrenia, ktoré im na hrozby umožnia reagovať proaktívne. Napríklad rozsiahle využívanie techník pre aktívne odhaľovanie hrozieb v jednotlivých spoločnostiach a zároveň pomáha preveriť identifikátory útoky a zistiť, či je bezpečnostný incident ojedinelý alebo súčasťou väčšej kampane.

Vďaka lepšej vizibilite vlastného prostredia majú organizácie k dispozícii podrobnejšie informácie o hrozbách v širšom kontexte a môžu útokom lepšie porozumieť. Môžu odhaliť aké bezpečnostné zraniteľnosti útoky zneužívajú, či prebiehajú na rôznych frontoch alebo či sa už malvéru podarilo v sieti sa rozšíriť.