SAMSUNG_052020 SAMSUNG_052020 SAMSUNG_052020 Advertisement

Stealth Falcon: Doposiaľ neznámy backdoor kradne dáta na Blízkom východe

0

Počuli ste už niekedy o skupine útočníkov Stealth Falcon? Prvýkrát sa o nej verejne hovorilo ešte v roku 2012 a jej hlavnými cieľmi sú politickí aktivisti a novinári na Blízkom východe. Odvtedy sa však na radare objavila ešte niekoľkokrát.

Napríklad v roku 2016 jej PowerShell backdoor našli experti neziskovej organizácie so zameraním na bezpečnosť a ľudské práva CitizenLab. Tento rok sa zase objavili informácie o iniciatíve Project Raven, ktorá údajne zamestnáva bývalých pracovníkov americkej Národnej bezpečnostnej agentúry (NSA) a ktorú niektorí analytici spájajú práve so Stealth Falconom.

Výskumníkom z ESETu sa teraz podarilo pridať ďalší diel do tejto skladačky. Objavili totiž nový, doposiaľ verejne neznámy backdoor, ktorý pomenovali Win32/StealthFalcon. Ten sa pritom nápadne podobá na svojho predchodcu z roku 2016. Zaujímavý je však aj z iných dôvodov.

Backdoor síce používa len základné príkazy, no jeho implementácia ukazuje na systematickú snahu útočníkov zbierať a kradnúť dáta obetí. Pozbierané informácie Win32/StealthFalcon napríklad zašifruje a uloží do dočasných súborov s vopred určenou predponou, ktoré potom v pravidelných intervaloch malvér vyhľadá a odošle na server útočníka.

Na komunikáciu so serverom si Win32/StealthFalcon vybral legitímny nástroj operačného systému Windows s názvom Background Intelligent Transfer Service (BITS). Ten slúži na prenos veľkých objemov dát, pričom sa prispôsobuje aktivite používateľa a jeho aplikácií. Využíva tak iba tú šírku pásma, ktorá by inak ostala nevyužitá. Najčastejšie ho využívajú rôzne programy, ktoré bežia v pozadí, ako napríklad nástroje na aktualizáciu či komunikačné aplikácie.

Pre útočníkov využitie BITS predstavuje niekoľko zásadných výhod. Tým, že sa backdoor prispôsobí aktuálnemu zaťaženiu siete, nespomaľuje pripojenie a pre používateľa sa stáva takmer neviditeľným. Použitie tejto formy komunikácie takisto zvyšuje šancu, že sa dostane cez firewall na cieľovom zariadení, a je ťažšie detegovateľné pre antivírusové či iné bezpečnostné produkty.

Ide takisto o mimoriadne spoľahlivý spôsob komunikácie. Prenos dát sa totiž automaticky obnoví aj v prípade, že sa zariadenie obete dočasne odpojí, napríklad pri výpadku siete, pri odhlásení používateľa či pri reštarte.

Win32/StealthFalcon sa navyše dokáže prepínať medzi dvoma rôznymi riadiacimi servermi. Ich adresy sú uložené v kľúči databázy registry spolu s ďalšími nastaveniami backdooru a môžu sa kedykoľvek zmeniť vďaka jednému z príkazov zabudovaných do malvéru.

Keby sa však škodlivému kódu nepodarilo spojiť so servermi po vopred stanovenom počte pokusov, automaticky sa sám z infikovaného systému odstráni.

Stopy pritom zametie tým, že zozbierané súbory prepíše náhodnými dátami a potom spolu s logmi vymaže. Týmto krokom útočníci výrazne komplikujú nielen následnú analýzu útoku, ale aj prípadnú snahu o obnovu vymazaných dát.

Ako už býva pri podobných cielených útokoch zvykom, počet obetí je malý. Podľa telemetrie ESETu sa ciele Win32/StealthFalconu nachádzali v Spojených arabských emirátoch, Saudskej Arábii, Thajsku a Holandsku, pričom v poslednom prípade išlo o diplomatickú misiu blízkovýchodnej krajiny.

Podrobnejšie informácie o Win32/StealthFalcon si môžete prečítať na našom blogu WeLiveSecurity.com.

Ondrej Kubovič, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať