Image
30.12.2019 0 Comments

Stealth Falcon: Doposiaľ neznámy backdoor kradne dáta na Blízkom východe

Počuli ste už niekedy o skupine útočníkov Stealth Falcon? Prvýkrát sa o nej verejne hovorilo ešte v roku 2012 a jej hlavnými cieľmi sú politickí aktivisti a novinári na Blízkom východe. Odvtedy sa však na radare objavila ešte niekoľkokrát.

Napríklad v roku 2016 jej PowerShell backdoor našli experti neziskovej organizácie so zameraním na bezpečnosť a ľudské práva CitizenLab. Tento rok sa zase objavili informácie o iniciatíve Project Raven, ktorá údajne zamestnáva bývalých pracovníkov americkej Národnej bezpečnostnej agentúry (NSA) a ktorú niektorí analytici spájajú práve so Stealth Falconom.

Výskumníkom z ESETu sa teraz podarilo pridať ďalší diel do tejto skladačky. Objavili totiž nový, doposiaľ verejne neznámy backdoor, ktorý pomenovali Win32/StealthFalcon. Ten sa pritom nápadne podobá na svojho predchodcu z roku 2016. Zaujímavý je však aj z iných dôvodov.

Backdoor síce používa len základné príkazy, no jeho implementácia ukazuje na systematickú snahu útočníkov zbierať a kradnúť dáta obetí. Pozbierané informácie Win32/StealthFalcon napríklad zašifruje a uloží do dočasných súborov s vopred určenou predponou, ktoré potom v pravidelných intervaloch malvér vyhľadá a odošle na server útočníka.

Na komunikáciu so serverom si Win32/StealthFalcon vybral legitímny nástroj operačného systému Windows s názvom Background Intelligent Transfer Service (BITS). Ten slúži na prenos veľkých objemov dát, pričom sa prispôsobuje aktivite používateľa a jeho aplikácií. Využíva tak iba tú šírku pásma, ktorá by inak ostala nevyužitá. Najčastejšie ho využívajú rôzne programy, ktoré bežia v pozadí, ako napríklad nástroje na aktualizáciu či komunikačné aplikácie.

Pre útočníkov využitie BITS predstavuje niekoľko zásadných výhod. Tým, že sa backdoor prispôsobí aktuálnemu zaťaženiu siete, nespomaľuje pripojenie a pre používateľa sa stáva takmer neviditeľným. Použitie tejto formy komunikácie takisto zvyšuje šancu, že sa dostane cez firewall na cieľovom zariadení, a je ťažšie detegovateľné pre antivírusové či iné bezpečnostné produkty.

Ide takisto o mimoriadne spoľahlivý spôsob komunikácie. Prenos dát sa totiž automaticky obnoví aj v prípade, že sa zariadenie obete dočasne odpojí, napríklad pri výpadku siete, pri odhlásení používateľa či pri reštarte.

Win32/StealthFalcon sa navyše dokáže prepínať medzi dvoma rôznymi riadiacimi servermi. Ich adresy sú uložené v kľúči databázy registry spolu s ďalšími nastaveniami backdooru a môžu sa kedykoľvek zmeniť vďaka jednému z príkazov zabudovaných do malvéru.

Keby sa však škodlivému kódu nepodarilo spojiť so servermi po vopred stanovenom počte pokusov, automaticky sa sám z infikovaného systému odstráni.

Stopy pritom zametie tým, že zozbierané súbory prepíše náhodnými dátami a potom spolu s logmi vymaže. Týmto krokom útočníci výrazne komplikujú nielen následnú analýzu útoku, ale aj prípadnú snahu o obnovu vymazaných dát.

Ako už býva pri podobných cielených útokoch zvykom, počet obetí je malý. Podľa telemetrie ESETu sa ciele Win32/StealthFalconu nachádzali v Spojených arabských emirátoch, Saudskej Arábii, Thajsku a Holandsku, pričom v poslednom prípade išlo o diplomatickú misiu blízkovýchodnej krajiny.

Podrobnejšie informácie o Win32/StealthFalcon si môžete prečítať na našom blogu WeLiveSecurity.com.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Made in Slovakia: Predstavujeme zaujímavé inovácie

12.02.2020 14:55

Lepšia obec 2 O projekte Lepšia obec sme už informovali pred rokom. Odvtedy sa projekt rozvinul a pribudla k nemu aj mobilná aplikácia, uľahčujúca obyvateľom komunikáciu s mestským úradom. Cieľom pro ...

ITPro

Python / 4. časť: Efektívny lovec

12.02.2020 14:41

Reťazce (str) Reťazce (strings) patria medzi tzv. zložené (compound) dátové typy, a to z dôvodu, že obsahujú viacero menších prvkov – konkrétne znakov (characters), ktoré zoskupujú do jedného celku. O ...

ITPro

Hory papierov v kancelárii? Takto sa ich zbavíte

30.12.2019 14:12

Každá firma neustále produkuje hromady dokumentov. Stále pribúdajú dáta, ktoré treba spracovávať a uchovávať. Takisto legislatíva kladie na firmy čoraz väčšie požiadavky pri uchovávaní dokumentov spoj ...

Žiadne komentáre

Vyhľadávanie

itSMF 2020

Najnovšie videá