Dobrá a zlá správa: Zanikol obávaný botnet Mozi, iní útočníci sa však zamerali na webmailové servery európskych vlád
Každý mesiac tu rozoberáme pretrvávajúce hrozby, ale niekedy sa stane, že útočníci sa z najrôznejších dôvodov pominú. A to sa stalo aj minulý mesiac, keď sme informovali o náhlom zániku jedného z najväčších IoT botnetov súčasnosti, známeho ako Mozi. IoT je skratka pre Internet of Things čiže internet vecí a pomenovanie IoT botnet poukazuje na fakt, že Mozi sa preslávil zneužívaním zraniteľností v stovkách tisíc zariadení IoT ročne. Neočakávaný pokles aktivity, ktorý sa začal v Indii, bol o týždeň neskôr pozorovaný aj v Číne. Zmenu spôsobila aktualizácia Mozi botov alebo siete infikovaných zariadení, ktorá ich zbavila funkčnosti. Niekoľko týždňov po týchto udalostiach sa výskumníkom spoločnosti ESET podarilo identifikovať a analyzovať vypínač, tzv. kill switch, ktorý spôsobil zánik Mozi.
Výskumníci spoločnosti ESET 27. septembra 2023 zachytili konfiguračný súbor v UDP správe, čo je pre Mozi botnet neštandardný komunikačný protokol. Aktualizácia fungovala ako vypínač zodpovedný za prudký prepad aktivity Mozi. Tento vypínač zastavil aj hlavný proces, teda pôvodný malvér Mozi, nahradil pôvodný súbor sebou samým, vypol niektoré systémové služby (sshd, dropbear), čiastočne upravil nastavenia routera/zariadenia a zablokoval prístup k vybraným portom. Napriek drastickému zníženiu funkčnosti ostali Mozi boty naďalej infikované, no bez možnosti obnovenia škodlivej aktivity. To naznačuje, že mohlo ísť o zámerné a premyslené odstránenie a snahu pozbierať štatistické dáta.
Existujú pritom dvaja potenciálni iniciátori takéhoto odstavenia: pôvodný tvorca botnetu alebo čínske orgány činné v trestnom konaní, ktoré možno získali alebo prinútili na spoluprácu pôvodného aktéra alebo aktérov. Postupné zacielenie na Indiu a potom na Čínu naznačuje, že zásah bol vykonaný úmyselne.
Odstavenie botnetu je teda jedna z mála dobrých kybernetických správ pred Vianocami a oslavami Nového roka. Skoré Vianoce mali tak trochu aj naši výskumníci. Zánik im totiž umožnil uskutočniť zaujímavú kybernetickú forenznú analýzu, ktorá poskytla technické informácie o tom, ako sa takéto botnety v reálnom prostredí vytvárajú, prevádzkujú a likvidujú.
Nie všetky správy z nášho Labu za posledné týždne však boli až také pozitívne. Naši výskumníci totiž počas pravidelného monitorovania kybernetických špionážnych operácií skupiny Winter Vivern zistili, že skupina nedávno začala zneužívať zero-day XSS zraniteľnosť vo webmailovom serveri Roundcube, ktorá do inak dôveryhodných webových stránok vkladá škodlivé skripty. Podľa telemetrických údajov spoločnosti ESET sa kampaň zamerala na webmailové servery Roundcube patriace vládnym subjektom a think-tanku, pričom všetky obete sa nachádzali v Európe. Ak používate vo vašej organizácii Roundcube, odporúčame čo najskôr aktualizovať Roundcube Webmail na najnovšiu dostupnú verziu – pokiaľ ste tak ešte neurobili. Roundcube trvalo od nášho oznámenia iba dva dni túto zraniteľnosť opraviť.
Winter Vivern je hrozba pre vlády v Európe najmä pre svoju vytrvalosť, veľmi dôsledné vykonávanie phishingových kampaní a preto, že množstvo aplikácií na internete nie je pravidelne aktualizovaných napriek tomu, že je známe, že obsahujú zraniteľnosti.
Zneužitie XSS zraniteľnosti CVE-2023-5631 možno vykonať na diaľku odoslaním špeciálne vytvorenej e-mailovej správy. Na prvý pohľad sa e-mail nezdá škodlivý, no ak preskúmame zdrojový kód HTML, na konci je tag pre grafiku SVG, ktorá obsahuje škodlivý kód. Odoslaním špeciálne vytvorenej e-mailovej správy môžu útočníci načítať ľubovoľný kód JavaScript v okne prehliadača používateľa Roundcube. Nevyžaduje sa žiadna manuálna interakcia obete okrem zobrazenia správy vo webovom prehliadači. V rámci finálnej fázy JavaScript útoku môžu útočníci exfiltrovať e-mailové správy na svoj riadiaci server.
Winter Vivern je kybernetická špionážna skupina, o ktorej sa predpokladá, že je aktívna minimálne od roku 2020 a zameriava sa na vlády v Európe a strednej Ázii. Na kompromitáciu svojich cieľov skupina používa škodlivé dokumenty, phishingové webové stránky a vlastný PowerShell backdoor. ESET sa s nízkou mierou istoty domnieva, že Winter Vivern je prepojená s MoustachedBouncer, sofistikovanou skupinou napojenou na Bielorusko, o ktorej sme prvýkrát informovali v auguste 2023. Winter Vivern sa minimálne od roku 2022 zameriava na e-mailové servery Zimbra a Roundcube patriace vládnym subjektom.
Čiže dobré aj zlé správy na záver roka. S novými sa tu prihlásim v budúcom vydaní a dovtedy vám želám pokojné prežitie vianočných sviatkov. Zároveň čitateľom Nextechu všetci z Labu v ESETe želáme šťastný nový rok. Hlavne nech je lepší a bezpečnejší ako ten končiaci.
