ESET odhalil cielené útoky na letecké a vojenské firmy a diplomatické ciele

Výskumníci bezpečnostnej spoločnosti ESET odhalili cielené kybernetické útoky zamerané na letecké a vojenské firmy pôsobiace v Európe a na Blízkom Východe. Útočníci na ne využili spearphishing cez známy pracovný portál LinkedIn a na mieru šitý škodlivý kód. Útok, ktorý ESET výskumníci nazvali Operácia In(ter)ception, prebiehal od septembra do decembra 2019.

Analyzovaný útok sa začal správou zaslanou cez LinkedIn. “Správa bola celkom uveriteľnou ponukou na prácu. Vyzerala, že pochádzala zo známej firmy pôsobiacej v relevantnom sektore. Samozrejme, LinkedIn profil bol falošný a správy zaslané v tejto komunikácii boli škodlivé,” vysvetľuje Dominik Breitenbacher, výskumník spoločnosti ESET, ktorý tento škodlivý kód skúmal a riadil jeho analýzu.

Správy boli zaslané priamo cez LinkedIn alebo cez e-mail obsahujúci link na OneDrive. Pre potreby druhého scenára útočníci vytvorili e-mailové účty korešpondujúce s ich falošnými LinkedIn osobami. Keď adresát otvoril súbor, zobrazil sa zdanlivo nevinný PDF dokument s informáciami o finančnom ohodnotení ponúkanej falošnej pracovnej pozície. Zároveň sa do počítača obete stiahol škodlivý kód.

Medzi nástrojmi, ktoré útočníci využili, bol aj na mieru vytvorený viacstupňový škodlivý kód, ktorý sa častokrát vydával za legitímny softvér a upravené verzie open-source nástrojov. Za účelom uskutočnenia viacerých škodlivých úkonov zneužívali útočníci predinštalované Windows nástroje nachádzajúce sa na počítači obete. 

„Nami analyzované útoky vykazovali všetky znaky špionáže. Našli sme zároveň niekoľko vecí, ktoré naznačovali prepojenie s neslávne známou kyberskupinou Lazarus.“ povedal Breigenbacher. Lazarusu sa pripisuje veľký útok na spoločnosť Sony a táto skupina je podozrivá zo šírenia ransomwaru WannaCry. Ten v roku 2017 infikoval mnoho zahraničných prominentných firiem a zdravotných zariadení.

Na základe názvov pracovných pozícií pôvodných cieľov to vyzerá, že útočníci sa zamerali na technické a obchodné informácie. Analýza malvéru však neprezradila, o ktoré typy súborov mali útočníci presne záujem.

V jednom prípade výskumníci objavili dôkaz, že útočníci sa po získaní prístupu k firemným e-mailom obete snažili vytiahnuť peniaze od inej spoločnosti. V korešpondencii našli nedoriešenú komunikáciu ohľadom nezaplatenej faktúry. Tejto osobe sa teda ozvali z podobnej e-mailovej adresy so žiadosťou o jej uhradenie, samozrejme s odlišným číslom účtu, na ktorý mala byť suma prevedená. Táto firma však kontaktovala obeť na priamo, tá vytušila, že niečo nie je v poriadku a nahlásila komunikáciu ako bezpečnostný incident.

„Tento pokus speňažiť prístup k sieti obete by mal slúžiť ako ďalší dôvod na vytvorenie silných obranných mechanizmov a na zabezpečenie školení zamestnancov o kybernetickej bezpečnosti. Takéto vzdelávanie by mohlo pomôcť zamestnancom spoznať aj menej známe techniky sociálneho inžinierstva, než aké boli použité v Operácii In(ter)ception,“ dodáva Breitenbacher.

Výskumníci ESETu taktiež odhalili spôsob práce kyberskupiny InvisiMole, ktorá sa zameriavala na vojenské a diplomatické ciele. Pri analýze nových útokov kybernetickej skupiny InvisiMole identifikovali aktualizovanú sadu nástrojov, ktoré táto skupina kyberkriminálnikov používala. 

InvisiMole je kyberskupina aktívna minimálne od roku 2013. Prvý raz o nej ESET informoval v súvislosti s cielenými útokmi na Ukrajine a v Rusku, na sledovanie svojich obetí využívala dva backdoory so širokou funkcionalitou. „Vtedy sme našli prekvapivo dobre vybavené backdoory, ale veľká časť tohto puzzle nám chýbala - nevedeli sme, ako sa do systému obete dostali, ako sa šírili a ako sa nainštalovali,“ hovorí Zuzana Hromcová, výskumníčka spoločnosti ESET, ktorá analyzovala InvisiMole.

Vďaka analýze útokov v spolupráci s dotknutými organizáciami získali výskumníci spoločnosti ESET príležitosť dôkladne sa pozrieť pod kapotu operácií skupiny InvisiMole. „Dokázali sme zdokumentovať rozsiahlu sadu nástrojov, ktorá sa používa na dodanie škodlivého kódu, pohyb po sieti a  spustenie backdooru,“ hovorí Anton Cherepanov, výskumník spoločnosti ESET, ktorý viedol analýzu InvisiMole.

Jedno z hlavných zistení sa týka spolupráce skupiny InvisiMole s ďalšou kybernetickou skupinou Gamaredon. Výskumníci zistili, že arzenál InvisiMole je do siete obete uvoľnený až po tom, čo Gamaredon do tejto siete už prenikol a prípadne i získal administratívne právomoci. „Náš výskum naznačuje, že obete, ktoré útočníci považujú za obzvlášť významné, sú cez relatívne jednoduchý škodlivý kód Gamaredon infikované pokročilým škodlivým kódom InvisiMole. To umožňuje skupine InvisiMole vymyslieť kreatívne spôsoby, ako sa chrániť pred odhalením,“ vysvetľuje Hromcová.

S cieľom skryť škodlivý kód pred bezpečnostnými výskumníkmi sú komponenty InvisiMole chránené šifrovaním, ktoré je možné dešifrovať výhradne na zariadení obete. Aktualizovaná súprava nástrojov InvisiMole obsahuje aj nový komponent, ktorý na utajenejšiu komunikáciu so svojim riadiacim serverom využíva DNS tunelovanie.

Pri analýze aktualizovaného súboru nástrojov skupiny InvisiMole výskumníci našli podstatné zlepšenia v porovnaní s predtým analyzovanými verziami. „Vďaka týmto novým poznatkom dokážeme ešte lepšie sledovať škodlivé aktivity tejto skupiny,“ uzatvára Hromcová.