Na Blízkom východe zúri ďalšia vojna, kybernetické skupiny však v regióne operovali dlho pred ňou

Človek sa ani tu u nás na Slovensku nemôže ubrániť pocitu, aké historické a kľúčové časy pre našu budúcnosť žijeme. A nemusíme chodiť ďaleko, aby to nebol iba pocit. Už druhý rok zúri vojna u nášho východného suseda, keď sa Ukrajina stala obeťou mocného agresora Ruska. A neubehlo veľa času a pre niekoho blízko, pre iného ďaleko zúri vo svete ďalšia vojna. Na televíznych obrazovkách sledujeme obete krvilačného útoku Hamasu v Izraeli aj utrpenie civilistov v Gaze. A ako všetky konflikty aj tieto sprevádza aj vojna v kybernetickom priestore.

K najnovšej vojne na Blízkom východe síce veľa informácií z kybernetického frontu nemáme, ale zhodou okolností sme niekoľko týždňov pred ňou zverejnili hneď dve výskumné správy o kybernetických aktivitách nebezpečných skupín práve v tejto oblasti.

Objavili a analyzovali sme sofistikovaný backdoor, ktorý používa skupina Stealth Falcon, a nazvali sme ho Deadglyph. Podľa americkej neziskovej bezpečnostnej organizácie MITRE je skupina prepojená so Spojenými arabskými emirátmi. Deadglyph má svoje funkcionality vďaka riadiacemu serveru vo forme prídavných modulov. Deadglyph má navyše implementované množstvo protidetekčných mechanizmov a je schopný sa sám odinštalovať, aby sa v prípade potreby minimalizovala pravdepodobnosť jeho odhalenia. Naši výskumníci Deadglyph odhalili počas rutinného monitorovania podozrivých aktivít na systémoch významných zákazníkov, z ktorých niektorí sídlia v regióne Blízkeho východu. Obeťou analyzovanej infiltrácie je vládny subjekt na Blízkom východe, ktorý bol kompromitovaný na špionážne účely.

Názov sme odvodili podľa názvov rôznych prvkov nájdených v tomto backdoore a takisto v spojení s prítomnosťou homoglyfového útoku. Homoglyf je reťazec znakov, ktorý vytvára klamlivý dojem tým, že zneužíva podobnosť s reálnymi znakmi alebo slovami. V prípade tohto backdooru to v jednom prípade bolo napodobňovanie spoločnosti Microsoft.

Deadglyph je technologicky vcelku sofistikovaný malvér. Ako som spomínal, má aj množstvo funkcií na zabránenie odhaleniu vrátane nepretržitého monitorovania systémových procesov. Jeho modul zberu informácií zhromažďuje rozsiahle detaily o počítači vrátane podrobností o operačnom systéme, nainštalovanom softvéri a ovládačoch, procesoch, službách, používateľoch a bezpečnostnom softvéri. Okrem toho je modul na čítanie súborov schopný čítať špecifikované súbory; v jednom prípade bol modul použitý na načítanie dátového súboru Outlooku, teda e-mailov obete.

Za backdoorom je neslávne známy Stealth Falcon, známy aj ako Project Raven alebo FruityArmor. Pôsobí od roku 2012 a je známy tým, že sa zameriava na politických aktivistov, novinárov a disidentov na Blízkom východe.

V inom prípade naši výskumníci analyzovali dve kampane APT skupiny OilRig, ktorá je napojená na Irán: Outer Space z roku 2021 a Juicy Mix z roku 2022. Obe tieto kybernetické špionážne kampane boli zamerané výlučne na izraelské organizácie, čo zodpovedá zameraniu skupiny na Blízky východ, a obe používali rovnaký scenár. OilRig najprv kompromitoval legitímnu webovú stránku, ktorú použil ako riadiaci server, a následne svojim obetiam nasadil doposiaľ nezdokumentovaný backdoor. Útočníci využili aj rôzne nástroje po kompromitácii, ktoré sa väčšinou používajú na exfiltráciu údajov z cieľových systémov. Konkrétne sa používali na zhromažďovanie údajov zo Správcu poverení systému Windows a z najrozšírenejších prehliadačov, prihlasovacích údajov, súborov cookie a dát o histórii prehliadania.

V kampani Outer Space použila skupina OilRig jednoduchý, doteraz nezdokumentovaný backdoor, ktorý ESET nazval Solar, spolu s novým downloaderom SampleCheck5000, ktorý na komunikáciu s riadiacim serverom využíva Microsoft Office Exchange Web Services API. V rámci kampane Juicy Mix útočníci zlepšili malvér Solar a vytvorili backdoor Mango, ktorý disponuje ďalšími schopnosťami a metódami na obídenie detekcie. Oba backdoory boli nasadené pomocou dropperov VBS, ktoré sa pravdepodobne šírili prostredníctvom spearphishingových e-mailov. Spoločnosť ESET o napadnutých webových stránkach informovala aj izraelský CERT.

Backdoor Solar sme pomenovali na základe použitia názvov funkcií a úloh odkazujúcich na astronómiu, ďalší nový backdoor Mango zas na základe názvu v jeho vnútornom zložení a názvu súboru. Solar backdoor má základné funkcie a okrem iného sa dá použiť na sťahovanie a spúšťanie súborov a automatickú exfiltráciu súborov. Ako riadiaci server útočníci použili webový server izraelskej spoločnosti zaoberajúcej sa ľudskými zdrojmi, ktorý skupina OilRig skompromitovala ešte pred nasadením tohto backdooru.

Mango funguje na podobnom princípe ako Solar a disponuje niektorými jeho funkcionalitami, no zároveň obsahuje niektoré významné technické zmeny. Identifikovali sme napríklad doteraz nepoužitú techniku vyhýbania sa detekcii.

Skupina OilRig, známa aj ako APT34, Lyceum alebo Siamesekitten, je kyberneticko-špionážna skupina, ktorá je aktívna minimálne od roku 2014 a predpokladá sa, že má sídlo v Iráne. Zameriava sa na vlády krajín Blízkeho východu a rôzne odvetvia vrátane chemického, energetického, finančného a telekomunikačného sektora.

No ako aj tieto pravidelné stĺpčeky ukazujú, štáty nerozširujú svoj špionážny či dokonca deštrukčný malvér iba na miestach ozbrojených konfliktov. Kybernetická špionáž sa im hodí aj z krajín a od obetí, ktoré vojnu nezažívajú.

Stále si môžeme želať a aj bojovať za to, aby mier a pokoj nastal rovnako v reálnych vojnách, ako aj v kybernetickom prostredí. Aspoň tomu druhému výrazne pomôžu bezpečnostné technológie. Do budúceho stretnutia na stránkach Nextechu vám želám hlavne bezpečné a pokojné surfovanie online svetom.

Branislav Ondrášik, ESET