
Vírusový radar: Ako sme pomohli rozložiť infostealerovú mašinériu RedLine Stealer
Je tu záver roka a to je čas bilancovať. Vojna na Ukrajine pokračuje, do Bieleho domu sa vráti Donald Trump, médiá hovoria o hroziacej tretej svetovej vojne, masívne povodne v Španielsku a lomcujúca klimatická kríza. Zdá sa teda, že vo svete a ani u nás doma sa zas tak veľa nezmenilo. No v kybernetickom priestore a v našom Labe objavujeme stále nové hrozby, a preto ani v tomto záverečnom stĺpčeku roka 2024 bilancovať nemusím.
Napríklad po rozložení infostealerovej mašinérie RedLine Stealer medzinárodnými orgánmi výskumníci spoločnosti ESET zverejnili svoju analýzu doposiaľ nezdokumentovaných backendových modulov tohto infostealera, ktorá pomohla orgánom činným v trestnom konaní. RedLine Stealer je malvér na kradnutie informácií, ktorý bol prvýkrát objavený v roku 2020 a namiesto toho, aby bol prevádzkovaný centrálne, funguje na modeli malvéru ako služby, v ktorom si každý môže kúpiť riešenie na kradnutie informácií na kľúč na rôznych online fórach a telegramových kanáloch.
Výskumníci spoločnosti ESET v spolupráci s orgánmi činnými v trestnom konaní zozbierali viacero modulov používaných na prevádzku infraštruktúry v pozadí RedLine Stealer už v roku 2023. Holandská polícia spolu s FBI, Eurojustom a niekoľkými ďalšími orgánmi vykonali 24. októbra 2024 operáciu proti neslávne známej mašinérii RedLine Stealer a jej klonu s názvom META Stealer. Výsledkom tohto globálneho úsilia s názvom Operácia Magnus bolo zrušenie troch serverov v Holandsku, zabavenie dvoch domén, vzatie dvoch osôb do väzby v Belgicku a odtajnenie obvinení proti jednému z údajných páchateľov v Spojených štátoch.
Ešte v apríli 2023 sa spoločnosť ESET podieľala na operácii čiastočného narušenia malvéru RedLine, ktorá spočívala v odstránení niekoľkých úložísk GitHub, ktoré sa používali ako dead-drop resolvery pre ovládací panel malvéru. Približne v tom istom čase spoločnosť ESET v spolupráci s kolegami výskumníkmi zo spoločnosti Flare skúmala predtým nezdokumentované backendové moduly tejto malvérovej rodiny. Tieto moduly neinteragujú priamo so škodlivým softvérom, ale spracovávajú autentifikáciu a poskytujú funkcionalitu pre ovládací panel.
Nášmu Labu sa podarilo identifikovať viac ako 1000 jedinečných IP adries, ktoré sa používali na hostovanie ovládacích panelov RedLine. Aj keď môže dôjsť k určitému prekrývaniu, naznačuje to rádovo tisícku predplatiteľov. Tieto jedinečné IP adresy boli použité na hostovanie panelov RedLine. Približne 20 % z nich pripadá na Rusko, Nemecko a Holandsko, zatiaľ čo Fínsko a Spojené štáty predstavujú približne 10 %. Spoločnosti ESET sa takisto podarilo identifikovať viacero odlišných backendových serverov. Na základe ich geografického rozloženia sa tieto servery nachádzajú najmä v Rusku (približne tretina z nich), zatiaľ čo Spojené kráľovstvo, Holandsko a Česká republika predstavujú približne po 15 % nami identifikovaných serverov.
Zároveň sme zverejnili najnovšiu správu APT Activity Report, ktorá analyzuje aktivity vybraných skupín pokročilých pretrvávajúcich hrozieb (Advanced Persistent Threat – APT) zadokumentované výskumníkmi spoločnosti ESET od apríla 2024 do konca septembra 2024. Zaznamenali sme výrazné rozšírenie cielenia zo strany skupiny MirrorFace, ktorá je napojená na Čínu. Zvyčajne sa zameriavala na japonské subjekty, po prvýkrát rozšírila svoje operácie o diplomatickú inštitúciu v Európskej únii, pričom naďalej uprednostňovala japonské ciele. Okrem toho sa APT skupiny napojené na Čínu čoraz viac spoliehajú na open source a multiplatformové riešenie SoftEther VPN, aby si udržali prístup do sietí obetí. Výskumníci zaznamenali aj náznaky, že skupiny napojené na Irán by mohli využívať svoje kybernetické schopnosti na podporu diplomatickej špionáže a potenciálne aj kinetických operácií.
Takisto sme zaznamenali náznaky, že skupiny napojené na Irán využívajú svoju kybernetickú silu na podporu vlastných diplomatických špionážnych snáh. Analyzovali sme aj hackerský útok na Poľskú antidopingovú agentúru, ktorá bola pravdepodobne kompromitovaná pôvodným sprostredkovateľom prístupu, ktorý sa následne podelil o prístup s APT skupinou FrostyNeighbor, ktorá je napojená na Bielorusko. Takisto sme zaznamenal pokračovanie kampaní zameraných predovšetkým na vládne organizácie so zvýšeným dôrazom na sektor vzdelávania, najmä na výskumníkov a akademikov. Celú správu si môžete stiahnuť a v anglickom jazyku prečítať na našej stránke Welivesecurity.com.
A napokon sme objavili predtým nezdokumentovanú súpravu nástrojov, ktorú používala skupina Evasive Panda napojená na Čínu na prístup a získavanie údajov z cloudových služieb, ako sú Disk Google, Gmail a Outlook. Súprava nástrojov CloudScout bola po napadnutí použitá proti vládnemu subjektu a náboženskej organizácii na Taiwane v rokoch 2022 až 2023. CloudScout je zameraný na kyberšpionáž a dokáže získavať údaje z rôznych cloudových služieb využívaním ukradnutých súborov cookie. Profesionálny dizajn frameworku CloudScout demonštruje technickú pokročilosť skupiny Evasive Panda, ako aj fakt, že dokumenty uložené v cloude sú v hľadáčiku jej kyberšpionážnych operácií.
Na bilancovanie nám teda v poslednom príspevku roka naozaj neostal priestor. V každom prípade zo spoločnosti ESET a nášho výskumného Labu čitateľom Nextech želáme predovšetkým krásne a pokojné prežitie vianočných sviatkov. A takisto pokojnejší rok 2025, hoci aj tento stĺpček pravidelne dokazuje, že to nakoniec zostane iba želaním. No a pri nakupovaní vianočných darčekov v online priestore dbajte na bezpečnosť. Ako obvykle želám hlavne bezpečné brázdenie online svetom.