Vírusový radar / Ako sme spolupracovali s holandskou políciou a rozplietli jednu z najkomplexnejších hrozieb Ebury
Uplynulý mesiac bol v našom Labe bohatý na objavy, niektoré boli výsledkom niekoľkotýždňového výskumu a iné dokonca dlhoročného. Žiadny objav, a to ani v oblasti kybernetickej bezpečnosti, nie je ako zázračný stroj s instantným výsledkom na počkanie. Je výsledkom investovaného času, často tímovej práce a hlavne ľudskej inteligencie. Vlastne aj tá umelá inteligencia má v pozadí tú ľudskú, ktorá ju zároveň vytvorila.
Taká bola naša hĺbková investigatíva jednej z najpokročilejších serverových kampaní škodlivého kódu, ktorá stále rastie a počas svojej minimálne 15-ročnej prevádzky zaznamenala státisíce napadnutých serverov. Medzi aktivity neslávne známej skupiny a botnetu Ebury v priebehu rokov patrilo šírenie spamu, presmerovanie webov a krádeže prístupových údajov. V posledných rokoch sa diverzifikovala na krádeže údajov z kreditných kariet a kryptomien. Okrem toho bol Ebury nasadený ako backdoor na kompromitáciu takmer 400 000 serverov Linux, FreeBSD a OpenBSD; koncom roka 2023 ich bolo stále ohrozených viac ako stotisíc. V mnohých prípadoch boli operátori Ebury schopní získať plný prístup k veľkým serverom poskytovateľov internetových služieb a známych poskytovateľov hostingu.
Pred desiatimi rokmi ESET publikoval veľký výskum o operácii Windigo, ktorá využívala viacero rodín malvéru, pričom uprostred toho celého stojí práve Ebury. Koncom roka 2021 sa holandská kybernetická polícia na nás obrátila v súvislosti so servermi v Holandsku, pri ktorých bolo podozrenie, že sú napadnuté malvérom Ebury. Tieto podozrenia sa ukázali ako opodstatnené a s pomocou holandskej polície naši experti získali podrobný prehľad o operáciách a aktéroch, ktorí stoja za Ebury.
Po zverejnení informácií o operácii Windigo začiatkom roka 2014 bol jeden z páchateľov v roku 2015 zatknutý na fínsko-ruskej hranici a neskôr vydaný do Spojených štátov. Zatiaľ čo spočiatku tvrdil, že je nevinný, nakoniec sa v roku 2017 priznal k obvineniam, niekoľko týždňov predtým, ako mal pokračovať jeho proces na americkom okresnom súde v Minneapolise, kde mali vypovedať výskumníci ESETu.
Prevádzkovatelia použili botnet Ebury na odcudzenie kryptomenových peňaženiek, prihlasovacích údajov a údajov o kreditných kartách. V ESETe sme odhalili nové rodiny malvéru, ktoré gang vytvoril a nasadil na účel finančného zisku, vrátane modulov Apache a modulu na vykonávanie presmerovania webovej prevádzky. Operátori Ebury používali aj tzv. 0-day čiže neobjavené zraniteľnosti v administrátorskom softvéri na hromadné kompromitovanie serverov.
Zdokumentovali sme prípady, keď Ebury narušil infraštruktúru poskytovateľov hostingu. V týchto prípadoch sme boli svedkami nasadenia Ebury na serveroch prenajatých týmito poskytovateľmi bez varovania pre klientov. To viedlo k prípadom, keď Ebury dokázal kompromitovať tisíce serverov naraz. Ebury pritom nepozná geografickú hranicu: takmer vo všetkých krajinách sveta sa nachádzajú kompromitované servery s Ebury. Kedykoľvek bol totiž poskytovateľ hostingu kompromitovaný, viedlo to aj k obrovskému počtu kompromitovaných serverov v rovnakých dátových centrách. Koncom roka 2019 bola napríklad ohrozená infraštruktúra veľkého a obľúbeného registrátora domén a poskytovateľa webhostingu so sídlom v USA. Obeťou Ebury sa stal aj Kernel.org, ktorý hostí zdrojový kód linuxového jadra.
Iný prípad trvalo síce prešetriť iba pár týždňov, a nie mesiacov či rokov, ale je nemenej zaujímavý. V Labe sme objavili nové backdoory LunarWeb a LunarMail, ktoré napadli jedno európske ministerstvo zahraničných vecí a jeho diplomatické misie v zahraničí, predovšetkým na Blízkom východe. Sme presvedčení, že nástroje Lunar sa používajú prinajmenšom od roku 2020 a vzhľadom na podobnosti medzi taktikou, technikami a postupmi a minulými aktivitami výskumníci ESETu pripisujú túto kompromitáciu so strednou istotou neslávne známej kyberšpionážnej skupine Turla, napojenej na Rusko. Cieľom kampane je, ako inak, kybernetická špionáž.
Pri napadnutiach sme pozorovali rôzne stupne sofistikovanosti – napríklad starostlivú inštaláciu na napadnutom serveri, aby sa predišlo skenovaniu bezpečnostným softvérom, čo kontrastovalo s chybami v kóde a rôznymi štýlmi používania kódu tohto backdooru. To naznačuje, že na vývoji a prevádzke týchto nástrojov sa pravdepodobne podieľalo viacero jednotlivcov.
LunarWeb zhromažďuje a získava informácie zo systému, ako sú údaje o počítači a operačnom systéme, zoznam spustených procesov, zoznam služieb a zoznam nainštalovaných bezpečnostných produktov. LunarWeb podporuje bežné funkcie typické pre backdoor vrátane operácií so súbormi a procesmi a spúšťania príkazov shellu. Pri prvom spustení zas druhý LunarMail zhromažďuje informácie z odoslaných e-mailových správ príjemcov (e-mailových adries). Pokiaľ ide o možnosti príkazov, LunarMail je jednoduchší a obsahuje podmnožinu príkazov, ktoré nájdete v LunarWebe. Môže zapísať súbor, vytvoriť nový proces, urobiť snímku obrazovky a upraviť komunikačnú e-mailovú adresu C&C servera.
A na záver ešte jedna pozitívna správa. Experti z ESETu sa v rámci spoločného tímu Slovenskej republiky a Maďarska zapojili do najväčšieho a najkomplexnejšieho cvičenia kybernetickej obrany na svete Locked Shields 2024. Ide o najväčšie cvičenie kybernetickej obrany NATO, ktoré simulovalo reálne kybernetické útoky a zapojilo sa doň 40 krajín. Spoločnosť ESET do cvičenia nasadila svoje bezpečnostné riešenia a viac ako 50 expertov, ktorí boli súčasťou viacerých taktických tímov. ESET tak pomohol zabezpečiť pre Slovensko špičkovú pozíciu. Dodal slovensko-maďarskému tímu expertízu, aj vďaka ktorej sa umiestnil na prvých troch miestach v oblasti informácií o kybernetických hrozbách (cyber threat intelligence), ochrany klienta, forenznej analýzy a strategickej komunikácie.
Nič z toho, o čom píšem, by nebolo možné bez ľudí. Za všetkým v technologickom svete nájdeme aktivitu človeka. A o to sa snažíme aj v našom Labe: mať, udržať si a aj prilákať tých najšikovnejších ľudí. A na to iba internet sám osebe nestačí. No keď na ňom budete aj tento mesiac tráviť čas, nezabudnite na bezpečnosť – vás aj vašich blízkych. Želám vám predovšetkým bezpečné surfovanie.
