8 października 2020

Szpiegostwo przemysłowe w akcji: nowy zestaw narzędzi wykorzystywany w atakach na przemysłowe spółki holdingowe

Badacze z firmy Kaspersky zidentyfikowali serię wysoce ukierunkowanych ataków z 2018 r. na przemysłowe spółki holdingowe. W porównaniu z kampaniami wymierzonymi w dyplomatów oraz znanych aktywistów politycznych podmioty te zdecydowanie rzadziej trafiają na celownik cybergangów. Wykorzystywany w atakach zestaw narzędzi został nazwany przez firmę Kaspersky "MontysThree". Wykorzystuje on szereg technik w celu uniknięcia wykrycia, w tym przechowywanie komunikacji z serwerem sterującym w serwisach chmury publicznej oraz ukrywanie głównego szkodliwego modułu przy użyciu steganografii.


Najczęstszy cel zaawansowanych cybergangów stanowią podmioty rządowe, dyplomaci oraz operatorzy telekomunikacyjni, czyli osoby i instytucje znajdujące się w posiadaniu ogromnej ilości wysoce poufnych i politycznie wrażliwych informacji. Ukierunkowane kampanie szpiegowskie wymierzone w podmioty przemysłowe zdarzają się znacznie rzadziej - jednak, jak w przypadku każdego ataku na ten krytyczny sektor - ich skutki mogą być niezwykle destrukcyjne. Dlatego po wykryciu aktywności MontysThree badacze z firmy Kaspersky postanowili przyjrzeć się bliżej temu zagrożeniu.

W celu przeprowadzenia kampanii szpiegowskiej MontysThree wykorzystuje szkodliwy program złożony z czterech modułów. Pierwszy z nich - moduł ładujący - jest rozprzestrzeniany za pośrednictwem plików RAR SFX (samorozpakowujących się archiwów), których nazwy nawiązują do listy kontaktów pracowników, dokumentacji technicznej oraz wyników badań medycznych, aby skłonić potencjalne ofiary do pobrania takich plików (jest to powszechna technika phishingu spersonalizowanego). Głównym zadaniem modułu ładującego jest uniemożliwienie wykrycia szkodnika w systemie. W tym celu stosuje on steganografię.

Steganografia stosowana jest po to, by ukryć odbywającą się wymianę danych. W przypadku MontysThree główna szkodliwa funkcja maskowana jest pod postacią pliku mapy bitowej (formatu służącego do przechowywania obrazów cyfrowych). Po wprowadzeniu odpowiedniego polecenia moduł ładujący stosuje specjalny algorytm w celu odszyfrowania zawartości z układu pikseli i uruchomienia szkodliwej funkcji.

Główna szkodliwa funkcja wykorzystuje kilka własnych technik szyfrowania w celu uniknięcia wykrycia, tj. algorytm RSA w celu szyfrowania komunikacji z serwerem sterującym oraz odszyfrowania głównych "zadań". Zadania te obejmują wyszukiwanie dokumentów, które posiadają określone rozszerzenia oraz znajdują się w określonych folderach firmowych. MontysThree bierze na celownik dokumenty pakietu Microsoft Office oraz PDF-y. Potrafi również przechwytywać zrzuty ekranu oraz "zdejmować odcisk palca" ofiary (tj. gromadzić informacje dotyczące ustawień jej sieci, nazwy maszyny itd.), aby sprawdzić, czy będzie ona interesująca dla cyberprzestępców.

Zebrane informacje, jak również pozostała komunikacja z serwerem sterującym są następnie zamieszczane w usługach chmury publicznej (m.in. Google, Microsoft oraz Dropbox). Utrudnia to zidentyfikowanie komunikacji jako szkodliwej, a ponieważ żaden antywirus nie blokuje takich usług, serwer sterujący może wykonywać polecenia bez żadnych przeszkód.

MontysThree stosował również prostą metodę utrzymania się w zainfekowanym systemie - modyfikator dla paska Szybkie uruchamianie w systemie Windows. Użytkownicy bezwiednie sami uruchamiają początkowy moduł szkodliwego oprogramowania za każdym razem, gdy uruchamiają legalne aplikacje (np. przeglądarkę) przy użyciu wspomnianego paska narzędzi Szybkie uruchamianie.

Badacze z firmy Kaspersky nie znaleźli żadnych podobieństw w szkodliwym kodzie ani infrastrukturze pozwalających powiązać opisywane ataki z jakimkolwiek znanym zaawansowanym cybergangiem.

MontysThree jest interesujący nie tylko dlatego, że atakuje przemysłowe spółki holdingowe, ale również ze względu na połączenie zarówno wyrafinowanych, jak i nieco "amatorskich" taktyk, technik i procedur. Poziom skomplikowania różni się w zależności od modułu, jednak daleko mu do wyrafinowania prezentowanego przez najbardziej zaawansowane ugrupowania cyberprzestępcze. Niemniej jednak stojący za cyberkampanią przestępcy stosują mocne standardy kryptograficzne, a niektóre z podjętych decyzji, np. wykorzystanie steganografii, wskazują na obeznanie ze współczesną techniką. Najważniejsze jest jednak to, że cyberprzestępcy włożyli wiele wysiłku w rozwój zestawu narzędzi MontysThree, co świadczy o ich determinacji w dążeniu do realizacji celów i wskazuje, że z pewnością nie jest to krótkotrwała operacja - powiedział Denis Legezo, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Więcej informacji na temat zestawu szkodliwych narzędzi MontysThree znajduje się na stronie https://kas.pr/ged1. Szczegółowe informacje dotyczące wskaźników infekcji związanych z omawianym ugrupowaniem, łącznie ze skrótami plików, są dostępne w portalu Kaspersky Threat Intelligence Portal.

Szczegółowa prezentacja dotycząca MontysThree zostanie przedstawiona wraz z innymi odkryciami w dziedzinie cyberbezpieczeństwa w ramach konferencji online SAS@Home. Bezpłatnej rejestracji można dokonać na stronie https://kas.pr/tr59.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.