Badacze z firmy Kaspersky zidentyfikowali seri? wysoce ukierunkowanych ataków z 2018 r. na przemys?owe spó?ki holdingowe. W porównaniu z kampaniami wymierzonymi w dyplomatów oraz znanych aktywistów politycznych podmioty te zdecydowanie rzadziej trafiaj? na celownik cybergangów. Wykorzystywany w atakach zestaw narz?dzi zosta? nazwany przez firm? Kaspersky „MontysThree”. Wykorzystuje on szereg technik w celu unikni?cia wykrycia, w tym przechowywanie komunikacji z serwerem steruj?cym w serwisach chmury publicznej oraz ukrywanie g?ównego szkodliwego modu?u przy u?yciu steganografii.
Najcz?stszy cel zaawansowanych cybergangów stanowi? podmioty rz?dowe, dyplomaci oraz operatorzy telekomunikacyjni, czyli osoby i instytucje znajduj?ce si? w posiadaniu ogromnej ilo?ci wysoce poufnych i politycznie wra?liwych informacji. Ukierunkowane kampanie szpiegowskie wymierzone w podmioty przemys?owe zdarzaj? si? znacznie rzadziej – jednak, jak w przypadku ka?dego ataku na ten krytyczny sektor – ich skutki mog? by? niezwykle destrukcyjne. Dlatego po wykryciu aktywno?ci MontysThree badacze z firmy Kaspersky postanowili przyjrze? si? bli?ej temu zagro?eniu.
W celu przeprowadzenia kampanii szpiegowskiej MontysThree wykorzystuje szkodliwy program z?o?ony z czterech modu?ów. Pierwszy z nich – modu? ?aduj?cy – jest rozprzestrzeniany za po?rednictwem plików RAR SFX (samorozpakowuj?cych si? archiwów), których nazwy nawi?zuj? do listy kontaktów pracowników, dokumentacji technicznej oraz wyników bada? medycznych, aby sk?oni? potencjalne ofiary do pobrania takich plików (jest to powszechna technika phishingu spersonalizowanego). G?ównym zadaniem modu?u ?aduj?cego jest uniemo?liwienie wykrycia szkodnika w systemie. W tym celu stosuje on steganografi?.
Steganografia stosowana jest po to, by ukry? odbywaj?c? si? wymian? danych. W przypadku MontysThree g?ówna szkodliwa funkcja maskowana jest pod postaci? pliku mapy bitowej (formatu s?u??cego do przechowywania obrazów cyfrowych). Po wprowadzeniu odpowiedniego polecenia modu? ?aduj?cy stosuje specjalny algorytm w celu odszyfrowania zawarto?ci z uk?adu pikseli i uruchomienia szkodliwej funkcji.
G?ówna szkodliwa funkcja wykorzystuje kilka w?asnych technik szyfrowania w celu unikni?cia wykrycia, tj. algorytm RSA w celu szyfrowania komunikacji z serwerem steruj?cym oraz odszyfrowania g?ównych „zada?”. Zadania te obejmuj? wyszukiwanie dokumentów, które posiadaj? okre?lone rozszerzenia oraz znajduj? si? w okre?lonych folderach firmowych. MontysThree bierze na celownik dokumenty pakietu Microsoft Office oraz PDF-y. Potrafi równie? przechwytywa? zrzuty ekranu oraz „zdejmowa? odcisk palca” ofiary (tj. gromadzi? informacje dotycz?ce ustawie? jej sieci, nazwy maszyny itd.), aby sprawdzi?, czy b?dzie ona interesuj?ca dla cyberprzest?pców.
Zebrane informacje, jak równie? pozosta?a komunikacja z serwerem steruj?cym s? nast?pnie zamieszczane w us?ugach chmury publicznej (m.in. Google, Microsoft oraz Dropbox). Utrudnia to zidentyfikowanie komunikacji jako szkodliwej, a poniewa? ?aden antywirus nie blokuje takich us?ug, serwer steruj?cy mo?e wykonywa? polecenia bez ?adnych przeszkód.
MontysThree stosowa? równie? prost? metod? utrzymania si? w zainfekowanym systemie – modyfikator dla paska Szybkie uruchamianie w systemie Windows. U?ytkownicy bezwiednie sami uruchamiaj? pocz?tkowy modu? szkodliwego oprogramowania za ka?dym razem, gdy uruchamiaj? legalne aplikacje (np. przegl?dark?) przy u?yciu wspomnianego paska narz?dzi Szybkie uruchamianie.
Badacze z firmy Kaspersky nie znale?li ?adnych podobie?stw w szkodliwym kodzie ani infrastrukturze pozwalaj?cych powi?za? opisywane ataki z jakimkolwiek znanym zaawansowanym cybergangiem.
MontysThree jest interesuj?cy nie tylko dlatego, ?e atakuje przemys?owe spó?ki holdingowe, ale równie? ze wzgl?du na po??czenie zarówno wyrafinowanych, jak i nieco „amatorskich” taktyk, technik i procedur. Poziom skomplikowania ró?ni si? w zale?no?ci od modu?u, jednak daleko mu do wyrafinowania prezentowanego przez najbardziej zaawansowane ugrupowania cyberprzest?pcze. Niemniej jednak stoj?cy za cyberkampani? przest?pcy stosuj? mocne standardy kryptograficzne, a niektóre z podj?tych decyzji, np. wykorzystanie steganografii, wskazuj? na obeznanie ze wspó?czesn? technik?. Najwa?niejsze jest jednak to, ?e cyberprzest?pcy w?o?yli wiele wysi?ku w rozwój zestawu narz?dzi MontysThree, co ?wiadczy o ich determinacji w d??eniu do realizacji celów i wskazuje, ?e z pewno?ci? nie jest to krótkotrwa?a operacja – powiedzia? Denis Legezo, starszy badacz ds. cyberbezpiecze?stwa z Globalnego Zespo?u ds. Bada? i Analiz (GReAT) w firmie Kaspersky.
