Alig 48 óra telt el a Microsoft sürgősségi biztonsági frissítésének kiadása után, és az orosz állami hátterű hackercsoportok máris akcióba lendültek. A Fancy Bear néven is ismert APT28 csoport tagjai visszafejtették a javítást, majd egy rendkívül kifinomult támadássorozatot indítottak diplomáciai, tengeri és közlekedési szervezetek ellen.
Kilenc ország szervezetei kerültek célkeresztbe
A január 28-án indult kampány mindössze 72 órán át tartott, de ezalatt 29 különböző adathalász e-mailt juttattak el a célpontokhoz. A támadók nem válogattak: Lengyelország, Szlovénia, Törökország, Görögország, az Egyesült Arab Emírségek, Ukrajna, Románia és Bolívia szervezetei egyaránt érintettek voltak. A célpontok összetétele beszédes: 40 százalékban védelmi minisztériumokat, 35 százalékban szállítmányozási és logisztikai cégeket, 25 százalékban pedig diplomáciai testületeket támadtak.
Különösen aggasztó, hogy a támadók korábban feltört kormányzati e-mail fiókokból küldték az adathalász leveleket. Ez azt jelenti, hogy a címzettek ismerős feladóktól kapták a kártékony üzeneteket, ami jelentősen növelte a támadás sikerességének esélyét.
Két teljesen új kártevő debütált
A biztonsági kutatók két korábban sosem látott backdoor programot azonosítottak. A BeardShell nevű implantátum teljes rendszerfelderítést tett lehetővé, beépült a Windows svchost.exe folyamatába, és utat nyitott a hálózaton belüli további terjedéshez. A legravaszabb az egészben, hogy dinamikusan betöltött .NET komponenseken keresztül futott, így semmilyen fájlalapú nyomot nem hagyott a lemezen.
A NotDoor még rafináltabb megoldást képvisel. VBA makró formájában érkezett, és csak azután települt, miután a támadás kikapcsolta az Outlook makróvédelmét. Telepítés után ez a kis remek folyamatosan figyelte a levelezést – beleértve a beérkező üzeneteket, a piszkozatokat, sőt még a levélszemetet is. Az összegyűjtött e-maileket Windows .msg fájlokba csomagolta, majd egy felhőszolgáltatáson keresztül továbbította a támadóknak. Az is lenyűgöző, milyen alaposan fedték el a nyomaikat: a továbbított üzeneteket automatikusan törölték az Elküldött elemek mappából.
A védelem szinte lehetetlen volt
A támadási lánc minden elemét úgy tervezték, hogy az végpontvédelmi megoldások számára láthatatlan maradjon. A kártékony kód titkosítva érkezett és kizárólag a memóriában futott. A vezérlőszervereket legitim felhőszolgáltatásokon keresztül érték el, amelyeket a legtöbb vállalati hálózatban alapértelmezetten engedélyeznek.
Számomra ez a kampány tökéletesen illusztrálja, milyen gyorsan képesek az állami támogatású hackercsoportok fegyverré alakítani az újonnan felfedezett sebezhetőségeket. A védekező oldalnak egyre rövidebb idő áll rendelkezésére a kritikus rendszerek frissítésére. Ez az ügy arra is rávilágít, hogy a puszta patch telepítése már nem elegendő: a szervezeteknek folyamatosan monitorozniuk kell a hálózatukat, és fel kell készülniük arra, hogy a támadók már azelőtt akcióba lépnek, mielőtt bárki reagálhatna.
A borító képet FLUX.2-pro képgenerátor készítette az alábbi prompt alapján: A hooded hacker in dark room with multiple monitors showing code and email interfaces, dramatic blue lighting, cyber espionage atmosphere, photorealistic style
Hartung Ariel
https://lnk.bio/ariel.hartung Mint a SoftDirect és a 101 Grid alapítója, elkötelezett vagyok a fenntartható és innovatív megoldások iránt. A SoftDirectnél használt szoftverek kereskedelmével foglalkozunk, megfizethető és környezetbarát alternatívákat kínálva vállalatoknak és magánszemélyeknek egyaránt. A 101 Gridnél pedig egy innovatív elektromosautó-töltő üzemeltetőként fenntartható és automatizált töltési rendszereket fejlesztünk. Mindkét cégben kulcsszerepet játszik a mesterséges intelligencia, amely segít optimalizálni a folyamatokat és javítani az ügyfélélményt. A blogomban szeretném megosztani gondolataimat és tapasztalataimat a használt és újrahasznosított szoftverekről, valamint inspirálni másokat, hogy merjenek álmodni és alkotni.
További cikkek tőle
