Cyberprzestępcy złamali zabezpieczenia ponad 10 legalnych stron internetowych związanych z religią, wolontariatem, działalnością charytatywną oraz kilkoma innymi obszarami w celu selektywnego uruchamiania ataku mającego na celu zainstalowanie „tylnej furtki” na urządzeniach atakowanych użytkowników. Przestępcy zastosowali kreatywny zestaw narzędzi obejmujący rozprzestrzenianie za pośrednictwem serwisu GitHub oraz wykorzystywanie powszechnie dostępnego kodu open source.
Metoda „przy wodopoju” to nazwa strategii ataków ukierunkowanych polegającej na tym, że cyberprzestępcy łamią zabezpieczenia stron internetowych uznanych za popularne wśród potencjalnych ofiar i czekają, aż umieszczone na nich szkodliwe oprogramowanie trafi na komputery tych użytkowników. Aby być narażonym na infekcję szkodliwym oprogramowaniem, wystarczy, że użytkownik odwiedzi stronę, przy której majstrowali cyberprzestępcy. Z tego powodu atak ten jest łatwy do rozprzestrzeniania, a tym samym bardziej niebezpieczny. W kampanii, której badacze z firmy Kaspersky nadali nazwę Holy Water, „wodopoje” zostały przygotowane na stronach internetowych należących do sławnych osób, podmiotów publicznych, organizacji charytatywnych oraz na innych zasobach.
Omawiany wieloetapowy atak wyróżnia się ze względu na swoją szybką ewolucję od momentu powstania, jak również szeroki zakres wykorzystywanych narzędzi. Po otwarciu przez użytkownika jednej z zaatakowanych stron zainfekowany wcześniej zasób ładuje zaciemniony szkodliwy JavaScript, który gromadzi informacje na temat odwiedzającego. Następnie serwer zewnętrzny ustala, czy taka osoba stanowi cel ataku. Jeśli tak, następuje drugi etap, w którym zostaje załadowana wtyczka wyświetlająca fałszywe okienko wyskakujące aktualizacji Adobe Flash.
Cyberprzestępcy liczą na to, że osoba ta da się złapać w pułapkę i pobierze pakiet szkodliwych instalatorów, który zainstaluje w systemie tylną furtkę (tzw. backdoora) o nazwie „Godlike12”, zapewniając tym samym atakującym pełny zdalny dostęp do zainfekowanego urządzenia, umożliwiając im modyfikowanie plików, przechwytywanie poufnych danych z komputera, rejestrowanie aktywności na komputerze itd. W ataku wykorzystywany jest również inny backdoor – zmodyfikowana wersja dostępnego powszechnie szkodnika Stitch. Trojan ten ustanawia bezpośrednie połączenie z serwerem kontrolowanym przez cyberprzestępców w celu wymiany zaszyfrowanych danych.
Fałszywe okienko wyskakujące Adobe Flash było powiązane z plikiem wykonywalnym przechowywanym w serwisie github.com pod przykrywką pliku aktualizacji wtyczki Flash. Organizacja GitHub zablokowała to repozytorium 14 lutego 2020 r. po tym, jak skontaktowała się z nią firma Kaspersky, przerywając tym samym łańcuch infekcji w ramach kampanii. Niemniej jednak repozytorium to było dostępne online przez ponad 9 miesięcy, w wyniku czego badacze zdołali uzyskać unikatowy wgląd w aktywność oraz narzędzia cyberprzestępców.
Opisywana kampania wyróżnia się na tle innych ze względu na swój niski budżet i nie w pełni rozwinięty zestaw narzędzi, który kilkakrotnie w ciągu kilku miesięcy został zmodyfikowany. Według badaczy z firmy Kaspersky, atak ten jest prawdopodobnie dziełem niewielkiego, elastycznego zespołu.
Kampania cyberprzestępcza wykorzystująca metodę „przy wodopoju” stanowi interesującą strategię, która przynosi rezultaty poprzez przeprowadzanie ataków ukierunkowanych na określone grupy ludzi. Ponieważ nie mogliśmy obserwować żadnych ataków na żywo, nie byliśmy w stanie określić jej celu operacyjnego. Niemniej jednak kampania ta stanowi kolejne przypomnienie, że należy aktywnie chronić prywatność online. Zagrożenia dla prywatności są szczególnie duże, jeśli chodzi o różne grupy i mniejszości społeczne, ponieważ zawsze znajdą się osoby chcące dowiedzieć się czegoś więcej na ich temat – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z firmy Kaspersky.
Szczegóły techniczne dotyczące kampanii Holy Water są dostępne na stronie https://r.kaspersky.pl/23mz7.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.