Atakujący zastosowali nieznanego wcześniej rootkita o nazwie Moriya. Szkodnik ten, posiadający niemal całkowitą kontrolę nad systemem operacyjnym, umożliwił atakującym przechwytywanie ruchu sieciowego oraz ukrywanie szkodliwych poleceń wydawanych zainfekowanym hostom. W efekcie przestępcy przez kilka miesięcy potajemnie kontrolowali sieci atakowanych organizacji.
Rootkity to szkodliwe programy lub zestawy narzędzi zapewniające atakującym niemal nieograniczony i dyskretny dostęp do zainfekowanego urządzenia. Rootkity znane są z ukradkowości i unikania wykrycia dzięki swym umiejętnościom „stapiania się” z systemem operacyjnym. Dzięki wysiłkom podejmowanym od wielu lat przez firmę Microsoft w celu zabezpieczenia systemów, zainstalowanie i wykonanie rootkita, zwłaszcza w przestrzeni jądra systemu, stanowi spore wyzwanie, dlatego większość rootkitów dla systemów Windows jest obecnie wykorzystywanych jedynie w najbardziej zaawansowanych atakach APT, takich jak TunnelSnake.
Dochodzenie w sprawie omawianej kampanii rozpoczęło się po otrzymaniu przez firmę Kaspersky alertów w związku z wykryciem unikatowego rootkita w atakowanych sieciach. Rootkit ten – któremu nadano nazwę Moriya – okazał się wyjątkowo nieuchwytny dzięki dwóm cechom. Po pierwsze, przechwytuje on i przegląda pakiety sieciowe przesyłane z przestrzeni adresowej jądra systemu Windows, czyli regionu pamięci, w którym uruchamiany jest zwykle jedynie uprzywilejowany i zaufany kod.
Z tego powodu ataki mogły pozostawać niewykryte przez mniej zaawansowane rozwiązania bezpieczeństwa. Po drugie, w przeciwieństwie do większości powszechnych backdoorów dających zdalny dostęp do zainfekowanych urządzeń, rootkit Moriya nie łączył się z żadnym serwerem w celu pobierania poleceń, ale otrzymywał je w specjalnie oznaczonych pakietach, wmieszanych w ruch sieciowy. Dzięki temu cyberprzestępcy nie musieli utrzymywać infrastruktury sterowania i kontroli, utrudniając tym samym analizę i śledzenie aktywności.
Rootkit Moriya instalowany był na urządzeniu w wyniku złamania zabezpieczeń podatnych na ataki serwerów WWW w atakowanych organizacjach. Ponadto wraz z rootkitem stosowano zestaw różnych innych narzędzi – dostosowanych do konkretnych potrzeb bądź wykorzystywanych wcześniej przez rozmaite chińskojęzyczne cybergangi – które pozwalały atakującym skanować urządzenia w sieci lokalnej, znajdować nowe cele, infekować je oraz wyprowadzać z nich pliki.
Chociaż nie byliśmy w stanie przypisać omawianej kampanii APT do konkretnego cyberugrupowania, jej cele oraz wykorzystywane narzędzia wskazują na związki ze znanymi chińskojęzycznymi gangami, dlatego sprawcy prawdopodobnie również pochodzą z tego kraju. Ponadto znaleźliśmy starszą wersję rootkita Moriya, wykorzystaną w osobnym ataku z 2018 r., co sugeruje, że ugrupowanie to jest aktywne od przynajmniej 2018 r. Na podstawie profilu celów oraz wykorzystywanego zestawu narzędzi można sądzić, że celem tej kampanii jest szpiegostwo, aczkolwiek nie mając wglądu w wyprowadzone dane, nie możemy stwierdzić tego z całkowitą pewnością — powiedział Giampaolo Dedola, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.
Podczas gdy my stajemy się coraz lepiej przygotowani na odpieranie ataków ukierunkowanych, cyberugrupowania zmieniają swoją strategię. Obserwujemy coraz więcej kampanii takich jak TunnelSnake, w których sprawcy podejmują dodatkowe wysiłki, aby możliwie jak najdłużej pozostać poza zasięgiem radaru, oraz inwestują w swoje zestawy narzędzi, w efekcie czego stają się one lepiej dostosowane do konkretnych potrzeb, bardziej złożone i trudniejsze do wykrycia. Trzeba jednak podkreślić, że zidentyfikowanie i powstrzymanie takich narzędzi jest możliwe, o czym świadczy opisywany przykład. Trwa nieustanny wyścig pomiędzy producentami rozwiązań bezpieczeństwa a cyberprzestępcami i aby go wygrać, społeczność związana z cyberbezpieczeństwem musi nadal ze sobą współpracować – dodał Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky.
Pełny raport dotyczący kampanii TunnelSnake jest dostępny na stronie https://r.kaspersky.pl/cCU6R.
Szczegółowe informacje dotyczące wskaźników infekcji związanych z tą operacją, w tym skrótów plików, można znaleźć w serwisie Kaspersky Threat Intelligence Portal.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.