Kyberturvallisuuden kuva
Suosittujen virustentorjunta- ja digitaalisten tietoturvaohjelmistojen ESET-valmistajat ovat löytäneet hyökkääjät, jotka hyödyntivät äskettäistä Windows-käyttöjärjestelmän nollapäivän heikkoutta. Hyökkäyksen takana olevan hakkerointiryhmän uskotaan harjoittavan verkkovakoilua. Mielenkiintoista on, että tämä ei ole tyypillinen kohde tai metodologia ryhmälle, joka menee nimellä 'Buhtrap', ja siksi hyödyntäminen osoittaa vahvasti, että ryhmä on voinut kääntyä.
Slovakian virustentorjuntavalmistaja ESET on vahvistanut, että hakkeriryhmä, joka tunnetaan nimellä Buhtrap, on tuoreessa Windows OS: n nollapäivän haavoittuvuuden takana, jota hyödynnettiin luonnossa. Löytö on melko mielenkiintoinen ja huolestuttava, koska ryhmän toimintaa rajoitettiin ankarasti muutama vuosi sitten, kun sen ydinohjelmistokoodi vuodettiin verkkoon. Hyökkäys käytti juuri korjattua Windows-käyttöjärjestelmän nollapäivän heikkoutta tietoverkkojen vakoilun suorittamiseksi. Tämä koskee varmasti uutta kehitystä lähinnä siksi, että Buhtrap ei koskaan osoittanut kiinnostusta tiedon hankkimiseen. Ryhmän ensisijainen toiminta oli rahan varastamista. Aikana, kun se oli erittäin aktiivinen, Buhtrapin ensisijaiset kohteet olivat rahoituslaitokset ja niiden palvelimet. Ryhmä käytti omia ohjelmistojaan ja koodejaan vaarantaa pankkien tai asiakkaiden turvallisuuden varastaa rahaa.
Muuten, Microsoft on juuri julkaissut korjaustiedoston, jolla estetään nollapäivän Windows-käyttöjärjestelmän haavoittuvuus. Yritys oli tunnistanut virheen ja merkinnyt sen CVE-2019-1132 . Laastari oli osa heinäkuun 2019 Patch Tuesday pakettia.
Buhtrap kääntyy verkkovakoiluun:
ESETin kehittäjät ovat vahvistaneet Buhtrapin osallistumisen. Lisäksi virustentorjuntaohjelma on jopa lisännyt, että ryhmä osallistui kybervakoiluun. Tämä on täysin Buhtrapin aiempien hyväksikäyttöjen vastaista. ESET on muuten tietoinen ryhmän uusimmista toiminnoista, mutta ei ole paljastanut ryhmän tavoitteita.
Mielenkiintoista on, että useat turvallisuusvirastot ovat toistuvasti ilmoittaneet, että Buhtrap ei ole säännöllinen valtion tukema hakkereiden asu. Turvallisuustutkijat ovat vakuuttuneita siitä, että ryhmä toimii pääasiassa Venäjältä. Sitä verrataan usein muihin kohdennettuihin hakkerointiryhmiin, kuten Turla, Fancy Bears, APT33 ja Equation Group. Buhtrapin ja muiden välillä on kuitenkin yksi ratkaiseva ero. Ryhmä tulee harvoin pinnalle tai ottaa vastuun hyökkäyksistään avoimesti. Lisäksi sen ensisijaiset tavoitteet ovat aina olleet rahoituslaitokset, ja konserni seurasi rahaa tietojen sijasta.
Buhtrap-ryhmä käyttää nollapäivää uusimmissa vakoilukampanjoissa: ESET-tutkimus paljastaa pahamaineisen rikollisryhmän, joka on myös suorittanut vakoilukampanjoita viimeisten viiden vuoden aikana. Buhtrap-ryhmä käyttää nollapäivää viimeisimmissä vakoilukampanjoissa ilmestyi ensimmäisen kerran https://t.co/mvCyy424cg pic.twitter.com/9OJ6nXZ1sT
- Shah Sheikh (@shah_sheikh) 11. heinäkuuta 2019
Buhtrap ilmestyi ensimmäisen kerran vuonna 2014. Ryhmä tuli tunnetuksi sen jälkeen, kun se seurasi monia venäläisiä yrityksiä. Nämä yritykset olivat kooltaan melko pieniä, joten heistit eivät tuottaneet paljon tuottoisaa tuottoa. Silti menestystä saavuttaen ryhmä alkoi kohdistaa suurempia rahoituslaitoksia. Buhtrap aloitti suhteellisen hyvin vartioitujen ja digitaalisesti turvattujen venäläisten pankkien jälkeen. Group-IB: n raportti osoittaa, että Buhtrap-ryhmä onnistui pääsemään yli 25 miljoonalla dollarilla. Kaiken kaikkiaan ryhmä hyökkäsi onnistuneesti noin 13 venäläiselle pankille, väitti turvallisuusyhtiö Symantec . Mielenkiintoista on, että suurin osa digitaalisista heisteistä toteutettiin onnistuneesti elokuun 2015 ja helmikuun 2016 välillä. Toisin sanoen Buhtrap onnistui hyödyntämään noin kaksi venäläistä pankkia kuukaudessa.
Buhtrap-ryhmän toiminta lakkasi yhtäkkiä sen jälkeen, kun heidän oma Buhtrap-takaovensa oli nerokkaasti kehitetty yhdistelmä ohjelmistotyökaluja. Raportit osoittavat, että muutama ryhmän jäsen itse on saattanut vuotaa ohjelmiston. Vaikka ryhmän toiminta pysähtyi äkillisesti, pääsy tehokkaaseen ohjelmistotyökalusarjaan antoi useille pienille hakkerointiryhmille mahdollisuuden kukoistaa. Jo valmiiksi kehitetyn ohjelmiston avulla monet pienet ryhmät alkoivat tehdä hyökkäyksiä. Suurin haittapuoli oli pelkkä Buhtrap-takaovesta tehtyjen hyökkäysten määrä.
Buhtrap-takaoven vuotamisen jälkeen ryhmä kääntyi aktiivisesti verkko-iskujen toteuttamiseksi aivan toisenlaisella tarkoituksella. ESET-tutkijat väittävät kuitenkin, että he ovat nähneet ryhmävaihtotaktiikat jo joulukuussa 2015 lähtien. Ilmeisesti ryhmä alkoi kohdistaa valtion virastoja ja instituutioita, totesi ESET: 'Kampanjaa on aina vaikea osoittaa tietylle toimijalle, kun heidän työkalunsa 'lähdekoodi on vapaasti saatavilla verkossa. Koska kohteiden muutos tapahtui kuitenkin ennen lähdekoodivuotoa, arvioimme suurella varmuudella, että samat ihmiset ensimmäisten Buhtrap-haittaohjelmahyökkäysten takana yrityksiä ja pankkeja vastaan ovat myös osallisina valtion laitoksissa. '
Buhtrapilla on varmasti outo kehitys ... 25 miljoonan dollarin varastamisesta venäläisiltä pankeilta ... kybervakoiluoperaatioihin. Onko tämä bogachev-vaikutus? pic.twitter.com/nuQ7ZKPU1Y
- Catalin Cimpanu (@campuscodi) 11. heinäkuuta 2019
ESET-tutkijat pystyivät vaatimaan Buhtrapin käden näissä hyökkäyksissä, koska he pystyivät tunnistamaan mallit ja löysivät useita yhtäläisyyksiä hyökkäysten toteuttamistavassa. 'Vaikka heidän arsenaaliinsa on lisätty uusia työkaluja ja päivityksiä on sovellettu vanhempiin, eri Buhtrap-kampanjoissa käytetyt taktiikat, tekniikat ja menettelytavat (TTP) eivät ole muuttuneet dramaattisesti kaikkien näiden vuosien aikana.'
Buhtrap Käytä Windows-käyttöjärjestelmän nollapäivän heikkoutta, joka voidaan ostaa pimeästä verkosta?
On mielenkiintoista huomata, että Buhtrap-ryhmä käytti Windows-käyttöjärjestelmän haavoittuvuutta, joka oli melko tuore. Toisin sanoen ryhmä otti käyttöön tietoturva-aukon, joka on yleensä merkitty nollapäivällä. Nämä puutteet ovat yleensä korjaamattomia eikä niitä ole helposti saatavilla. Muuten ryhmä on aiemmin käyttänyt Windows-käyttöjärjestelmän tietoturva-aukkoja. He ovat kuitenkin tyypillisesti luottaneet muihin hakkeriryhmiin. Lisäksi suurimmalla osalla hyökkäyksistä oli Microsoftin julkaisemia korjaustiedostoja. On melko todennäköistä, että ryhmä suoritti hakuja etsimällä tunkeutumattomia Windows-koneita.
Tämä on ensimmäinen tunnettu tapaus, jossa Buhtrap-operaattorit käyttivät korjaamatonta haavoittuvuutta. Toisin sanoen ryhmä käytti todellista nollapäivän haavoittuvuutta Windows-käyttöjärjestelmässä. Koska ryhmällä ei ilmeisesti ollut tarvittavia taitoja tietoturva-aukkojen löytämiseksi, tutkijat uskovat vahvasti, että ryhmä on voinut ostaa saman. Kasperskyn globaalin tutkimus- ja analyysiryhmän johtaja Costin Raiu uskoo, että nollapäivän haavoittuvuus on pohjimmiltaan 'etuoikeuden korottamisvirhe', jonka myy Volodya-niminen hyväksikäyttäjä. Tällä ryhmällä on historia, joka myy nollapäivän hyväksikäyttöjä sekä tietoverkkorikollisuudelle että kansallisvaltioryhmille.
Buhtrap #Malware tyypillisellä base64-koodatun suoritettavan mallin (ja koon) kanssa upotettuna doc-tiedostoon. https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6
- marc ochsenmeier (@ochsenmeier) 11. heinäkuuta 2019
On huhuja, joiden mukaan Venäjän tiedustelupalvelu olisi voinut hallita Buhtrapin kääntöä verkkovakoiluun. Vaikka teoria ei ole perusteltu, se voi olla tarkka. Saattaa olla mahdollista, että Venäjän tiedustelupalvelu värväsi Buhtrapin vakoilemaan heitä. Pivot voisi olla osa sopimusta anteeksi ryhmän aikaisemmat rikkomukset arkaluonteisten yritys- tai hallitustietojen sijaan. Venäjän tiedustelupalvelun on uskottu järjestäneen niin laajamittaisesti kolmansien osapuolten hakkerointiryhmiä aiemmin. Turvallisuustutkijat ovat väittäneet, että Venäjä rekrytoi säännöllisesti, mutta epävirallisesti lahjakkaita ihmisiä yrittämään päästä muiden maiden turvallisuuteen.
Mielenkiintoista on, että jo vuonna 2015 Buhtrapin uskottiin osallistuneen hallituksia vastaan tehtyihin vakoiluoperaatioihin. Itä-Euroopan ja Keski-Aasian maiden hallitukset ovat rutiininomaisesti väittäneet, että venäläiset hakkerit ovat yrittäneet tunkeutua turvallisuuteensa useaan otteeseen.
Tunnisteet Kyberturvallisuus
