Haittaohjelmien kehitys
Kyberturvallisuusyhtiö ESET on havainnut tunnetun ja vaikeasti havaittavan hakkerointiryhmän, joka on hiljaa ottanut käyttöön haittaohjelman, jolla on tiettyjä tavoitteita. Haittaohjelma hyödyntää takaoven, joka on mennyt tutkan alle menneisyydessä. Lisäksi ohjelmisto suorittaa mielenkiintoisia testejä varmistaakseen, että se kohdistuu aktiivisesti käytettyyn tietokoneeseen. Jos haittaohjelma ei havaitse toimintaa tai ei ole tyytyväinen, se yksinkertaisesti sammuu ja häviää ylläpitääkseen optimaalisen varkauden ja välttääkseen mahdollisen havaitsemisen. Uusi haittaohjelma etsii tärkeitä henkilöitä osavaltion hallituksen koneista. Yksinkertaisesti sanottuna haittaohjelma seuraa diplomaatteja ja ministeriöitä ympäri maailmaa
Ke3chang edistynyt pysyvien uhkien ryhmä näyttää palanneen uudella kohdennetulla hakkerointikampanjalla. Ryhmä on onnistuneesti käynnistänyt ja hallinnoinut verkko-vakoilukampanjoita ainakin vuodesta 2010 lähtien. Ryhmän toiminta ja hyväksikäytöt ovat melko tehokkaita. Yhdistettynä aiottuihin kohteisiin näyttää siltä, että ryhmää sponsoroi kansakunta. Uusin haittaohjelmakanta, jonka Ke3chang ryhmä on melko hienostunut. Aikaisemmin käyttöönotetut etäkäyttöiset troijalaiset ja muut haittaohjelmat olivat myös hyvin suunniteltuja. Uusi haittaohjelma ylittää kuitenkin kohdennettujen koneiden sokean tai joukkotartunnan. Sen sijaan sen käyttäytyminen on varsin loogista. Haittaohjelma yrittää vahvistaa ja todentaa kohteen ja koneen henkilöllisyyden.
ESETin kyberturvallisuuden tutkijat tunnistavat uudet hyökkäykset Ke3changin avulla:
Ainakin vuodesta 2010 lähtien aktiivinen jatkuva Ke3chang-uhka-ryhmä tunnistetaan myös nimellä APT 15. Suosittu slovakialainen virustentorjunta-, palomuuri- ja muu kyberturvallisuusyritys ESET on tunnistanut vahvistettuja jälkiä ja todisteita ryhmän toiminnasta. ESET-tutkijat väittävät, että Ke3chang-ryhmä käyttää kokeiltuja ja luotettavia tekniikoitaan. Haittaohjelma on kuitenkin päivitetty merkittävästi. Lisäksi tällä kertaa ryhmä yrittää hyödyntää uutta takaovea. Aiemmin löytämätön ja ilmoittamaton takaovi kutsutaan alustavasti Okrumiksi.
ESET-tutkijat ilmoittivat lisäksi, että heidän sisäinen analyysinsä osoittaa, että ryhmä pyrkii diplomaattisten elinten ja muiden valtion instituutioiden perään. Muuten, Ke3chang-ryhmä on ollut poikkeuksellisen aktiivinen toteuttamassa hienostuneita, kohdennettuja ja jatkuvia verkkovakoilukampanjoita. Perinteisesti ryhmä seurasi valtion virkamiehiä ja tärkeitä henkilöitä, jotka työskentelivät hallituksen kanssa. Heidän toimintaansa on havaittu eri puolilla Eurooppaa sekä Keski- ja Etelä-Amerikassa.
Uusi Okrum-haittaohjelma, jota Ke3chang Group käyttää kohdistamaan diplomaateihin https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
- Store4app (@ Store4app1) 18. heinäkuuta 2019
ESET: n kiinnostus ja painopiste ovat edelleen Ke3chang-ryhmässä, koska ryhmä on toiminut melko aktiivisesti yrityksen kotimaassa Slovakiassa. Ryhmän muita suosittuja kohteita ovat kuitenkin Belgia, Kroatia, Tšekki Euroopassa. Ryhmän tiedetään kohdistuneen Brasiliaan, Chileen ja Guatemalaan Etelä-Amerikassa. Ke3chang-ryhmän toiminta osoittaa, että se voi olla valtion tukema hakkerointiryhmä, jolla on tehokkaita laitteita ja muita ohjelmistotyökaluja, jotka eivät ole tavallisten tai yksittäisten hakkereiden käytettävissä. Siksi myös viimeisimmät hyökkäykset voivat olla osa pitkäaikaista jatkuvaa tiedustelutietokampanjaa, totesi ESETin tutkija Zuzana Hromcova: 'Hyökkääjän päätavoitteena on todennäköisesti verkkovakoilu, minkä vuoksi he valitsivat nämä kohteet.'
Kuinka Ketrican-haittaohjelma ja Okrumin takaovi toimivat?
Ketrican-haittaohjelma ja Okrum-takaovi ovat melko hienostuneita. Turvallisuustutkijat tutkivat edelleen, kuinka takaovi asennettiin tai pudotettiin kohdekoneisiin. Vaikka Okrumin takaoven jakelu on edelleen mysteeri, sen toiminta on vieläkin kiehtovampaa. Okrumin takaovi suorittaa joitain ohjelmistotestejä varmistaakseen, että se ei ole käynnissä hiekkalaatikossa, joka on pohjimmiltaan turvallinen virtuaalitila, jota tietoturvatutkijat käyttävät haittaohjelmien käyttäytymisen tarkkailuun. Jos kuormaaja ei saa luotettavia tuloksia, se yksinkertaisesti lopettaa itsensä välttääkseen tunnistamisen ja jatkoanalyysin.
Okrumin takaoven menetelmä vahvistaa, että se toimii tosielämässä toimivassa tietokoneessa, on myös varsin mielenkiintoinen. Kuormaaja tai takaovi aktivoi reitin vastaanottamaan todellisen hyötykuorman, kun hiiren vasenta painiketta on napsautettu vähintään kolme kertaa. Tutkijat uskovat, että tämä vahvistava testi suoritetaan ensisijaisesti sen varmistamiseksi, että takaovi toimii todellisilla, toimivilla koneilla eikä virtuaalikoneilla tai hiekkalaatikolla.
Kun lataaja on tyytyväinen, Okrumin takaovi antaa itselleen ensin kaikki järjestelmänvalvojan oikeudet ja kerää tietoja tartunnan saaneesta koneesta. Se taulukoi tietoja, kuten tietokoneen nimi, käyttäjänimi, isännän IP-osoite ja mikä käyttöjärjestelmä on asennettu. Sen jälkeen se vaatii lisätyökaluja. Myös uusi Ketrican-haittaohjelma on melko hienostunut ja sisältää useita toimintoja. Siinä on jopa sisäänrakennettu latausohjelma sekä latausohjelma. Latausohjelmaa käytetään tiedostojen viemiseen salaa. Haittaohjelman lataustyökalu voi vaatia päivityksiä ja jopa suorittaa monimutkaisia kuorikomentoja tunkeutuakseen syvälle isäntäkoneeseen.
Vanhan koulun varjoisa haittaohjelmaryhmä, jonka uskotaan toimivan Kiinasta, on kohdentanut diplomaatit infosektitutkijoiden mielestä aiemmin dokumentoimattomalla takaovella. Useita vuosia toiminut Ke3chang-ryhmä on jo pitkään ollut ob ... https://t.co/n1TBoQ1pQX
- Rekisteri: Yhteenveto (@_TheRegister) 18. heinäkuuta 2019
ESET-tutkijat olivat aiemmin havainneet, että Okrumin takaovi voisi jopa ottaa käyttöön muita työkaluja, kuten Mimikatz. Tämä työkalu on pohjimmiltaan varkain näppäinlukija. Se voi tarkkailla ja tallentaa näppäinpainalluksia ja yrittää varastaa kirjautumistunnuksia muille alustoille tai verkkosivustoille.
Tutkijat ovat muuten havainneet useita yhtäläisyyksiä Okrumin takaoven ja Ketrican-haittaohjelmien komennoissa turvallisuuden ohittamiseksi, korotettujen oikeuksien myöntämiseksi ja muun laittoman toiminnan suorittamiseksi. Näiden kahden erehtymätön samankaltaisuus on saanut tutkijat uskomaan, että nämä kaksi liittyvät läheisesti toisiinsa. Jos se ei ole tarpeeksi vahva yhdistys, molemmat ohjelmistot olivat kohdentaneet samoja uhreja, totesi Hromcova: 'Aloitimme pisteiden yhdistämisen, kun huomasimme, että Okrumin takaovea käytettiin pudottamaan vuonna 2017 koottu Ketrican-takaovi. Tämän päälle , havaitsimme, että joihinkin diplomaattisiin yksiköihin, joihin Okrumin haittaohjelma ja vuoden 2015 Ketrican-takaovet vaikuttivat, vaikutti myös vuoden 2017 Ketrican-takaovet. ”
AP3-ryhmän Ke3chang pudottaa Okrumin takaoven pommin diplomaattikohteisiin https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
- 420 Cyber, Inc. (@ 420Cyber) 18. heinäkuuta 2019
Kaksi aiheeseen liittyvää haittaohjelmistoa, jotka ovat vuosien välein, ja Ke3changin edistyneiden, pysyvien uhkien ryhmän jatkuva toiminta osoittavat, että ryhmä on pysynyt uskollisena tietoverkkoihin kohdistuvalle vakoilulle. ESET on luottavainen, ryhmä on parantanut taktiikkaansa ja iskujen luonne on kasvanut hienostuneisuutensa ja tehokkuuden suhteen. Kyberturvallisuusryhmä on kirjoittanut ryhmän hyökkäyksiä pitkään ja on ollut ylläpitää yksityiskohtaista analyysiraporttia .
Aivan äskettäin kerroimme siitä, kuinka hakkerointiryhmä oli luopunut muusta laittomasta verkkotoiminnastaan ja alkoi keskittyä verkkovakoiluun . On melko todennäköistä, että hakkerointiryhmät voisivat löytää parempia mahdollisuuksia ja hyötyjä tästä toiminnasta. Valtioiden tukemien hyökkäysten lisääntyessä vilpilliset hallitukset voivat myös salaa tukea ryhmiä ja tarjota heille armahdusta arvokkaiden valtiosalaisuuksien vaihdossa.
![[FIX] Palvelun isäntä: Vianmäärityskäytäntöpalvelun korkea suorittimen ja muistin käyttö](https://jf-balio.pt/img/how-tos/81/service-host-diagnostic-policy-service-high-cpu-memory-usage.png)
