„MarsSnake Backdoor“: slaptas kibernetinis įrankis pasauliniame šnipinėjime
Table of Contents
Atsiranda dar viena skaitmeninė grėsmė
Kalbant apie pasaulinį kibernetinį šnipinėjimą, naujai identifikuotos „užpakalinės durys“, žinomos kaip „MarsSnake“ , patraukia saugumo analitikų dėmesį. „MarsSnake“ buvo susieta su sunkiai aptinkama grėsmių grupe „UnsolicitedBooker“ , kuri, kaip manoma, veikia palaikydama ryšius su Kinija. Šios „užpakalinės durys“ atsirado per virtinę kibernetinių atakų, nukreiptų prieš Saudo Arabijoje įsikūrusią tarptautinę organizaciją.
Nors „UnsolicitedBooker“ ir yra mažai žinoma, pranešama, kad ji naudojo itin tikslines sukčiavimo kampanijas, kad gautų pradinę prieigą. Šie el. laiškai yra sukurti taip, kad atrodytų teisėti – dažnai juose kaip masalas pateikiami skrydžių užsakymai – ir buvo siunčiami organizacijoms visoje Azijoje, Afrikoje ir Artimuosiuose Rytuose. Nuolatinis šių atakų pobūdis, kai incidentai buvo užfiksuoti 2023, 2024 m. ir dar kartą 2025 m. pradžioje, rodo nuolatinį susidomėjimą konkrečiais geopolitiniais taikiniais.
Atakos anatomija
„MarsSnake“ kampanijoje naudotas infiltracijos metodas atspindi gerai suplanuotą operaciją. Užpuolikai siuntė el. laiškus, užmaskuotus kaip „Saudia Airlines“ pranešimus, prie kurių buvo pridėtas „Microsoft Word“ priedas su, regis, skrydžio maršrutu. Nors dokumentas atrodė nekenksmingas, jis buvo pakeistas makrokomanda, kuri, įjungus, aukos kompiuteryje įdiegdavo vykdomąjį failą pavadinimu smssdrvhost.exe .
Šis failas veikia kaip įkroviklis, galiausiai įdiegdamas „MarsSnake“ galines duris. Kai tik „MarsSnake“ tampa aktyvus, jis užmezga ryšį su išoriniu komandų ir valdymo (C&C) serveriu, leisdamas užpuolikams sąveikauti su pažeista sistema. „MarsSnake“ suteikiama prieiga apima komandų vykdymą, failų manipuliavimą ir galimą tolesnės kenkėjiškos programos diegimą – visa tai nuotoliniu būdu valdoma per užpuoliko infrastruktūrą.
Kas yra „MarsSnake“ ir kodėl tai svarbu?
„MarsSnake“ išsiskiria ne tik kaip slapta programa, bet ir kaip labai pajėgi bei lanksti kibernetinio šnipinėjimo priemonė. Kadangi ji gali atlikti platų operacijų spektrą, ji yra veiksmingas turtas bet kuriai pažangių nuolatinių grėsmių (APT) grupei. „MarsSnake“ šiuo metu yra prieinama tik „UnsolicitedBooker“, o tai rodo tam tikrą specializaciją jos kūrime ir diegime.
Šis išskirtinumas taip pat kelia klausimų dėl strateginių jo naudojimo tikslų. Kibernetinio saugumo ekspertai mano, kad „MarsSnake“ nėra masinių atakų įrankis, o veikiau skirtas tiksliam taikymuisi, siekiant infiltruotis į konkrečias, didelės vertės institucijas. Pakartotinės atakos prieš vieną organizaciją Saudo Arabijoje rodo, kad tikslas yra ilgalaikis žvalgybos duomenų rinkimas, o ne greita finansinė nauda ar sutrikdymas.
Ryšiai su kitais grėsmės veikėjais
Nors „UnsolicitedBooker“ yra gana naujas vardas APT ekosistemoje, jos taktika ir įrankių rinkinys primena kitų su Kinija susijusių grupuočių taktikas ir įrankius. Pažįstamų užpakalinių durų, tokių kaip „Chinoxy“, „DeedRAT“ , „Poison Ivy“ ir „BeRAT“, naudojimas atitinka elgesį, pastebėtą operacijose, priskiriamose tokiems grėsmių klasteriams kaip „Space Pirates“ ir APT15 .
Be to, panašios kampanijos buvo pastebėtos iš tokių grupių kaip „DigitalRecyclers“ – dar vienas subjektas, veikiantis APT15 tinkle. „DigitalRecyclers“ taikėsi į Europos vyriausybines įstaigas, naudodama savo kenkėjiškų programų rinkinį, įskaitant galines duris, vadinamas „HydroRShell“ . Kaip ir „MarsSnake“, „HydroRShell“ yra sukurta nuotoliniam komandų vykdymui ir naudoja sudėtingus metodus bendravimui su savo valdymo serveriu, įskaitant „Google“ protokolų buferius („Protobuf“).
Platesnis vaizdas: kokios pasekmės?
„MarsSnake“ ir su juo susijusių kampanijų atradimas pabrėžia besivystančią kibernetinių grėsmių aplinką, kurioje slaptos prieigos prie slaptų sistemų tampa vis modernesnės ir pritaikytos prie savo taikinių. Tarptautinėms organizacijoms, ypač toms, kurios veikia vyriausybėje, diplomatijoje ar ypatingos svarbos infrastruktūroje, tokių įrankių kaip „MarsSnake“ egzistavimas pabrėžia patikimos kibernetinio saugumo praktikos svarbą.
Šios atakos taip pat atspindi platesnę geopolitinę įtampą, kylančią skaitmeninėje erdvėje. Valstybėms konkuruojant dėl strateginių pranašumų, kibernetinis šnipinėjimas tapo mėgstama taktika. Tokios priemonės kaip „MarsSnake“ yra platesnės tendencijos, kai su valstybėmis susijusios grupuotės vykdo ilgalaikes stebėjimo operacijas, kad surinktų jautrią žvalgybinę informaciją, dalis.
Judėjimas į priekį
Nors „MarsSnake“ gali neturėti įtakos vidutiniam vartotojui, jos buvimas rodo augantį tarptautinio bendradarbiavimo kibernetinio saugumo srityje poreikį. Organizacijos turi būti budrios dėl tikslinių sukčiavimo kampanijų ir investuoti į grėsmių aptikimo įrankius, galinčius nustatyti subtilius, ilgalaikius įsilaužimus.
Tyrėjams ir gynėjams kenkėjiškų programų šeimų, tokių kaip „MarsSnake“, stebėjimas suteikia vertingų įžvalgų apie grėsmių veikėjų galimybes ir ketinimus. Nuolatinė analizė ir dalijimasis grėsmių žvalgybos informacija yra būtini norint neatsilikti nuo šių sudėtingų kampanijų.
„MarsSnake“ gali būti tik viena didesnės kibernetinės dėlionės dalis, tačiau jos atsiradimas aiškiai primena, kad kova dėl skaitmeninio dominavimo yra gyva ir nuolat kintanti.
