„WhiskerSpy Backdoor“ susieta su APT
Tyrėjai nustatė naujas užpakalines duris, kurios buvo susietos su pažangia nuolatinių grėsmių grupe Earth Kitsune, grupe, kurią jie anksčiau tyrinėjo. „Earth Kitsune“ nuo 2019 m. platina savo sukurtas užpakalines duris Šiaurės Korėja domisintiems taikiniams. Ankstesniais atvejais mokslininkai nustatė, kad grupė naudojo „vandens duobės“ taktiką, siekdama pakenkti su Šiaurės Korėja susijusioms svetainėms ir panaudoti naršyklės išnaudojimus. Tačiau savo naujausioje atakoje grupė naudojo socialinės inžinerijos taktiką, o ne naršyklės išnaudojimą.
2022 m. pabaigoje mokslininkai išsiaiškino, kad Šiaurės Korėją palaikančios organizacijos svetainė buvo pažeista platinant kenkėjiškas programas. Užpuolikai į tinklalapio vaizdo įrašų puslapius įleido kenkėjišką scenarijų, kuriame buvo rodomas netikras klaidos pranešimas, paskatinęs aukas atsisiųsti ir įdiegti trojanizuotą kodeko diegimo programą, kuri įkėlė naujas užpakalines duris pavadinimu „WhiskerSpy“. Užpuolikai taip pat naudojo atkaklumo techniką, kuri išnaudojo „Google Chrome“ vietinę pranešimų siuntimo prieglobą.
Užpuolikai sukonfigūravo tinklalapius, kad kenkėjiškas scenarijus būtų pateiktas tik lankytojams iš IP adresų sąrašo, todėl buvo sunku aptikti ataką. Tačiau mokslininkai užpuoliko serveryje rado tekstinį failą, kuriame yra reguliarioji išraiška, atitinkanti tikslinius IP adresus. Tyrėjai pažymėjo, kad IP adresai Šenjange ir Nagojoje greičiausiai buvo tikrieji taikiniai, o tiksliniai IP adresai Brazilijoje daugiausia priklausė komercinei VPN paslaugai, kurią užpuolikai galėjo naudoti, kad išbandytų savo atakas. Norėdami patikrinti ataką, mokslininkai naudojo tą pačią VPN paslaugą, kad sėkmingai gautų kenkėjišką scenarijų.
Kas yra užpakalinės durys ir kaip jos gali sukelti papildomų grėsmių?
Užpakalinės durys yra kenkėjiškos programinės įrangos ar kodo tipas, suteikiantis neteisėtą prieigą prie kompiuterio ar tinklo, apeinant įprastus saugos mechanizmus. Užpakalines duris gali naudoti kibernetiniai nusikaltėliai, norėdami gauti prieigą prie slaptos informacijos, įdiegti papildomą kenkėjišką programą arba nuotoliniu būdu valdyti sistemą.
Įdiegus užpakalines duris, sistema gali būti atvira įvairioms papildomoms grėsmėms. Pavyzdžiui, užpuolikai gali naudoti užpakalines duris, kad pavogtų prisijungimo duomenis, įdiegtų klavišų registratorius, kad užfiksuotų jautrius duomenis, arba pradėti išpirkos reikalaujančios programos ataką, kad užšifruotų pažeistos sistemos failus. Užpakalinės durys taip pat gali būti naudojamos kenkėjiškoms programoms paskleisti kitose tinklo sistemose, leidžiančios užpuolikams išplėsti savo pasiekiamumą ir pasiekti jautresnius duomenis.
Be galimos žalos dėl neteisėtos prieigos ir duomenų vagystės, užpakalines duris gali būti sunku aptikti ir pašalinti. Kadangi jie skirti apeiti įprastus saugos mechanizmus, jie gali būti paslėpti giliai sistemos kode, todėl juos sunku aptikti naudojant standartines antivirusines priemones. Dėl to, esant užpakalinėms durims, sistema ilgą laiką gali būti pažeidžiama atakai, net ir pašalinus kitą kenkėjišką programą.