„ROAMINGMOUSE“ kenkėjiška programa: įsibrovėlis Azijos skaitmeniniuose koridoriuose
Table of Contents
Naujos kartos kibernetinio šnipinėjimo įrankis
Kibernetinio šnipinėjimo pasaulyje neseniai pasirodė nauja kenkėjiška programinė įranga, vadinama ROAMINGMOUSE. Ji tyliai įsitvirtina sistemose ir renka žvalgybinę informaciją be tiesioginio aptikimo. Skirtingai nuo sensacingų išpirkos reikalaujančių programų ar trikdančių kibernetinių atakų, kurios patenka į pasaulines antraštes, ROAMINGMOUSE yra subtilesnė ir apskaičiuotesnė įsilaužimo forma, pabrėžianti vis sudėtingesnes valstybių remiamas kibernetines kampanijas.
Už kenkėjiškų programų slypintys veikėjai
„ROAMINGMOUSE“ nėra atskira grėsmė, o platesnės šnipinėjimo operacijos, kurią, kaip manoma, organizuoja grėsmės veikėjas, žinomas kaip „MirrorFace“ , dalis. Ši grupuotė, taip pat sekama slapyvardžiu „Earth Kasha“, yra susijusi su didesniu ir gerai dokumentuotu Kinijos šnipinėjimo padaliniu APT10. Jų naujausia kampanija pirmiausia nukreipta į vyriausybines ir viešąsias įstaigas Japonijoje ir Taivane – dviejuose vis didėjančios geopolitinės reikšmės regionuose.
Apgaulinga pradžia: sukčiavimo atakų sąranka
Šios operacijos esmė – atakų grandinė, prasidedanti tiksliniu sukčiavimu – technika, kai naudojami klaidinantys el. laiškai, siekiant apgauti gavėjus ir priversti juos atidaryti kenkėjišką turinį. Šiuo atveju el. laiškai yra sumaniai užmaskuoti, dažnai siunčiami iš anksčiau pažeistų, bet teisėtų paskyrų. El. laiškuose yra įterptas „Microsoft OneDrive“ URL, kuris atsisiunčia ZIP failą su spąstais paslėptu „Excel“ dokumentu. Atidarius šį dokumentą, paleidžiama „ROAMINGMOUSE“ – makrokomandas palaikanti kenkėjiškų programų siuntimo programa, kuri inicijuoja tolesnius operacijos veiksmus.
KLAJONUOJANČIOJI PELĖ veiksme
„ROAMINGMOUSE“ veikia kaip pagalbininkas. Jis dekoduoja įterptą, užkoduotą ZIP failą ir išskleidžia keletą failų į aukos diską. Tarp jų yra teisėti „Windows“ dvejetainiai failai ir dinaminių nuorodų bibliotekos (DLL), bet taip pat ir paslėptas paketas: ANEL galinės durys – dažnai pasitaikantis įrankis „Earth Kasha“ šnipinėjimo įrankių rinkinyje. Piktnaudžiaudama technika, vadinama DLL šoniniu įkėlimu, kenkėjiška programa apgauna teisėtas programas, kad jos vykdytų kenkėjišką kodą, taip apeidama pagrindinį saugumo aptikimą.
Patobulintos ANEL galimybės
Ypač verta dėmesio dabartinėje ANEL versijoje yra patobulintos jos galimybės. Naujausias variantas dabar gali vykdyti švyturių objektų failus (BOF) tiesiai sistemos atmintyje. BOF yra specializuotos programos, skirtos išplėsti „Cobalt Strike“ – teisėtą įrankį, kurį užpuolikai dažnai panaudoja veiklai po atakos. Tai leidžia grėsmės veikėjui atidžiau ištirti užkrėstas sistemas – daryti ekrano kopijas, kataloguoti veikiančius procesus ir analizuoti tinklo domenų struktūras.
Daugiasluoksnė kenkėjiškų programų kampanija
Be to, ši kampanija nėra susijusi tik su viena kenkėjiška programa. „ROAMINGMOUSE“ naudojama siekiant atverti kelią kitoms priemonėms, įskaitant „NOOPDOOR“ (dar žinomą kaip „HiddenFace“) – dar vieną sudėtingą galinių durų metodą, kuris naudoja DNS per HTTPS (DoH). Ši technika šifruoja interneto srautą, todėl tinklo saugumo įrankiams sunkiau pastebėti ir blokuoti kenkėjiškos programos ryšį su jos komandų ir valdymo serveriais.
Didelės vertės taikinių pasekmės
Šios kampanijos pasekmės plačiajai visuomenei yra reikšmingos, nors nebūtinai keliančios nerimą. Ji atskleidžia nuolatinį kibernetinių konfliktų taktikos pokytį – nuo trikdančių atakų prie tylaus, tikslinio šnipinėjimo. Pagrindiniai taikiniai yra vyriausybinės įstaigos ir ypatingos svarbos infrastruktūros organizacijos, ypač tos, kurios turi jautrią informaciją, susijusią su nacionaliniu saugumu, infrastruktūros planais ir intelektine nuosavybe.
Reagavimas į grėsmių aplinką
Giliai įsitvirtinę institucinėse sistemose, tokie grėsmės subjektai kaip „Earth Kasha“ siekia kuo ilgiau likti nepastebėti, išsemdami duomenis, kurie gali padėti priimti strateginius, politinius ar ekonominius sprendimus. Nors nepranešta apie nė vieną pažeidimą, kuris būtų padaręs akivaizdžią žalą, bendras tokio ilgalaikio stebėjimo poveikis gali turėti įtakos regiono stabilumui, prekybos deryboms ar politikos kūrimui.
Raginimas būti budriems ir atspariems
Organizacijoms, susiduriančioms su tokio lygio grėsme, patariama sustiprinti savo kibernetinio saugumo poziciją. Tai apima nulinio pasitikėjimo principų taikymą, pažangių grėsmių aptikimo įrankių naudojimą, vidinės veiklos stebėjimą, siekiant nustatyti anomalijas, ir nuolatinių mokymų, padedančių darbuotojams atpažinti sukčiavimo bandymus, teikimą. Šiame kontekste kibernetinis saugumas tampa mažiau susijęs vien su prevencija, o daugiau su ankstyvu aptikimu ir atspariu reagavimu.
Esmė
„ROAMINGMOUSE“ nėra įspėjimas apie gresiantį pavojų kasdieniams vartotojams, tačiau jis primena apie besikeičiantį skaitmeninių grėsmių pobūdį. Kibernetinėms operacijoms tampant vis tikslingesnėms ir techniškai pažangesnėms, tobulėti turi ir gynybos priemonės, saugančios kritines sistemas. Tyli ir kukli ši nauja kenkėjiškų programų kampanija rodo, kad šiuolaikiniame šnipinėjimo amžiuje pavojingiausios grėsmės gali būti tos, kurios visai nepraneša apie save.
