Armia i Służby
Paranoja naszym najlepszym sojusznikiem
Spółka Exatel przygotowała raport „Paranoicy” opisujący przypadek zaawansowanego ataku APT na polskiego programistę zajmującego się badaniem kryptowaluty. Przebieg zdarzenia wskazuje, jak ważne jest zachowanie ostrożności w sieci, nawet jeżeli pozornie środki bezpieczeństwa wydają się przesadzone. Ślady mogą prowadzić do Rosji – wnioskują eksperci z Security Operations Center – SOC.
Miesiąc temu z ekspertami Exatela skontaktował się polski programista. Wyjaśnił, że znaczną sumę pieniędzy przechowuje w postaci bitcoinów i uważa, że ktoś próbuje go zaatakować i przechwycić zasoby cyfrowej waluty. Wspomniał też o korespondencji prowadzonej z dwoma osobami podającymi się za pracowników uniwersytetów Columbia i Imperial College of London. Miały one złożyć mu ofertę pracy zdalnej przy projekcie badawczym dotyczącym tworzenia nowych algorytmów przeznaczonych do analizy rynku kryptowalut.
Korespondencja była prowadzona z oficjalnych skrzynek mailowych znajdujących się w domenach obu wspomnianych uniwersytetów. Przed przystąpieniem do pracy polski programista miał wykonać zadanie testowe polegające na analizie algorytmu zaimplementowanego w języku skryptowym znanego programu do analiz statystycznych: STATA. Licencja na to oprogramowanie jest płatna, dlatego też inny pracownik uniwersytetu wysłał mu 3 linki HTTP do paczek instalacyjnych programu STATA 14, odpowiednio pod Windows, Linux i Mac oraz imienną licencję.
Wydawać by się mogło, że nie zachodzi podejrzenie, że za całą operacją stoją hakerzy. Jednak wrodzona, czasem nawet nadmierna ostrożność, przez niektórych określana nawet paranoją, pomogła w tym przypadku. Zdecydowano się zainstalować i uruchomić program w tzw. maszynie wirtualnej.
Maszyna wirtualna to swego rodzaju autonomiczny komputer osobisty tworzony z pomocą oprogramowania na bazie posiadanego sprzętu, który zawiera takie elementy jak pamięć operacyjna, procesor, karta graficzna i twardy dysk. Użytkownik decyduje, jaką część zasobów prawdziwego komputera przeznaczy na obsługę maszyny wirtualnej. Pozwala ona na zainstalowanie i uruchomienie praktycznie każdego programu. W ten sposób złośliwe oprogramowanie nie dostanie się do zasobów systemu.
Po tym jak zdecydowano się umieścić program w wirtualnej maszynie i rozpocząć testy, utracono kontakt z grupą, a z serwerów uniwersytetu Columbia usunięto wersje instalacyjne. Zasoby bitcoinów pozostały nietknięte, a osoba, która skontaktowała się z ekspertami z SOC, nie zaobserwowała żadnych symptomów mogących oznaczać działalność hakerów. Zespół Exatela przeprowadził analizę. W jej wyniku stwierdzono, że wykorzystano oprogramowanie spyware. Szczegóły techniczne analizy można znaleźć pod tym linkiem.
Eksperci Exatela zaobserwowali, że część śladów, które były oczywiste i rzucały się w oczy prowadziło do Rosji. Ich zdaniem mogły zostać tam celowo umieszczone, żeby zmylić analityków śledczych i ukryć tożsamość prawdziwych napastników. Była również rozpatrywana druga opcja – pozostawienie śladów może być swoistym podpisem autorów, którzy w niektórych kręgach hakerskich mogą uchodzić za „bohaterów”.
Autorzy raportu zauważyli, że konta emailowe, z których wysłano korespondencję były autentyczne. Ich zdaniem zostały przejęte i użyte do prowadzenia korespondencji z polskim programistą.
Serwer C&C użyty do przeprowadzenia ataku jest cały czas aktywny i odpowiada na połączenie protokołu komunikacyjnego malware. Zdaniem ekspertów jest jednak prawdopodobne, że operator serwera analizując komunikację złośliwego oprogramowania z serwerem, mógł już rozpoznać, że malware został zidentyfikowany a próba ataku nie powiodła się.
W raporcie wysnuto dwa wnioski. Być może jest to pojedynczy serwer C&C używany do ataku na więcej niż jeden cel bądź też na liście celów mogli być faktycznie także analitycy, a operator spyware utrzymuje komunikację z analizowanym malware w nadziei, że dojdzie do dalszej infekcji.
Zdaniem ekspertów Exatela mało prawdopodobne jest, że celem ataku na programistę było pozbawienie go kryptowaluty. Doszli oni do takiego wniosku po analizie poziomu zaawansowania badanego malware oraz jego powiązań z równie zaawansowanym APT użytym do prowadzenia działań szpiegowskich. Oznaczałoby to poświecenie zaawansowanego, własnoręcznie zbudowanego na 3 różne systemy operacyjne malware w celu przeprowadzenia ataku na jedną osobę i użycie go do kontynuacji operacji i infiltracji środowiska naukowego.
Kryptowaluta to najczęściej stosowany środek pieniężny w podziemiu hakerskim, która powszechnie uznawana jest za niemożliwą do wytropienia i gwarantująca anonimowość. Dlatego też stanowi atrakcyjny cel ataków różnych podmiotów chcących inwigilować to środowisko.
Przykład tej sytuacji pokazuje, że bardzo poważne, czy wręcz „przesadne” traktowanie zagrożeń w cyberprzestrzeni może tylko i wyłącznie pomóc i zwiększyć poziom bezpieczeństwa. Z raportu Exatela można wywnioskować, że im więcej będzie ostrożności, nawet określanej czasem jako „paranoja”, wśród internautów, tym lepiej dla cyberbezpieczeństwa.