Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

Głównym celem osób stojących za kampanią The Mask jest kradzież danych swoich ofiar.

Szkodliwe oprogramowanie zbiera z zainfekowanego systemu szereg różnych danych, w tym klucze szyfrowania, konfiguracje VPN, klucze SSH, pliki RDP oraz kilka nieznanych typów plików, które mogą mieć związek ze wspomnianymi wcześniej narzędziami do szyfrowania na poziomie wojskowym/rządowym.

Nie wiemy, kto jest odpowiedzialny za omawianą kampanię. Niektóre wskazówki sugerują, że osoby atakujące używają języka hiszpańskiego, nie jest to jednak dobry trop, ponieważ językiem tym posługują się osoby w wielu różnych częściach świata. Mogła to być również zmyłka, która miała na celu odwrócenie uwagi od twórcy szkodnika. Wysoki stopień profesjonalizmu grupy stojącej za tym atakiem nie jest typowy dla takich grup cyberprzestępczych – co między innymi może sugerować, że The Mask jest kampanią sponsorowaną przez rząd.

Kampania ta podkreśla fakt, że istnieją wysoce profesjonalni cyberprzestępcy, którzy posiadają niezbędne zasoby i umiejętności, aby tworzyć złożone szkodliwe oprogramowanie – w tym przypadku w celu kradzieży poufnych informacji. Pokazuje również, że ataki ukierunkowane, które generują niewielką aktywność - lub nie generują żadnej - mogą znaleźć się poza radarem.

Należy również zdać sobie sprawę, że niezależnie od stopnia wyrafinowania szkodnika The Mask, na początku (tak jak w przypadku wielu wcześniejszych ataków ukierunkowanych) należy skłonić użytkowników do zrobienia czegoś, co podważy bezpieczeństwo organizacji, dla której pracują – w tym przypadku przez kliknięcie odsyłacza.

Obecnie, wszystkie znane serwery kontroli (C&C) wykorzystywane do zarządzania infekcjami są nieczynne. Możliwe jednak, że osoby atakujące wznowią kampanię w przyszłości.

Robak i wąż

Na początku marca w kręgach związanych z bezpieczeństwem IT toczyły się szerokie dyskusje dotyczące kampanii cyberszpiegowskiej o nazwie Turla (zwanej również jako Snake i Uroburos). Badacze z G Data uważają, że wykorzystywane w tej kampanii szkodliwe oprogramowanie mogło zostać stworzone przez rosyjskie służby specjalne. Badanie przeprowadzone przez BAE Systems wskazało na powiązanie Turli ze szkodliwym oprogramowaniem o nazwie 'Agent.btz', które pochodzi z 2007 r. i zostało użyte w 2008 r. do zainfekowania lokalnych sieci oddziałów wojska amerykańskiego na Bliskim Wschodzie.

Kaspersky Lab „odkrył” tę kampanię ukierunkowaną podczas badania incydentu z wykorzystaniem wysoce zaawansowanego rootkita o nazwie 'Sun rootkit'. Stało się jasne, że 'Sun rootkit' i Uroburos to jedno i to samo zagrożenie.

Nadal badamy kampanię Turla, który według nas jest o wiele bardziej złożona niż wynika to z opublikowanych dotąd materiałów. Jednak nasza wstępna analiza ujawniła kilka interesujących powiązań.

Agent.btz to samodzielnie rozmnażający się robak, który potrafi rozprzestrzeniać się za pośrednictwem pamięci USB z wykorzystaniem luki pozwalającej uruchomić się przy użyciu 'autorun.inf'. Szkodnik ten zdołał szybko rozprzestrzenić się na całym świecie. Chociaż od kilku lat nie stworzono żadnych nowych wariantów tego robaka, a wspomniana wyżej luka w zabezpieczeniach została usunięta w nowszych wersjach systemu Windows, w samym tylko 2013 r. wykryliśmy robaka Agent.btz 13 832 razy w 107 państwach!

Agent.btz tworzy plik o nazwie 'thumb.dll' na wszystkich dyskach flash USB podłączonych do zainfekowanego komputera (zawierającego pliki 'winview.ocx', 'wmcache.nld' oraz 'mssysmgr.ocx’). Plik ten jest kontenerem przeznaczonym na skradzione dane, które są zapisywane na dysk flash, jeśli nie mogą zostać wysłane bezpośrednio przez internet do zarządzanego przez osoby atakujące serwera kontroli. W przypadku podpięcia takiego dysku flash do innego komputera, plik 'thumb.dll' zostanie skopiowany na nowy komputer z nazwą 'mssysmgr.ocx.

Uważamy, że skala epidemii, w połączeniu z opisaną powyżej funkcjonalnością, oznacza, że istnieją dziesiątki tysięcy dysków flash USB na całym świecie zawierających pliki o nazwie 'thumb.dll' stworzone przez Agent.btz. Obecnie, większość wariantów tego szkodliwego oprogramowania jest wykrywanych przez Kaspersky Lab jako 'Worm.Win32.Orbina'.