Hawkball: Backdoor είναι μια μέθοδος, που παρακάμπτει τον κανονικό έλεγχο ταυτότητας ή την κρυπτογράφηση σε ένα σύστημα υπολογιστή ή ένα προϊόν. Το backdoor, μπορεί να χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε κωδικούς πρόσβασης, να διαγράψει δεδομένα σε σκληρούς δίσκους ή να μεταφέρει πληροφορίες στο cloud.
Σύμφωνα με το FireEye Labs, ένα backdoor που βρέθηκε πρόσφατα με το όνομα Hawkball σε μια καμπάνια, φαίνεται να απευθύνεται σε ρωσόφωνα κυβερνητικά μέλη στην κεντρική Ασία.
Ουσιαστικά ο τρόπος που λειτουργεί είναι ότι εισέρχεται στο σύστημα και μετά εισάγει malware υλικό. Με αυτό πραγματοποιείται η έρευνα και συλλέγονται οι πληροφορίες των θυμάτων που είναι απαραίτητες.
Για να μεταφερθεί το backdoor, από αυτούς που επιτίθονται, χρησιμοποίησαν ένα κακόβουλο αρχείο που φαίνεται να προέρχεται από αντιτρομοκρατική οργάνωση με επίκεντρο τις μετασοβιετικές δημοκρατίες που απαρτίζουν την Κοινοπολιτεία Ανεξαρτήτων Κρατών. To όνομα του κειμένου αυτού, μεταφράζεται κατά προσέγγιση από τα ρωσικά στα αγγλικά ως “Συλλογή της καθοδηγητικής σύνθεσης των αντιτρομοκρατικών μονάδων ασφαλείας και των ειδικών υπηρεσιών των κρατών της ΚΑΚ (Κοινοπολιτεία Ανεξαρτήτων Κρατών)”.
Βέβαια ο διευθυντής ανάλυσης της FireEye Benjamin Read ανέφερε, πως αν και δεν μπορούν να είναι σίγουροι που στοχεύει το Hawkball, θεωρούν ότι αφορά κάποια κυβέρνηση.
Το άνοιγμα του κακόβουλου αρχείου ξεκινά μια αλυσίδα που παραδίδει τον ιό, μέσω δύο αδυναμιών ευπάθειας μνήμης Microsoft Office που είχαν προηγουμένως επιδιορθωθεί – CVE-2017-11882 (βρέθηκαν στο Microsoft Office 2007 Service Pack 3, το Microsoft Office 2010 Service Pack 2, το Microsoft Office 2013 Service Pack 1 και το Microsoft Office 2016) και CVE-2018-0802 (που βρέθηκαν στο πρόγραμμα επεξεργασίας εξισώσεων στο Microsoft Office 2007, 2010, 2013 και 2016).
Το Hawkball επικοινωνεί με έναν κωδικοποιημένο server C2 μέσω HTTP, εξάγοντας πληροφορίες του θύματος, συμπεριλαμβανομένου του ονόματος του υπολογιστή, του ονόματος χρήστη, της διεύθυνσης IP, της σελίδας OEM, της έκδοσης του λειτουργικού συστήματος, των λεπτομερειών της αρχιτεκτονικής κλπ. Πραγματοποιεί επίσης τουλάχιστον δύο τεχνικές για να ελέγξει εάν εκτελείται σάρωση.
