Οι ειδικοί σε θέματα ασφάλειας στον κυβερνοχώρο έχουν εντοπίσει την κακόβουλη ομάδα hacking Clasiopa που στοχεύει επιχειρήσεις στον κλάδο της έρευνας υλικών με ένα ασυνήθιστο σύνολο εργαλείων, συμπεριλαμβανομένου του δικού τους προσαρμοσμένου trojan απομακρυσμένης πρόσβασης (RAT), γνωστού ως Atharvan.
Ο απειλητικός παράγοντας παρακολουθείται ως Clasiopa από τη Symantec, μια εταιρεία Broadcom, της οποίας οι αναλυτές βρήκαν μια ένδειξη που δείχνει ότι προέρχεται από την Ινδία. Ωστόσο, η απόδοση παραμένει ασαφής επειδή υπάρχουν λίγα στοιχεία που να υποστηρίζουν οποιαδήποτε θεωρία.
Δείτε επίσης: Google Bug Bounty: Το 2022 δόθηκαν $ 12 εκατ. σε ερευνητές
Λεπτομέρειες για την επίθεση Clasiopa
Παρόλο που η ακριβής πηγή της αρχικής μόλυνσης του Clasiopa είναι άγνωστη, οι ερευνητές της Symantec ανακάλυψαν στοιχεία που υποδηλώνουν ότι χρησιμοποιεί μεθόδους brute force για να διεισδύσει σε servers με δημόσια πρόσβαση.
Σύμφωνα με τη Symantec, μετά την πραγματοποίηση μιας επιτυχημένης επίθεσης, οι δράστες συχνά αναλαμβάνουν διάφορα περαιτέρω μέτρα, όπως:
- έλεγχος της διεύθυνσης IP του παραβιασμένου συστήματος
- απενεργοποίηση προϊόντων προστασίας endpoint διακόπτοντας τις υπηρεσίες τους
- ανάπτυξη κακόβουλου λογισμικού που μπορεί να κάνει σάρωση για συγκεκριμένα αρχεία και να τα εξάγει ως αρχεία ZIP
- εκκαθάριση Sysmon logs και eventlogs για να κάνει wipe τα ίχνη της κακόβουλης δραστηριότητας
- δημιουργία μιας προγραμματισμένης εργασίας (“network service”) για να καταγράψει σε λίστα τα ονόματα των αρχείων
Η έρευνα της Symantec αποκάλυψε ότι η ομάδα Clasiopa χρησιμοποιούσε τόσο ενα backdoor όσο και γνήσιες εφαρμογές, όπως το Agile DGS και το Agile FD, υπογεγραμμένες με ληγμένα πιστοποιητικά.
Οι χάκερ αξιοποίησαν έξυπνα δύο backdoors για την επίθεσή τους: το προσαρμοσμένο Atharvan και το ανοιχτού κώδικα Lilith RAT. Χρησιμοποιώντας το τελευταίο, είχαν πρόσβαση σε ένα ισχυρό οπλοστάσιο λειτουργιών, όπως η εκτέλεση εντολών, η εκτέλεση script PowerShell και ο χειρισμός διεργασιών στο μολυσμένο σύστημα.
Η Clasiopa χρησιμοποίησε και ένα προσαρμοσμένο εργαλείο proxy και την εφαρμογή Thumbsender, η οποία έχει πρόσβαση σε αρχεία στο περιβάλλον υποδοχής της για να τα αποθηκεύσει σε μια database που μπορεί να εξαχθεί ανά πάσα στιγμή σε μια διεύθυνση IP της επιλογής της.
Δείτε επίσης: Το νέο S1deload Stealer malware χακάρει YouTube και Facebook accounts
Δυνατότητες του Atharvan
Από όλες τις εκμεταλλευτικές συσκευές που χρησιμοποιεί η ομάδα Clasiopa, το Atharvan ξεχωρίζει γιατί είναι ένα custom backdoor που δεν έχει βρεθεί σε άλλες επιθέσεις.
Κατά την ενεργοποίησή του, δημιουργεί μια διαδικασία αμοιβαίου αποκλεισμού για να αποφύγει την εκτέλεση πολλαπλών διεργασιών του εαυτού του και στη συνέχεια επικοινωνεί με μια κωδικοποιημένη διεύθυνση εντολών και ελέγχου σε μια μη συνηθισμένη τοποθεσία: Amazon Web Services που βρίσκεται στη Σεούλ της Νότιας Κορέας.
Παρακάτω είναι ένα δείγμα της επικοινωνίας του backdoor με τον διακομιστή C2, που έχει διαμορφωθεί ως αιτήματα HTTP POST σε έναν υποτιθέμενο νόμιμο host, τον update server της Microsoft.
Μια εξαιρετική ικανότητα αυτού του συστήματος είναι η ικανότητά του να διαμορφώνεται για προγραμματισμένη επικοινωνία με το C2, καθώς και η ικανότητά του να επιχειρεί συνδέσεις κατά τη διάρκεια συγκεκριμένων ημερών ή εβδομάδων.
Δείτε επίσης: Οι χάκερ Hydrochasma στοχεύουν εργαστήρια ιατρικής έρευνας
Το Atharvan είναι ικανό να κατεβάζει αρχεία στον μολυσμένο υπολογιστή, να εκκινεί εκτελέσιμα προγράμματα, να εκτελεί εντολές και να τα στέλνει πίσω στο output τους.
Οι ερευνητές επισημαίνουν ότι το Atharvan χρησιμοποιεί έναν στοιχειώδη αλγόριθμο για να κρυπτογραφήσει τις επικοινωνίες του με το C2. Όταν τίθεται σε εφαρμογή, κάθε byte του απλού κειμένου κρυπτογραφείται με XOR με τον αριθμό “2”, δημιουργώντας έτσι ένα κρυπτογραφημένο κείμενο. Αυτό δεν είναι ιδιαίτερα ασφαλές, αλλά μπορεί να επιτρέψει στο κακόβουλο λογισμικό να διαφύγει από ορισμένα εργαλεία εποπτείας δικτύου.
Κατά την έρευνά τους, οι ερευνητές ανακάλυψαν ένα mutex στα χίντι – “SAPTARISHI-ATHARVAN-101” – που αναφέρεται στον Atharvan, έναν αρχαίο ιερέα από τη βεδική μυθολογία. Μια άλλη υπόδειξη είναι ένας κωδικός πρόσβασης που χρησιμοποίησε ο εισβολέας για ένα αρχείο ZIP, ο οποίος ήταν “iloveindea1998^_^”.
Ωστόσο, και οι δύο υπαινιγμοί μπορεί να είναι απλώς αντιπερισπασμοί που αποσκοπούν στο να μας παραπλανήσουν.
Το backdoor Atharvan παραμένει σε μεγάλο βαθμό απαρατήρητo. Επί του παρόντος, έχει μόνο ένα δείγμα που είναι διαθέσιμο στην πλατφόρμα σάρωσης VirusTotal- ωστόσο, έχει επισημανθεί ως απειλή από μόλις δύο μηχανές antivirus.
Προφανώς, ο σκοπός των επιθέσεων της Clasiopa είναι η κυβερνοκατασκοπεία. Σύμφωνα με τα ευρήματα των ερευνητών, ο κακόβουλος δράστης στοχεύει ενεργά σε θύματα στην Ασία.
Πηγή πληροφοριών: bleepingcomputer.com
