PlugX crv se prilagođava da preživi
PlugX crv je svestrani trojanac za daljinsku pristup (eng. Remote Access Trojan – RAT), porijeklom iz Kine i povezan sa grupom koju sponzoriše država (eng. Advanced persistent threat – APT) poznatom kao Mustang Panda. Nedavno je sigurnosna kompanija Sekoia otkrila da je ovaj zlonamjerni softver proširio je svoj domet daleko izvan svog mjesta rođenja, utičući na preko 2,5 miliona jedinstvenih IP adresa u više od 170 zemalja širom sveta.
PLUGX PORIJEKLO
Zlonamjerni softver PlugX potiče iz Kine i koristi se uglavnom za špijunažu i operacije daljinskog pristupa od najmanje 2008. godine od strane grupa povezanih sa kineskim Ministarstvom državne bezbjednosti. Prvi put je identifikovan 2008. godine, a od tada se intenzivno koristi za ciljanje vlada, sektora odbrane, tehnoloških sektora i političkih organizacija prvenstveno u Aziji, ali se kasnije proširio i na Zapad.
Tačno poreklo PlugX zlonamjernog softvera nije javno poznato, ali se vjeruje da je zlonamjerni softver razvila kineska grupa za sajber kriminal ili hakerski tim koji sponzoriše država. Činjenica da je više grupa za napade koristilo PlugX tokom godina otežava pripisivanje određenom akteru ili agendi, ali najčešće se dovodi u vezu sa grupom poznatom kao Mustang Panda.
Mogućnosti zlonamjernog softvera su evoluirale tokom vremena, sa novim funkcijama koje su dodate kako bi bio efikasniji u infekciji ciljeva i izbjegavanju otkrivanja. PlugX je poznat po svojoj sposobnosti da se samostalno širi preko USB diskova, što ga čini posebno opasnim jer se može širiti bez potrebe za interakcijom krajnjeg korisnika. To ga čini značajnom prijetnjom čak i kada se koristi u ciljanim napadima na određene organizacije ili pojedince.
FUNKCIONISANJE
PlugX je poznat po upotrebi u špijunaži i modularnom pristupu razvoju zlonamjernog softvera, što mu omogućava da se razvija sa najnovijim taktikama, tehnikama i procedurama (TTP) kako bi se izbjeglo otkrivanje sa tradicionalnim bezbjednosnim alatima. Primarni cilj bilo kog RAT zlonamjernog softvera, uključujući PlugX, je daljinska kontrola pogođenih uređaja sa širokim spektrom mogućnosti. U slučaju PlugX zlonamjernog softvera, ove mogućnosti su obično uključivale ponovno pokretanje sistema, praćenje unosa korisnika (eng. keylogging), upravljanje kritičnim sistemskim procesima i otpremanje/preuzimanje datoteka.
Jedna tehnika na koju se PlugX u velikoj mjeri oslanja za infiltriranje uređaja je bočno učitavanje biblioteke dinamičke veze (DLL). Ova tehnika uključuje izvršavanje zlonamjernog korisnog tovara koje je ugrađeno u benigni izvršni fajl koji se nalazi u DLL datoteci. Kada aplikacija pozove funkciju iz ove DLL datoteke, ona nenamjerno učitava i pokreće zlonamjerni softver.
U martu 2023. godine, stručnjaci za sajber bezbjednost kompanije Sophos su otkrili varijantu PlugX crva sa poboljšanim mogućnostima koje bi mogla da preskače ograničenja i da se neotkriveno infiltriraju u mreže. Ova varijanta, kreirana 2020. godine, imala je za cilj da se širi preko kompromitovanih USB diskova, zaobiđe nezavisne mreže (eng. air gaps networks), inficira mreže koje su izolovane od pristupa internetu i izvrši krađu dokumenta od njih.
MREŽNO PONIRANJE
Mrežno poniranje (eng. sinkhole) je tehnika koju koriste sigurnosni istraživači da preusmjere saobraćaj sa zaraženih uređaja zlonamjernim softverom, kao što je PlugX, na server pod svojom kontrolom. U ovom slučaju, sigurnosni istraživači su postavili jednostavan internet server da oponaša ponašanje originalnog servera za komandu i kontrolu (C2) zlonamjernog softvera kako bi on uhvatio HTTP zahteve sa zaraženih uređaja i posmatrao njihovo ponašanje.
Operacija mrežnog poniranja je otkrila da između 90.000 i 100.000 sistema svakodnevno šalje zahteve, a kroz šest mjeseci ima više od 2,5 miliona jedinstvenih IP adresa koje se povezuju na server iz cijelog sveta. Vodeće zemlje po broju infekcija bile su Nigerija, Indija, Kina, Iran, Indonezija, Velika Britanija, Irak i Sjedinjene Države, ali je važno napomenuti da mnogi zaraženi sistemi mogu izaći preko iste IP adrese ili koristiti dinamičko IP adresiranje, čineći pouzdano brojanje zaraženih uređaja teškim. Sigurnosni istraživači su primijetili da se neke radne stanice u jednoj zemlji povezuju na internet preko druge zemlje koristeći metode kao što su VPN ili satelitski internet provajderi.
“U početku smo mislili da ćemo imati nekoliko hiljada žrtava povezanih s tim, kao što možemo imati na našim redovnim mrežnim poniranjima. Međutim, postavljanjem jednostavnog internet servera vidjeli smo neprekidan tok HTTP zahteva koji varira u toku dana. Uočili smo za 6 mjeseci mrežnog poniranja više od 2,5 miliona jedinstvenih IP adresa koje su se povezale na njega.”
– Sekoia –
Sigurnosni istraživači su takođe primijetili, da iako postoje indicije da su neke od ovih zemalja možda bile meta zbog njihovog učešća u kineskoj globalnoj strategiji razvoja infrastrukture Inicijative Pojas i put, važno je uzeti ovaj zaključak sa oprezom, jer je crv bio aktivan četiri godine pre nego što je postavljena operacija mrežnog poniranja.
MUSTANG PANDA
Mustang Panda je grupa zlonamjernih aktera koja aktivno djeluje najmanje od 2015. godine, a djelovanje ih povezuje sa drugim zlonamjernim akterima iz Kine. Taktike i tehnike grupe su se vremenom razvijale, ali su poznate po tome što koriste zajednički zlonamjerni softver kao što su Poison Ivy ili PlugX u svojim kampanjama. Ovi trojanci za daljinski pristup omogućavaju napadačima da steknu kontrolu nad zaraženim sistemima i daljinski izvršavaju različite komande. Ovo grupi daje značajnu prednost u smislu upornosti i fleksibilnosti u napadima.
Grupa je poznata po svojoj upornosti i sposobnosti da se prilagode novim bezbjednosnim mjerama koje nameću njihove mete. Procesi infekciji ove grupe su često složeni i višestepeni, uključujući višestruka preusmjeravanja i zlonamjerne implementacije legitimnih alata bez datoteka za dobijanje pristupa ciljanim sistemima. Mustang Panda takođe koristi taktiku ponovne upotrebe prethodno uočenih legitimnih domena za skladištenje zlonamjernih datoteka u svojim kampanjama, što im omogućava da se stapaju sa normalnim internet saobraćajem i izbjegnu otkrivanje.
Mustang Panda zlonamjerna grupa je bila umiješana u razne sajber napade usmjerene na strane vlade, nevladine organizacije i druge organizacije koje se smatraju neprijateljima kineskog režima. Vjeruje se da su motivacije grupe za ove sajber napade političke ili ideološke, jer je ona ciljala mete kao što su Tajvan, Hong Kong, Mjanmar, Mongolija, Vijetnam, Vatikan i vjerske manjinske grupe sa sjedištem u Kini.
ZAKLJUČAK
Zlonamjerni softver PlugX, nekada napušteni USB crv sa poreklom iz Kine, prkosio je izgledima i nastavio da postoji na hiljadama, ako ne i na milionima uređaja uprkos tome što je godinama izgledao ugašen. Odustajanje od IP adrese jednog kanala za komandu i kontrolu navelo je mnoge da vjeruju da je PlugX zapravo ugašen, međutim nedavni nalazi sigurnosnih istraživača otkrili su drugačiju priču. Pokretanjem operacije mrežnog poniranja saobraćaja, sigurnosni istraživači su presreli preko 2,5 miliona jedinstvenih IP adresa koje su zahtijevale zlonamjerni softver za samo šest mjeseci.
Upornost crva PlugX je posebno zabrinjavajuća zbog njegove sposobnosti da živi na mrežama koje nisu povezane na internet i na zaraženim USB uređajima. To znači da čak i uređaji koje su van dosega dezinfekcionih lista koje dostavljaju nadležni i dalje mogu biti pogođeni. Implikacije daljeg postojanja PlugX zlonamjernog softvera predstavljaju značajnu prijetnju. Zlonamjerni softver se može koristiti za razne zlonamjerne svrhe kao što su krađa podataka, špijunaža ili čak pokretanje napada na kritičnu infrastrukturu.
Postojanost PlugX zlonamjernog softvera u sajber prostoru služi kao podsjetnik na važnost snažnih bezbjednosnih mjera i kontinuiranog nadzora za zaštitu od čak i naizgled ugašenih prijetnji. Izazov ostaje: kako efikasno eliminisati tako uporne protivni dok se ujedno pokušava smanjiti potencijalna kolateralna šteta? Odgovor na pitanje bi mogao biti u naprednim obavještajnim podacima o prijetnjama, algoritmima mašinskog učenja za otkrivanje anomalija ili zajedničkim naporima između profesionalaca u sajber bezbjednosti i agencija za sprovođenje zakona.
ZAŠTITA
Kako bi se efikasno zaštitili od PlugX zlonamjernog softvera, korisnici i organizacije najprije trebaju razumjeti njegove mogućnosti i metode širenja, a nakon toga mogu primijeniti neke od sljedećih preporuka:
- Pošto nezavisne mreže ne mogu biti direktno povezane na internet, one nisu ranjive na PlugX putem mrežnih napada. Međutim, ako se zaraženi USB disk unese u ova okruženja, to može predstavljati rizik. Potrebno je sprovoditi stroge smjernice za rukovanje i obezbjeđenje prenosivih medija unutar organizacije,
- Osigurati da su svi operativni sistemi i aplikacije ažurirani najnovijim bezbjednosnim ispravkama radi zaštite od poznatih ranjivosti koje PlugX može da iskoristi,
- Vršiti redovne edukacije korisnika o praksama bezbjednog pregledanja interneta, bezbjednosti elektronske pošte i taktikama društvenog inženjeringa koje koriste napadači za distribuciju zlonamjernog softvera kao što je PlugX,
- Primijeniti segmentaciju mreže kako bi se ograničilo širenje zlonamjernog softvera unutar infrastrukture organizacije u slučaju da dođe do infekcije. Ovo može pomoći u suzbijanju štete i olakšati uklanjanje prijetnje,
- Primijeniti robusna rješenja za bezbjednost krajnjih tačaka, kao što su antivirusni softver, zaštitni zidovi, sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) i sistemi za sprečavanje upada zasnovani na hostu (eng. host-based intrusion prevention systems – HIPS). Ovi alati mogu pomoći u otkrivanju i blokiranju PlugX infekcija pre nego što uspostavi uporište na mreži,
- Primijeniti rješenja za filtriranje elektronske pošte kako bi se spriječila isporuka zlonamjernih elektronskih poruka koje sadrže PlugX ili njegove varijante. Biti oprezan kada se otvaraju prilozi elektronskih poruka iz nepoznatih izvora, čak i ako izgledaju legitimno,
- Koristiti filtere za internet saobraćaj i rješenja za bezbjednost sadržaja kako bi se blokirao pristup poznatim zlonamjernim internet lokacijama koje mogu distribuirati PlugX ili druge prijetnje, Redovno ažurirati bezbjednosne smjernice organizacije kako bi bile u skladu sa najnovijim prijetnjama,
- Potrebno je imati dobro definisan plan odgovora na sajber prijetnju, uključujući procedure za identifikaciju, obuzdavanje, iskorjenjivanje i oporavak od PlugX infekcija. Uvjeriti se da su svi zaposleni obučeni i upoznati sa svojim ulogama i odgovornostima tokom incidenta,
- Vršiti redovne procjene ranjivosti kako bi se identifikovali sve slabosti ili propusti u bezbjednosnom stavu organizacije koje bi mogao da iskoristi PlugX ili druge prijetnje. Riješiti ove probleme odmah kako bi se smanjio rizik od infekcije,
- Sarađivati sa lokalnim, nacionalnim i međunarodnim agencijama za sprovođenje zakona i nacionalnim centrima za prevenciju bezbjednosnih rizika (CERT) kako bi se dobijale informacije o novim PlugX varijantama ili kampanjama koje ciljaju određenu industriju ili region. Dijeliti obavještajne podatke o prijetnjama i sarađivati na dezinfekciji kada je to potrebno,
- Redovno praviti rezervne kopije kritičnih podataka i uvjeriti se da su bezbjedno uskladištene, kako lokalno tako i u oblaku. U slučaju infekcije PlugX, sistemi se mogu oporaviti iz čiste rezervne kopije kao način na koji se može smanjiti vrijeme zastoja i gubitak podataka.