StormBamboo napad na ISP

AUTOR ·

Kompanija za sajber bezbjednost Volexity je identifikovala sofisticirani napad grupe zlonamjernih aktera StormBamboo koji je uključivao usluge pružaoca internet usluga (eng. Internet Service Provider – ISP) radi trovanja ažuriranja softvera. Ovaj kompromis je omogućio zlonamjernim akterima da distribuiraju zlonamjerne kôdove putem ažuriranja lažnog izgleda, inficirajući sisteme naprednim zlonamjernim softverom.

StormBamboo

StormBamboo napad na ISP; Source: Bing Image Creator

ULOGA PRUŽAOCA INTERNET USLUGA (ISP)

Pružaoci internet usluga (ISP) igraju ključnu ulogu u povezivanju korisnika sa internetom, pružajući im osnovne usluge kao što su elektronska pošta, pregledanje interneta i prenos datoteka. Međutim, njihova strateška pozicija unutar internet infrastrukture čini ih privlačnim metama za zlonamjerne aktere. Kompromis pružaoca internet usluga (ISP) može dovesti do različitih zlonamjernih aktivnosti, uključujući:

  1. Ometanje internet usluga: Zlonamjerni akteri mogu da iskoriste ranjivosti u mreži ili infrastrukturi pružaoca internet usluga (ISP) da pokrenu napade distribuiranog uskraćivanja usluge (eng. distributed denial of service – DDoS) na ciljane internet lokacije ili mreže, uzrokujući značajne zastoje i finansijske gubitke,
  2. Krađa osjetljivih podataka: Kompromitovanjem pružaoca internet usluga (ISP), zlonamjerni akteri mogu da dobiju pristup ogromnoj količini korisničkih podataka, uključujući elektronsku poštu, istoriju pregledanja i akreditive za prijavu. Ove informacije se mogu koristiti za krađu identiteta, phishing prevare ili druge zlonamjerne svrhe,
  3. Kontrolisanje povezanih uređaja: Zlonamjerni akteri mogu koristiti kompromitovanje pružaoca internet usluga (ISP) kao odskočnu dasku za infiltriranje u mreže miliona povezanih uređaja pod njihovom kontrolom, omogućavajući im da pokrenu velike botnet napade ili distribuiraju zlonamjerni softver i ransomware.

 

StormBamboo napad na ISP

Zlonamjerni akter StormBamboo je dobio pristup neimenovanom pružaocu internet usluga (ISP) tako što je iskoristio ranjivost u njegovoj mrežnoj infrastrukturi. Ovaj napad predstavlja novi zaokret u napadima na lanac snabdijevanja, gdje umjesto direktnog ciljanja na prodavce softvera ili dobavljače trećih strana, zlonamjerni akteri su krenuli na same subjekte odgovorne za isporuku ažuriranja i ispravki krajnjim korisnicima. Kompromitujući pružaoca internet usluga (ISP), StormBamboo je dobio pristup širokoj bazi klijenata, potencijalno inficirajući hiljade uređaja svojim zlonamjernim softverom.

Napadači su dobili neovlašteni pristup pružaocu internet usluga (ISP) korištenjem ranjivosti nultog dana ili tehnikama društvenog inženjeringa. Kada su ušli, manipulisali su DNS zapisima na ruterima i drugim ključnim uređajima koji pružaju usluge rutiranja saobraćaja unutar mreže. Nakon toga, StormBamboo je ciljao više dobavljača softvera koji su koristili nesigurne tokove ažuriranja, iskorištavajući različite nivoe složenosti u svojim koracima za distribuciju zlonamjernog softvera.

 

DNS trovanje

StormBamboo iskorišćava dobijeni pristup infrastrukturi tako što mijenja odgovore na upite sistema imena domena (eng. Domain Name System – DNS) na nivou pružaoca internet usluga (ISP) kako bi preusmjerio saobraćaj na zlonamjerne IP adrese. Ova tehnika, poznata kao DNS trovanje i omogućava StormBamboo da presreće i manipuliše podacima koji se prenose između uređaja korisnika i predviđenih servera.

Kada aplikacija preko kompromitovanog pružaoca internet usluga (ISP) pokuša da preuzme ažuriranja koristeći nebezbjedne metode kao što je HTTP bez odgovarajuće provjere digitalnog potpisa, umjesto toga se nudi zlonamjerni softver kao što je MACMA ili POCOSTICK (poznat i kao MGBot). Nakon uspješnog postavljanja ovih backdoor zlonamjernih softvera na uređaj žrtve, StormBamboo dobija mogućnost vršenja drugih zlonamjernih radnji na inficiranom uređaju.

U početku se sumnjalo da je napad DNS trovanja potekao iz zaštitnog zida (eng. firewall) ugrožene organizacije, ali je kasnije otkriveno da se dešava na drugom na nivou pružaoca internet usluga (ISP). Pružalac internet usluga (ISP)  je kontaktiran i nakon što su razne komponente svoje mreže isključili, uspeli su da zaustave napade DNS trovanja. Ovaj metod napada je posebno opasan, jer omogućava StormBamboo zlonamjernim akterima da zaobiđe tradicionalne bezbjednosne mjere kao što su zaštitni zidovi i antivirusni softver koji mogu biti postavljeni u organizaciji. Ciljanjem ranjivosti na nivou pružaoca internet usluga (ISP), oni mogu presresti saobraćaj pre nego što stigne na svoje odredište, što otežava organizacijama da otkriju ove vrste napada i efikasno odgovore na njih.

 

Infekcija macOS i Windows uređaja

StormBamboo je koristio ovu tehniku da inficira i macOS i Windows uređaje naprednim zlonamjernim softverom kao što su MACMA i POCOSTICK. To su postigli umetanjem zlonamjernih kôdova u lažne ispravke koje su izgledale kao legitimne softverske zakrpe ili nadogradnje sistema. Jednom instalirani, ovi zlonamjerni softveri bi se tiho infiltrirali u ciljane sisteme, dajući StormBamboo zlonamjernom akteru potpunu kontrolu nad njima.

 

MACMA za macOS operativne sisteme

MACMA je backdoor posebno dizajniran da cilja Apple operativni sistem, macOS. Ovaj zlonamjerni softver su prvi otkrili sigurnosni istraživači krajem 2021. godine i od tada je povezan sa raznim sajber napadima koje su izveli različiti zlonamjerni akteri, posebno oni povezani sa grupama sponzorisanih od strane države.

MACMA je modularni backdoor, što znači da se može prilagoditi prema potrebama i ciljevima napadača. Neke od njegovih poznatih funkcionalnosti uključuju:

  1. MACMA prikuplja detaljne informacije o zaraženom macOS uređaju stvarajući digitalni otisak uređaja (eng. device fingerprint), kao što su verzija sistema, hardverske specifikacije, instalirani softver i korisnički nalozi. Ovi podaci se zatim šalju nazad napadačima na dalju analizu,
  2. Zlonamjerni softver omogućava zlonamjernim akterima da na daljinu izvršavaju proizvoljne komande na kompromitovanim uređajima. To može uključivati instaliranje dodatnog zlonamjernog softvera ili krađu osjetljivih informacija,
  3. MACMA ima mogućnost da napravi snimke ekrana inficiranog uređaja i pošalje ih nazad napadaču na analizu,
  4. Zlonamjerni softver je sposoban da evidentira pritiske na tastere (eng. keylogging) unijete na kompromitovanom macOS sistemu, pružajući napadačima pristup korisničkim imenima, lozinkama i drugim osjetljivim informacijama,
  5. MACMA može da snima zvuk sa mikrofona zaraženog uređaja, omogućavajući napadačima da slušaju razgovore ili prikupljaju obavještajne podatke,
  6. Zlonamjerni softver podržava otpremanje i preuzimanje datoteka između kompromitovanog macOS sistema i komandnog i kontrolnog servera koji kontroliše napadač.

Jednom instaliran, MACMA bi ostao neaktivan sve dok ga ne pokrene naredba sa komandnog i kontrolnog servera koji kontroliše napadač. Ovo je omogućava zlonamjernom softveru da izbjegne otkrivanje i analizu dok je prikupljao obavještajne podatke ili pripremao zaraženi sistem za dalje napade.

 

POCOSTICK za Windows operativne sisteme

POCOSTICK (poznat i kao MGBot) je multifunkcionalni backdoor zlonamjerni softver dizajniran za Windows operativne sisteme. Ovaj zlonamjerni softver djeluje kao trojanac za daljinski pristup (eng. remote access trojanRAT), omogućavajući zlonamjernom akteru da dobije neovlašteni pristup i kontrolu nad kompromitovanim sistemima.

Primarni način isporuke za POCOSTICK bio je kroz mehanizme ažuriranja softvera koji koriste nesigurne metode, kao što je HTTP ili nemaju odgovarajuću provjeru digitalnog potpisa. Jednom kada sistem žrtve pokuša da preuzme zlonamjerno ažuriranje, umjesto toga se instalira POCOSTICK na uređaj. Ovo se može desiti bez znanja korisnika, jer su ova ažuriranja često automatizovana i pokreću se sa administrativnim privilegijama.

Jednom instaliran, POCOSTICK uspostavlja trajnu vezu sa svojim serverom za komandu i kontrolu (C2), omogućavajući napadaču da izdaje komande na daljinu. Ove komande mogu uključivati krađu osjetljivih podataka kao što su akreditivi ili druge informacije uskladištene u kolačićima internet pregledača, preuzimanje dodatnog zlonamjernog softvera i izvršavanje proizvoljnih sistemskih komandi na kompromitovanom uređaju.

POCOSTICK je takođe poznat po tome što koristi ekstenziju za Google Chrome kao dio svojih aktivnosti nakon eksploatacije. Ovo proširenje predstavlja alatku za pomoć pri učitavanju internet stranica u režimu Internet Explorer kompatibilnosti, ali prikriveno grabi i eksfiltrira kolačiće internet pregledača, šaljući ih na nalog Google diska koji kontroliše napadač.

 

Uticaj i posljedice

Kompromitacija pružaoca internet usluga (ISP) može imati značajne posljedice na korisnike i organizacije, kao što se vidi u ovom slučaju gdje je pružalac internet usluga (ISP) korišćen za DNS trovanje da preusmjeri korisnike na zlonamjerne internet lokacije i ukrade njihove kolačiće internet pregledača. Generalno, ovakvi napadi podrazumijevaju sljedeće posljedice:

  1. Kompromitovani pružalac internet usluga (ISP) se može iskoristiti za presretanje i preusmjeravanje korisničkog saobraćaja na zlonamjerne internet stranice ili servere, potencijalno ih izlažući raznim prijetnjama kao što su phishing napadi, infekcije zlonamjernim softverom ili krađa podataka,
  2. Napadač sa kontrolom nad infrastrukturom pružaoca internet usluga (ISP) može da izvrši napad čovjek u sredini (eng. Man-in-the-Middle Attack – MitM) na korisnike i presretne njihovu komunikaciju, uključujući osjetljive informacije kao što su akreditivi za prijavu, finansijske transakcije ili povjerljivi poslovni podaci,
  3. Napadač sa pristupom infrastrukturi pružaoca internet usluga (ISP) može presresti korisničke podatke koji se prenose preko mreže, uključujući osjetljive informacije kao što su akreditivi za prijavu, finansijske transakcije ili povjerljivi poslovni podaci,
  4. Kompromitovani pružalac internet usluga (ISP) može dovesti do štete po reputaciju organizacija i potencijalno rezultirati pravnim postupcima protiv njih, ako su korisnici pogođeni ugrožavajem bezbjednosti ili drugim zlonamjernim aktivnostima,
  5. Posljedice kompromitovanog pružaoca internet usluga (ISP) takođe mogu uključiti finansijske gubitke zbog potencijalne štete, tužbe, regulatorne kazne i gubitak poslovnog prihoda.

 

STORMBAMBOO

StormBamboo, takođe poznata kao Evasive Panda, BRONZE HIGHLAND i Daggerfly, je napredna trajna prijetnja (eng. Advanced Persistent Threat – APT) kineskog porijekla koja aktivno sprovodi operacije sajber špijunaže od najmanje 2012. godine. Primarne mete grupe su pojedinci, vladine institucije i organizacije u Kini, Hong Kongu, Makaou, Nigeriji, Mjanmaru, Filipinima, Tajvanu, Vijetnamu, kao i nepoznati entiteti u Indiji, Maleziji i drugim zemljama.

StormBamboo je poznata po svom prilagođenom okviru za zlonamjerni softver sa modularnom arhitekturom koja omogućava njenom backdoor zlonamjernom softveru, da prima module za špijuniranje žrtava i proširi svoje mogućnosti. Taktika grupe uključivala je napade vodenih rupa (eng. watering hole attack) i kompromise u lancu snabdijevanja. U jednom značajnom slučaju, grupa je ciljala Tibetance kroz kompromitovanu softversku nadogradnju za Adobe Flash Player.

Grupa je primijećena kako koristi različite tehnike za dobijanje početnog pristupa sistemima žrtava, uključujući phishing elektronske poruke sa zlonamjernim prilozima ili linkovima ka zaraženim internet lokacijama. Jednom u sistemu, StormBamboo koristi svoj prilagođeni backdoor, da uspostavi postojanost i proširi svoje uporište unutar mreže. Grupa je poznata po svojim prikrivenim taktikama, koristeći šifrovanje i druge tehnike da izbjegne otkrivanje.

StormBamboo aktivnosti izazvale su zabrinutost među stručnjacima za sajber bezbjednost zbog njihovog potencijalnog uticaja na nacionalnu bezbjednost i političku stabilnost u ciljanim regionima. Fokus grupe na vladine subjekte i organizacije sugeriše da ona možda djeluje po nalogu državnog sponzora ili drugih moćnih aktera, iako to nije definitivno dokazano.

 

ZAKLJUČAK

Kompromitovanje pružaoca internet usluga (ISP) dolazi kao značajna briga u okruženju sajber prijetnji koje se stalno razvija. Zlonamjerni akteri vođeni raznim nedozvoljenim svrhama kao što su ometanje internet usluga, krađa osjetljivih podataka i još mnogo toga, sve više ciljaju na pružaoce internet usluga (ISP) da bi stekli kontrolu nad ogromnim brojem povezanih uređaja. Sada imamo slučaj zlonamjernog aktera StormBamboo koji je koristio napredni metod napada DNS trovanjem da bio preuzeli pružaoca internet usluga (ISP) kako bi otrovali ažuriranja softvera.

StormBamboo tehnika je iskoristila bezbjednosne propuste u mehanizmima ažuriranja softvera, posebno onih koji koriste neobezbijeđene HTTP veze bez odgovarajuće provjere digitalnog potpisa. Napadači su ubacili zlonamjerne kôdove u lažna ažuriranja koja su zarazila sisteme naprednim zlonamjernim softverom kao što su MACMA za macOS i POCOSTICK za operativni sistem Windows. Ovaj metod nije zahtijevao nikakvu intervenciju korisnika, što ga čini izuzetno opasnom, jer se infekcija tiho širila kroz povezane uređaje. Složenost ovog napada nadmašila je prethodne slučajeve, otkrivajući značajan razvoj kako u mogućnostima zlonamjernog softvera tako i u metodama napada.

Implikacije ovog napada su dalekosežne i naglašavaju važnost obezbjeđivanja procesa nadogradnje softvera, čvrste zaštite DNS infrastrukture i opreza protiv sve složenijih sajber prijetnji. Kompromitovanje pružaoca internet usluga (ISP) ne utiče samo na njegove direktne kupce, već i indirektno utiče na mnoštvo povezanih uređaja u različitim mrežama. Vještina napadača u iskorištavanju bezbjednosnih propusta u mehanizmima ažuriranja softvera naglašava potrebu da organizacije daju prioritet bezbjednim procesima nadogradnje softvera i implementiraju robusne sisteme za verifikaciju digitalnih potpisa. Štaviše, obezbjeđivanje DNS infrastrukture je ključno jer čini okosnicu internet komunikacije i njome mogu lako manipulisati zlonamjerni akteri.

StormBamboo napredni metod napada DNS trovanjem na nivou pružaoca internet usluga (ISP) služi kao oštar podsjetnik na razvoj prijetnji i potrebu da organizacije daju prioritet mjerama sajber bezbjednosti.

 

ZAŠTITA

Da bi se se zaštitili od kompromitovanja preko pružaoca internet usluga (ISP) koji uključuje napredni zlonamjerni softver kao što su MACMA za macOS i POCOSTICK za Windows operativne sisteme, mogu se slijediti ove prakse:

  1. Uvjeriti se da su svi uređaji ažurirani najnovijim bezbjednosnim ispravkama čim postanu dostupne. Koristiti pouzdane izvore za preuzimanje ažuriranja, kao što su zvanične internet stranice ili prodavnice aplikacija. Omogućiti funkcije automatskog ažuriranja ako je moguće i provjeriti digitalne potpise softvera pre nego što se instaliraju,
  2. Sprovoditi snažne mjere bezbjednosti sistema imena domena (DNS) korištenjem renomiranih DNS pružaoca usluga koji nude usluge filtriranja i obezbjeđivanje lokalnog DNS razrješivača zaštitnim zidovima ili sistemima za otkrivanje upada. Redovno ažurirajte upravljački softver rutera da bi se zaštitio od poznatih ranjivosti,
  3. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve naloge na mreži, posebno one koji se odnose na finansijske transakcije ili skladištenje osjetljivih podataka. Ovo dodaje dodatni nivo sigurnosti i otežava napadačima da dobiju neovlašteni pristup čak i ako uspiju da ukradu lozinke,
  4. Koristiti pouzdano antivirusno rješenje na svim svojim uređajima i redovno ga ažurirati. Antivirusna rješenja mogu pomoći u otkrivanju i uklanjanju zlonamjernog softvera pre nego što prouzrokuje bilo kakvu štetu,
  5. Izbjegavati otvaranje sumnjivih elektronskih poruka ili klikove na neprovjerene veze, posebno one iz nepoznatih izvora. Zlonamjerne elektronske poruke su uobičajeni metod za distribuciju zlonamjernog softvera preko pružaoca internet usluga (ISP),
  6. Koristite jake i složene lozinke koristeći kombinaciju velikih slova, malih slova, brojeva i simbola. Redovno mijenjati lozinke da bi se smanjio rizik od kompromitovanja,
  7. Uvjeriti se da svi uređaji imaju omogućen ugrađeni zaštitni zid (eng. firewall) ili koristite zaštitne zidove treće strane za dodatnu zaštitu. Zaštitni zidovi pomažu u blokiranju neovlaštenih dolaznih veza i sprečavaju napadače da pristupe mreži,
  8. Redovno skenirati cio sistem koristeći renomirani antivirusni softver da bi se otkrio zlonamjerni softver koji je možda zaobišao druge bezbjednosne mjere,
  9. Potrebno je biti informisan o najnovijim prijetnjama, trendovima i najboljim praksama u vezi sa sajber bezbjednošću putem pouzdanih izvora kao što su publikacije u industriji ili organizacije od povjerenja za sajber bezbjednost. Redovno obučavati zaposlene o bezbjednom ponašanju na mreži i važnosti jakih lozinki i ažuriranja softvera,
  10. Koristite virtualnu privatnu mrežu (VPN) kada se koriste javne WiFi mreže, jer VPN omogućava šifrovanje svih podataka koji se prenose između korisničkog uređaja i interneta. Ovo pomaže u zaštiti od potencijalnih napada čovjeka u sredini ili drugih oblika prisluškivanja mreže.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.