UAT-7290 napada telekomunikacije u Južnoj Aziji i Jugoistočnoj Evropi

AUTOR ·

UAT-7290 špijunira telekomunikacione kompanije u Južnoj Aziji i Jugoistočnoj Evropi koristeći napredne zlonamjerne dodatke zlonamjernog softvera, koji pametnom upotrebom legitimnih alata izbjegavaju otkrivanje, pokazuje istraživanje sigurnosnih stručnjaka Cisco Talos. Ovo otkriće izaziva zabrinutost zbog mogućeg uticaja na regionalne ekonomije i globalne lance snabdijevanja, što naglašava važnost koordinisanih napora radi ublažavanja ovih rizika.

UAT-7290

UAT-7290 napada telekomunikacije u Južnoj Aziji i Jugoistočnoj Evropi; Source: Bing Image Creator

UAT-7290

Sigurnosni istraživači su sa velikom sigurnošću identifikovali zlonamjernog aktera poznatog kao UAT-7290, koji se svrstava u kinesku grupu naprednih trajnih prijetnji (eng. advanced persistent threat – APT). Ova oznaka naglašava složenost taktika, tehnika i procedura koje UAT-7290 koristi, a koje su tipične za napredne trajne prijetnje (APT).

U posljednjim mjesecima UAT-7290 je sve češće ciljao telekomunikacione pružaoce usluga u Južnoj Aziji. Istovremeno je zabilježeno i širenje njihovog djelovanja u Jugoistočnoj Evropi, što pokazuje prilagodljivost i stalnu evoluciju ovog zlonamjernog aktera, dok nastoji da iskoristi ranjivosti u različitim regionima.

Izviđački napori koje je UAT-7290 sproveo prije samog upada bili su opsežni i temeljni, što ukazuje na promišljen pristup usmjeren na povećanje uspješnosti napada. Korištenjem jednodnevnih propusta (eng. one-day exploits) i SSH tehnika grube sile usmjerenih na određene mete, ovaj zlonamjerni akter stiče početni pristup javno dostupnim perifernim uređajima i time uspostavlja uporište unutar ugroženih sistema.

Posebno je značajno oslanjanje UAT-7290 na javno dostupne dokazane primjere kôda (eng. proof-of-concept) za iskorištavanje propusta. Time se jasno pokazuje da se oslanja na postojeće ranjivosti umjesto razvijanja novih metoda napada, što dodatno naglašava njegovu usmjerenost na djelotvornost i efikasnost u ostvarivanju ciljeva.

 

ZLONAMJERNI SOFTVER

Zlonamjerni akter UAT-7290 koristi različite vrste zlonamjernog softvera koje su sigurnosni istraživači detaljno analizirali i zabilježili. Najčešće je riječ o porodicama zasnovanim na Linux operativnom sistemu, sa jasno utvrđenim osobinama, načinima djelovanja i posljedicama po ugrožene sisteme.

UAT-7290 se oslanja na zlonamjerni softver otvorenog kôda, prilagođene alate i korisne terete koji iskorištavaju jednodnevne ranjivosti u popularnim proizvodima za granične uređaje (eng. edge networking). Ovakav pristup omogućava ovom zlonamjernom akteru da zadrži visok stepen prilagodljivosti u okviru svojih operacija.

Porodice zlonamjernog softvera zasnovane na Linux operativnom sistemu, povezane sa UAT-7290, posebno su značajne jer pokazuju složenost i imaju potencijal da ozbiljno ugroze stabilnost i bezbjednost ciljanih sistema.

 

RushDrop

RushDrop zauzima centralno mjesto u lancu infekcije grupe UAT-7290. Kao početni pokretač, njegovo prisustvo omogućava ulaz na zahvaćenim sistemima i otvara prostor za kasnije ubacivanje skrivenih modula i drugih zlonamjernih aktivnosti. Na taj način se stvara početna tačka sa koje se održava nadzor nad uređajem i priprema teren za dugotrajnije prisustvo.

U načinu izrade zlonamjernog softvera RushDrop uočava se težnja ka posebnim, za njihove potrebe prilagođenim alatima. Takav pristup daje veću kontrolu nad postupcima i smanjuje oslanjanje na javno dostupne ranjivosti. Istovremeno, povremeno korištenje zlonamjernog softvera otvorenog kôda pokazuje svrsishodnost: kada postoje gotova rješenja koja odgovaraju ciljevima, ona se uklapaju u sopstveni okvir alata.

Veza zlonamjernog softvera RushDrop sa zlonamjernim softverom ChronosRAT ukazuje na dodirne tačke UAT-7290 sa grupama iz Kine koje koriste taj alat za udaljeni pristup. Ovakvo preplitanje upotrebe i prakse može značiti razmjenu znanja ili oslanjanje na slične postupke u širem krugu aktera. Samim tim, zaključuje se da UAT-7290 djeluje u okruženju gdje se dijele obrasci rada i provjerene tehnike.

Uloga zlonamjernog softvera RushDrop ne završava uspostavljanjem početne tačke. Njegovo pokretanje često dovodi do izvršavanja pratećih komponenti koje pripremaju teren za složenije skriveno prisustvo. DriveSwitch je u tom nizu važna karika: posreduje da glavni modul SilentRaid dobije trajni pristup krajnjim uređajima i da se zadrži nakon početne faze. Time se lanac infekcije zatvara u cjelinu: početni pokretač uspostavlja uporište, pomoćne komponente proširuju mogućnosti, a glavni modul obezbjeđuje dugotrajno prisustvo.

Sve navedeno pokazuje da UAT-7290 gradi slojevit sistem rada zasnovan na posebno izrađenim alatima, koji se po potrebi spajaju sa provjerenim, javno dostupnim rješenjima. Zlonamjerni softver RushDrop je polazna tačka koja daje ritam cijelom procesu: kroz njega se uvodi nadzor, pokreću dodatni dijelovi, povezuju se postojeće prakse i, na kraju, obezbjeđuje dugotrajno zadržavanje na zahvaćenom sistemu.

 

DriveSwitch

DriveSwitch je ključni element u napadnom okviru UAT-7290, jer otvara put za SilentRaid – zlonamjerni dodatak koji obezbjeđuje trajni pristup ugroženim krajnjim tačkama. Njegova osnovna uloga jeste da na inficiranim sistemima stvori uslove za pokretanje SilentRaid zlonamjernog dodatka, čime se zlonamjernom akteru omogućava dugotrajna kontrola nad uređajem.

Sam način izrade pokazuje da UAT-7290 razvija sopstvene alate prilagođene specifičnim potrebama, umjesto da se oslanja na opšte dostupne resurse. Povezanost DriveSwitch zlonamjernog softvera sa drugim komponentama iz arsenala otkriva širu strategiju – uspostavljanje stabilnog prisustva na ugroženim sistemima i smanjenje zavisnosti od poznatih ranjivosti.

Primjena DriveSwitch zlonamjernog softvera otvara prostor za složenije operacije, uključujući aktiviranje dodatnih zlonamjernih dodataka i proširivanje napadnih mogućnosti. Ovakva upotreba perifernih alata pokazuje prilagodljivost UAT-7290 i sposobnost da oblikuje arsenal prema zahtjevima svake pojedinačne operacije.

 

SilentRaid

SilentRaid, poznat i pod nazivom MystRodX, zauzima centralno mjesto u arsenalu UAT-7290. Njegova glavna namjena je trajna postojanost na ugroženim krajnjim tačkama i uspostavljanje kanala ka spoljnim serverima (C2), preko kojih se prenose komande i upravlja aktivnostima.

Za razliku od perifernih alata, SilentRaid je osmišljen kao jezgro napada. Razvijen u C++ programskom jeziku, on omogućava zlonamjernom akteru da neprekidno održava kontrolu nad ugroženim sistemima i da usmjerava tok operacija. Ovakva konstrukcija potvrđuje da UAT-7290 oblikuje sopstvene alate, prilagođene zahtjevima dugotrajnih kampanja.

SilentRaid se ne pojavljuje izolovano – povezuje se sa drugim zlonamjernim komponentama i time stvara mrežu koja obezbjeđuje stabilno prisustvo u ugroženom okruženju. Njegova uloga je da objedini različite dijelove arsenala i da zlonamjernom akteru pruži pouzdanu osnovu za vođenje koordinisanih aktivnosti.

Jednom kada se uspostavi, SilentRaid postaje stub cijele operacije: održava vezu sa komandnim serverima, omogućava dugotrajnu postojanost i daje zlonamjernom akteru mogućnost da precizno upravlja resursima. Na taj način UAT-7290 dobija sredstvo koje ne samo da otvara pristup, već i osigurava kontinuitet i stabilnost čitave kampanje.

 

Bulbature

Bulbature je zlonamjerni dodatak koji UAT-7290 koristi da ugrozi uređaje i preoblikuje ih u elemente napadne infrastrukture. Njegova osnovna funkcija je da od običnog sistema napravi platformu pogodnu za dalju iskorištavanje, čime se postiže potpuna kontrola nad ugroženim okruženjem.

Kroz Bulbature zlonamjerni akter dobija mogućnost da precizno upravlja ponašanjem inficiranih uređaja. Svaki sistem se uklapa u ritam kampanje, otvara prolaze za aktiviranje dodatnih zlonamjernih komponenti, preusmjerava komunikaciju i obezbjeđuje osnovu za operacije koje zahtijevaju razuđenu i postojanu strukturu.

UAT-7290 se ovim dodatkom pozicionira sa dvostrukom ulogom: kao akter usmjeren na špijunažu, sprovodi ciljane napade na osjetljive informacije i duboko prodire u mrežnu infrastrukturu ugrožene organizacije; istovremeno, kao početna vektor za pristup, uspostavlja temelje za naknadno iskorištavanje. Bulbature je, dakle, i alat za prikupljanje podataka i mehanizam za održavanje trajne kontrole.

Ova funkcionalnost vodi ka sljedećem ključnom elementu napadnog lanca — operativnim relejnim kutijama (eng. operational relay boxes – ORB), koje predstavljaju neposrednu posljedicu djelovanja Bulbature zlonamjernog dodatka i čine okosnicu cijele mreže.

 

Operativne relejne kutije (ORB)

Operativne relejne kutije (ORB) su inficirani uređaji koje Bulbature transformiše u čvorove skrivene mreže. Svaka operativna relejna kutija (ORB) prenosi saobraćaj, briše tragove porijekla i održava napadni tok nevidljivim. Na taj način mreža operativnih relejnih kutija (ORB) prerasta u podzemni sistem kanala kroz koji se kreće snaga operacije, služeći istovremeno kao temelj za dalji razvoj napada i kao štit od otkrivanja.

Mreža operativnih relejnih kutija (ORB) nije spontana, već je oblikovana da odgovori na tačno određene zadatke. Ona omogućava trajni pristup, raspodjelu resursa među akterima i istrajnost napada čak i nakon što su početni upadi otkriveni ili ublaženi. Zajednički resursi i znanje koje pruža ova mreža omogućavaju brže i efikasnije iskorištavanje ranjivosti na više ciljeva, uz smanjenje rizika.

Korištenje operativnih relejnih kutija (ORB) od strane UAT-7290 podrazumijeva i nivo koordinacije sa drugim akterima u okviru kineske mreže, koji mogu iskoristiti ove infrastrukturne čvorove za olakšavanje sopstvenih zlonamjernih operacija. Na taj način mreže operativnih relejnih kutija (ORB) postaju zajednički resurs kineskih zlonamjernih aktera: dijele se kapaciteti, stručnost i pristup, čime se omogućava efikasnije iskorištavanje ranjivosti na više ciljeva i ubrzava širenje napadnih kampanja.

Iskorištavanje ranjivosti visokog profila u mrežnim uređajima i kritičnim komponentama infrastrukture predstavlja karakterističnu taktiku koju koriste UAT-7290 i drugi zlonamjerni akteri u okviru kineske mreže. Operativne relejne kutije (ORB) se u tom smislu pokazuju kao ključni element: stvaraju nevidljivu mrežu, obezbjeđuju kontrolu nad ritmom operacije i omogućavaju da se napad održava postojano, koordinisano i dugotrajno.

 

UTICAJ

Napadi koje sprovodi UAT-7290 imaju značajan uticaj na telekomunikacione kompanije u Južnoj Aziji i Jugoistočnoj Evropi. Ovi udari ne pogađaju samo tehničke sisteme, već mijenjaju način na koji se posmatra sigurnost u cijelom sektoru. Širenje aktivnosti na više regiona pokazuje da posljedice nisu ograničene na lokalne okvire, već se prelijevaju na šire ekonomske tokove i odnose među državama. Time se otvara prostor za destabilizaciju tržišta i otežava povjerenje u infrastrukturu koja je ključna za svakodnevnu komunikaciju.

Upotreba zlonamjernih softvera kao što su RushDrop, DriveSwitch i SilentRaid dovodi do dugotrajnog prisustva u mrežama, što znači da pogođene kompanije gube kontrolu nad sopstvenim sistemima. Ovakvo stanje utiče na sposobnost pružanja usluga, jer se resursi preusmjeravaju na otkrivanje i saniranje posljedica. Dugotrajna postojanost zlonamjernog aktera stvara dodatni pritisak na poslovanje i povećava troškove, dok korisnici trpe zbog smanjenog kvaliteta usluga i mogućih prekida.

Bulbature i mreža operativnih relejnih kutija (ORB) mijenjaju prirodu ugroženih uređaja, pretvarajući ih u elemente napadne infrastrukture. Takva transformacija ima uticaj na širu mrežnu sliku, jer se obični sistemi pretvaraju u čvorove kroz koje se odvija skrivena komunikacija. Time se povećava rizik da se napadi prošire na druge organizacije i da se stvori podzemna mreža koja podržava različite aktere. Posljedica je da se granica između pojedinačnih napada i šire kampanje briše, a uticaj postaje dugotrajan i razuđen.

Na ekonomskom planu, ovakvi napadi utiču na stabilnost regionalnih tržišta i globalnih lanaca snabdijevanja. Telekomunikacije su osnova za poslovanje u gotovo svim sektorima, pa njihovo narušavanje ima domino efekat na trgovinu, finansijske tokove i političke odnose. Povećana nesigurnost u vezi sa pouzdanošću mreža može dovesti do smanjenja investicija i usporavanja razvoja, dok se istovremeno jača zavisnost od vanjskih rješenja i sigurnosnih mjera koje zahtijevaju dodatne resurse.

Uticaj se osjeća i na društvenom nivou, jer napadi na telekomunikacije direktno pogađaju svakodnevni život građana. Ograničen pristup komunikaciji, smetnje u radu mreža i gubitak povjerenja u digitalne kanale stvaraju osjećaj nesigurnosti. Time se narušava stabilnost zajednica koje zavise od stalne povezanosti, a posljedice se šire na obrazovanje, zdravstvo i javne službe koje se oslanjaju na digitalnu infrastrukturu.

 

ZAKLJUČAK

UAT-7290 se pokazuje kao zlonamjerni akter koji gradi lanac napada sa namjerom da obezbijedi trajnu postojanost i kontrolu. DriveSwitch otvara put, SilentRaid preuzima jezgro operacije, dok Bulbature preoblikuje zahvaćene uređaje u operativne relejne kutije (ORB). Ovi elementi nisu odvojeni, već povezani u jedinstvenu strukturu koja prikriva tragove, raspodjeljuje resurse i održava ritam kampanje. Na taj način granica između pojedinačnog upada i šire kampanje postaje nejasna, a napad poprima obilježja dugotrajnog prisustva.

Uticaj ovakvih aktivnosti nadilazi tehničke okvire. Telekomunikacioni sektor u više regiona može da se suoči sa gubitkom povjerenja, povećanim troškovima i smanjenjem kvaliteta usluga. Posljedice se šire na ekonomiju, trgovinu i političke odnose, dok društvo osjeća nesigurnost kroz otežanu komunikaciju i narušenu stabilnost zajednica.

Operativne relejne kutije (ORB) mijenjaju prirodu zahvaćenih uređaja i pretvaraju ih u čvorove skrivene mreže. One postaju temelj za dalji razvoj operacija i štit od otkrivanja, čime se prostor za napad širi i dobija razuđenu strukturu. U tom okviru Bulbature i operativne relejne kutije (ORB) nisu samo tehnički kanal, već i sredstvo za održavanje trajnog pristupa i raspodjelu kapaciteta među zlonamjernim akterima.

UAT-7290 se ne pojavljuje kao prolazna prijetnja, već kao sistem koji se razvija, prilagođava i ostavlja dugotrajne posljedice. Njegov skup zlonamjernih alata pokazuje da napad zahvata šire ekonomske i društvene tokove, mijenja ravnotežu u telekomunikacionom sektoru i ostavlja trajan trag na infrastrukturu, tržišta i zajednice.

 

PREPORUKE

Zaštita od napredne prijetnje poznate kao UAT-7290 zahtjeva višeslojan pristup koji uključuje razumijevanje njihovih taktika, tehnika i procedura, kao i primjenu robusnih bezbjednosnih mjera za sprječavanje infiltracije:

  1. Organizacije bi trebalo da uspostave osnovnu liniju ponašanja za svakog korisnika i svaki uređaj u okviru sistema. Na taj način moguće je pratiti odstupanja u radu, koja mogu ukazivati na zlonamjernu aktivnost UAT-7290 ili drugih prijetnji.
  2. Ključni aspekt zaštite od UAT-7290 je primjena otkrivanja usmjerenog na identitet koja prati kontekst svake akcije preduzete u sistemima organizacije. Ovo će pomoći u otkrivanju i označavanju neobičnih obrazaca ponašanja, kao što je pristup tehničara osnovnim konfiguracijama rutiranja kada normalno rade na sistemima za naplatu.
  3. Upotreba alata mašinskog učenja i vještačke inteligencije može pomoći organizacijama da otkriju anomalije u ponašanju koje mogu ukazivati na zlonamjerne aktivnosti UAT-7290. Ovi alati mogu analizirati ogromne količine podataka kako bi otkrili obrasce koji možda nisu očigledni kroz tradicionalne bezbjednosne mjere.
  4. Model nultog povjerenja (eng. zero trust model) pretpostavlja da su svi korisnici i uređaji nepouzdani, čak i ako im je u prošlosti odobren pristup sistemima organizacije. Ovaj pristup zahtjeva kontinuiranu provjeru identiteta korisnika i integriteta uređaja prije nego što se odobri pristup osjetljivim dijelovima mreže.
  5. Organizacije bi trebalo da sprovode redovne bezbjednosne revizije kako bi otkrile ranjivosti koje UAT-7290 ili drugi zlonamjerni akteri mogu iskoristiti. Ove revizije mogu pomoći organizacijama da ojačaju svoju odbranu od naprednih prijetnji poput UAT-7290.
  6. Obezbjeđivanje programa obuke i podizanja svijesti za zaposlene je neophodno u zaštiti od UAT-7290. Zaposleni treba da budu edukovani o taktikama, tehnikama i procedurama koje koristi ovaj zlonamjerni akter, kao i o tome kako da identifikuju i prijave sumnjive aktivnosti.
  7. Bezbjedan sistem kontrole pristupa može pomoći u sprječavanju neovlaštenog pristupa sistemima organizacije od strane UAT-7290 ili drugih zlonamjernog aktera. Ovo treba da uključuje primjenu provjere identiteta u više koraka (eng. multi-factor authentication – MFA), koja zahtjeva od korisnika da obezbijede dodatne oblike provjere prije nego što dobiju pristup osjetljivim dijelovima mreže.
  8. Organizacije treba da koriste šifrovanje i protokole bezbjedne komunikacije prilikom prenosa podataka preko javnih mreža, kao što je internet. Ovo može pomoći u sprječavanju UAT-7290 ili drugih zlonamjernog aktera da presretnu osjetljive informacije.
  9. Plan odgovora na sajber prijetnju neophodan u zaštiti od UAT-7290 tako što definiše procedure za reagovanje na bezbjednost incidente i smanjenje štetu kada se dogode. Organizacije treba da imaju tim za reagovanje na incidente koji uključuje predstavnike različitih odjeljenja, kao što su IT, ljudski resursi i komunikacije.
  10. Sprovođenje redovnog penetracijskog testiranja može pomoći organizacijama da identifikuju ranjivosti u svojim sistemima koje UAT-7290 ili drugi zlonamjerni akteri mogu iskoristiti. Ovo podrazumijeva simulaciju sajber napada na sisteme organizacije kako bi se testirala odbrana od naprednih prijetnji poput UAT-7290.
  11. Bezbjedan sistem skladištenja podataka je neophodan za zaštitu osjetljivih informacija od neovlaštenog pristupa UAT-7290 ili drugih zlonamjernih aktera. Organizacije treba da koriste šifrovanje i protokole bezbjedne komunikacije prilikom skladištenja i prenosa podataka, kao i da primjenjuju stroge kontrole pristupa kako bi spriječile neovlašteni pristup.
  12. Praćenje obrazaca mrežnog saobraćaja može pomoći organizacijama da otkriju odstupanja u radu koja ukazuju na zlonamjerne aktivnosti UAT-7290. To obuhvata analizu zapisa sa mreže radi prepoznavanja neuobičajenih obrazaca ili sumnjivih veza između uređaja.
  13. Sistem za bezbjednosnu filtraciju elektronske pošte (eng. secure email gateway) je od suštinskog značaja za zaštitu od phishing napada i drugih oblika društvenog inženjeringa koje koristi UAT-7290 radi sticanja pristupa sistemima jedne organizacije. Organizacije treba da uvedu stroga pravila filtriranja koja blokiraju poruke od nepoznatih pošiljalaca ili sa sumnjivim prilozima.
  14. Bezbjedan sistem skladištenja u oblaku je neophodan za zaštitu osjetljivih informacija od neovlaštenog pristupa UAT-7290 ili drugih prijetnji kada se čuvaju u oblaku. Organizacije treba da koriste šifrovanje, protokole bezbjedne komunikacije i stroge kontrole pristupa kako bi spriječile neovlašteni pristup podacima sačuvanim na serverima u oblaku.
  15. Praćenje aktivnosti korisničkih uređaja može pomoći organizacijama da otkriju anomalije u ponašanju koje mogu ukazivati na zlonamjernu aktivnost UAT-7290. Ovo uključuje analizu sistemskih zapisa sa uređaja povezanih na mrežu radi otkrivanja neobičnih obrazaca aktivnosti ili sumnjivih veza između uređaja.
  16. Bezbjedan sistem daljinskog pristupa je neophodan za zaštitu od napada UAT-7290 kada zaposleni rade na daljinu i potreban im je pristup sistemima organizacije preko javnih mreža, kao što je internet. Organizacije treba da primjenjuju stroga pravila filtriranja koja blokiraju pokušaje neovlaštenog pristupa sa nepoznatih IP adresa ili uređaja.
  17. Bezbjedan sistem za upravljanje uređajima interneta stvari (eng. internet of things – IoT) je neophodan za zaštitu osjetljivih informacija od neovlaštenog pristupa UAT-7290 ili drugih zlonamjernog aktera kada se povezani uređaji koriste u sistemima organizacije. Organizacije bi trebalo da primjenjuju stroga pravila filtriranja koja blokiraju neovlaštene veze između uređaja na mreži.

Zaštita od naprednih prijetnji poput UAT-7290 zahtjeva sveobuhvatan pristup koji uključuje razumijevanje njihovih taktika, tehnika i procedura, kao i primjenu robusnih bezbjednosnih mjera za sprječavanje infiltracije. Prateći ove preporuke, organizacije mogu ojačati svoju odbranu od napada ovog zlonamjernog aktera i smanjiti štetu kada dođe do incidenata.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.