{"id":7050,"date":"2024-08-11T22:26:27","date_gmt":"2024-08-11T20:26:27","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7050"},"modified":"2024-08-11T22:26:27","modified_gmt":"2024-08-11T20:26:27","slug":"stormbamboo-napad-na-isp","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/","title":{"rendered":"StormBamboo napad na ISP"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Kompanija za <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a> <em>Volexity<\/em> je <a href=\"https:\/\/www.volexity.com\/blog\/2024\/08\/02\/stormbamboo-compromises-isp-to-abuse-insecure-software-update-mechanisms\/\" target=\"_blank\" rel=\"noopener\">identifikovala sofisticirani napad<\/a> grupe <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a> <em>StormBamboo<\/em> koji je uklju\u010divao usluge pru\u017eaoca internet usluga (eng. <em>Internet Service Provider \u2013 ISP<\/em>) radi trovanja a\u017euriranja softvera. Ovaj kompromis je omogu\u0107io zlonamjernim akterima da distribuiraju zlonamjerne k\u00f4dove putem a\u017euriranja la\u017enog izgleda, inficiraju\u0107i sisteme naprednim <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim softverom<\/a>.<\/span><\/p>\n<div id=\"attachment_7051\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7051\" class=\"size-full wp-image-7051\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT.jpg\" alt=\"StormBamboo\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/StormBamboo-APT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7051\" class=\"wp-caption-text\"><em>StormBamboo napad na ISP; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#ULOGA_PRUZAOCA_INTERNET_USLUGA_ISP\" >ULOGA PRU\u017dAOCA INTERNET USLUGA (ISP)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#StormBamboo_napad_na_ISP\" >StormBamboo napad na ISP<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#DNS_trovanje\" >DNS trovanje<\/a><ul class='ez-toc-list-level-5' ><li class='ez-toc-heading-level-5'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#Infekcija_macOS_i_Windows_uredaja\" >Infekcija macOS i Windows ure\u0111aja<\/a><ul class='ez-toc-list-level-6' ><li class='ez-toc-heading-level-6'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#MACMA_za_macOS_operativne_sisteme\" >MACMA za macOS operativne sisteme<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-6'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#POCOSTICK_za_Windows_operativne_sisteme\" >POCOSTICK za Windows operativne sisteme<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#Uticaj_i_posljedice\" >Uticaj i posljedice<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#STORMBAMBOO\" >STORMBAMBOO<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/08\/11\/stormbamboo-napad-na-isp\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"ULOGA_PRUZAOCA_INTERNET_USLUGA_ISP\"><\/span>ULOGA PRU\u017dAOCA INTERNET USLUGA (<em>ISP<\/em>)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Pru\u017eaoci internet usluga (<em>ISP<\/em>) igraju klju\u010dnu ulogu u povezivanju korisnika sa internetom, pru\u017eaju\u0107i im osnovne usluge kao \u0161to su elektronska po\u0161ta, pregledanje interneta i prenos datoteka. Me\u0111utim, njihova strate\u0161ka pozicija unutar internet infrastrukture \u010dini ih privla\u010dnim metama za zlonamjerne aktere. Kompromis pru\u017eaoca internet usluga (<em>ISP<\/em>) mo\u017ee dovesti do razli\u010ditih zlonamjernih aktivnosti, uklju\u010duju\u0107i:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Ometanje internet usluga: Zlonamjerni akteri mogu da iskoriste ranjivosti u mre\u017ei ili infrastrukturi pru\u017eaoca internet usluga (<em>ISP<\/em>) da pokrenu napade distribuiranog uskra\u0107ivanja usluge (eng. <em>distributed denial of service \u2013 DDoS<\/em>) na ciljane internet lokacije ili mre\u017ee, uzrokuju\u0107i zna\u010dajne zastoje i finansijske gubitke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kra\u0111a osjetljivih podataka: Kompromitovanjem pru\u017eaoca internet usluga (<em>ISP<\/em>), zlonamjerni akteri mogu da dobiju pristup ogromnoj koli\u010dini korisni\u010dkih podataka, uklju\u010duju\u0107i elektronsku po\u0161tu, istoriju pregledanja i akreditive za prijavu. Ove informacije se mogu koristiti za kra\u0111u identiteta, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>prevare ili druge zlonamjerne svrhe,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontrolisanje povezanih ure\u0111aja: Zlonamjerni akteri mogu koristiti kompromitovanje pru\u017eaoca internet usluga (<em>ISP<\/em>) kao odsko\u010dnu dasku za infiltriranje u mre\u017ee miliona povezanih ure\u0111aja pod njihovom kontrolom, omogu\u0107avaju\u0107i im da pokrenu velike <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>botnet<\/em> <\/a>napade ili distribuiraju zlonamjerni softver i <em>ransomware<\/em>.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"StormBamboo_napad_na_ISP\"><\/span><em>StormBamboo<\/em> napad na <em>ISP<\/em><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter <em>StormBamboo<\/em> je dobio pristup neimenovanom pru\u017eaocu internet usluga (<em>ISP<\/em>) tako \u0161to je iskoristio ranjivost u njegovoj mre\u017enoj infrastrukturi. Ovaj napad predstavlja novi zaokret u napadima na lanac snabdijevanja, gdje umjesto direktnog ciljanja na prodavce softvera ili dobavlja\u010de tre\u0107ih strana, zlonamjerni akteri su krenuli na same subjekte odgovorne za isporuku a\u017euriranja i ispravki krajnjim korisnicima. Kompromituju\u0107i pru\u017eaoca internet usluga (<em>ISP<\/em>), <em>StormBamboo<\/em> je dobio pristup \u0161irokoj bazi klijenata, potencijalno inficiraju\u0107i hiljade ure\u0111aja svojim zlonamjernim softverom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napada\u010di su dobili neovla\u0161teni pristup pru\u017eaocu internet usluga (<em>ISP<\/em>) kori\u0161tenjem ranjivosti <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> ili tehnikama dru\u0161tvenog in\u017eenjeringa. Kada su u\u0161li, manipulisali su <em>DNS<\/em> zapisima na ruterima i drugim klju\u010dnim ure\u0111ajima koji pru\u017eaju usluge rutiranja saobra\u0107aja unutar mre\u017ee. Nakon toga, <em>StormBamboo<\/em> je ciljao vi\u0161e dobavlja\u010da softvera koji su koristili nesigurne tokove a\u017euriranja, iskori\u0161tavaju\u0107i razli\u010dite nivoe slo\u017eenosti u svojim koracima za distribuciju zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"DNS_trovanje\"><\/span><em>DNS<\/em> trovanje<span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em> iskori\u0161\u0107ava dobijeni pristup infrastrukturi tako \u0161to mijenja odgovore na upite sistema imena domena (eng. <em>Domain Name System \u2013 DNS<\/em>) na nivou pru\u017eaoca internet usluga (<em>ISP<\/em>) kako bi preusmjerio saobra\u0107aj na zlonamjerne <em>IP<\/em> adrese. Ova tehnika, poznata kao <em>DNS<\/em> trovanje i omogu\u0107ava <em>StormBamboo<\/em> da presre\u0107e i manipuli\u0161e podacima koji se prenose izme\u0111u ure\u0111aja korisnika i predvi\u0111enih servera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada aplikacija preko kompromitovanog pru\u017eaoca internet usluga (<em>ISP<\/em>) poku\u0161a da preuzme a\u017euriranja koriste\u0107i nebezbjedne metode kao \u0161to je <em>HTTP<\/em> bez odgovaraju\u0107e provjere digitalnog potpisa, umjesto toga se nudi zlonamjerni softver kao \u0161to je <em>MACMA<\/em> ili <em>POCOSTICK<\/em> (poznat i kao <em>MGBot<\/em>). Nakon uspje\u0161nog postavljanja ovih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjernih softvera na ure\u0111aj \u017ertve, <em>StormBamboo<\/em> dobija mogu\u0107nost vr\u0161enja drugih zlonamjernih radnji na inficiranom ure\u0111aju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U po\u010detku se sumnjalo da je napad <em>DNS<\/em> trovanja potekao iz za\u0161titnog zida (eng. <em>firewall<\/em>) ugro\u017eene organizacije, ali je kasnije otkriveno da se de\u0161ava na drugom na nivou pru\u017eaoca internet usluga (<em>ISP<\/em>). Pru\u017ealac internet usluga (<em>ISP<\/em>)\u00a0 je kontaktiran i nakon \u0161to su razne komponente svoje mre\u017ee isklju\u010dili, uspeli su da zaustave napade <em>DNS<\/em> trovanja. Ovaj metod napada je posebno opasan, jer omogu\u0107ava <em>StormBamboo<\/em> zlonamjernim akterima da zaobi\u0111e tradicionalne bezbjednosne mjere kao \u0161to su za\u0161titni zidovi i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> koji mogu biti postavljeni u organizaciji. Ciljanjem ranjivosti na nivou pru\u017eaoca internet usluga (<em>ISP<\/em>), oni mogu presresti saobra\u0107aj pre nego \u0161to stigne na svoje odredi\u0161te, \u0161to ote\u017eava organizacijama da otkriju ove vrste napada i efikasno odgovore na njih.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span class=\"ez-toc-section\" id=\"Infekcija_macOS_i_Windows_uredaja\"><\/span>Infekcija <em>macOS<\/em> i <em>Windows<\/em> ure\u0111aja<span class=\"ez-toc-section-end\"><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em> je koristio ovu tehniku da inficira i <em>macOS<\/em> i <em>Windows<\/em> ure\u0111aje naprednim zlonamjernim softverom kao \u0161to su <em>MACMA<\/em> i <em>POCOSTICK<\/em>. To su postigli umetanjem zlonamjernih k\u00f4dova u la\u017ene ispravke koje su izgledale kao legitimne softverske zakrpe ili nadogradnje sistema. Jednom instalirani, ovi zlonamjerni softveri bi se tiho infiltrirali u ciljane sisteme, daju\u0107i <em>StormBamboo <\/em>zlonamjernom akteru potpunu kontrolu nad njima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h6><span class=\"ez-toc-section\" id=\"MACMA_za_macOS_operativne_sisteme\"><\/span><em>MACMA<\/em> za <em>macOS<\/em> operativne sisteme<span class=\"ez-toc-section-end\"><\/span><\/h6>\n<p><span style=\"font-size: 14pt;\"><em>MACMA<\/em> je <em>backdoor<\/em> posebno dizajniran da cilja <em>Apple<\/em> operativni sistem, <em>macOS<\/em>. Ovaj zlonamjerni softver su prvi otkrili sigurnosni istra\u017eiva\u010di krajem 2021. godine i od tada je povezan sa raznim sajber napadima koje su izveli razli\u010diti zlonamjerni akteri, posebno oni povezani sa grupama sponzorisanih od strane dr\u017eave.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>MACMA<\/em> je modularni <em>backdoor<\/em>, \u0161to zna\u010di da se mo\u017ee prilagoditi prema potrebama i ciljevima napada\u010da. Neke od njegovih poznatih funkcionalnosti uklju\u010duju:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\"><em>MACMA<\/em> prikuplja detaljne informacije o zara\u017eenom <em>macOS<\/em> ure\u0111aju stvaraju\u0107i digitalni otisak ure\u0111aja (eng. <em>device fingerprint<\/em>), kao \u0161to su verzija sistema, hardverske specifikacije, instalirani softver i korisni\u010dki nalozi. Ovi podaci se zatim \u0161alju nazad napada\u010dima na dalju analizu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver omogu\u0107ava zlonamjernim akterima da na daljinu izvr\u0161avaju proizvoljne komande na kompromitovanim ure\u0111ajima. To mo\u017ee uklju\u010divati instaliranje dodatnog zlonamjernog softvera ili kra\u0111u osjetljivih informacija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>MACMA<\/em> ima mogu\u0107nost da napravi snimke ekrana inficiranog ure\u0111aja i po\u0161alje ih nazad napada\u010du na analizu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver je sposoban da evidentira <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">pritiske na tastere<\/a> (eng. <em>keylogging<\/em>) unijete na kompromitovanom <em>macOS<\/em> sistemu, pru\u017eaju\u0107i napada\u010dima pristup korisni\u010dkim imenima, <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkama<\/a> i drugim osjetljivim informacijama,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>MACMA<\/em> mo\u017ee da snima zvuk sa mikrofona zara\u017eenog ure\u0111aja, omogu\u0107avaju\u0107i napada\u010dima da slu\u0161aju razgovore ili prikupljaju obavje\u0161tajne podatke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver podr\u017eava otpremanje i preuzimanje datoteka izme\u0111u kompromitovanog <em>macOS<\/em> sistema i komandnog i kontrolnog servera koji kontroli\u0161e napada\u010d.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>MACMA<\/em> bi ostao neaktivan sve dok ga ne pokrene naredba sa komandnog i kontrolnog servera koji kontroli\u0161e napada\u010d. Ovo je omogu\u0107ava zlonamjernom softveru da izbjegne otkrivanje i analizu dok je prikupljao obavje\u0161tajne podatke ili pripremao zara\u017eeni sistem za dalje napade.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h6><span class=\"ez-toc-section\" id=\"POCOSTICK_za_Windows_operativne_sisteme\"><\/span><em>POCOSTICK<\/em> za <em>Windows<\/em> operativne sisteme<span class=\"ez-toc-section-end\"><\/span><\/h6>\n<p><span style=\"font-size: 14pt;\"><em>POCOSTICK<\/em> (poznat i kao <em>MGBot<\/em>) je multifunkcionalni <em>backdoor<\/em> zlonamjerni softver dizajniran za <em>Windows<\/em> operativne sisteme. Ovaj zlonamjerni softver djeluje kao <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote<\/em> <em>access<\/em> <em>trojan<\/em> \u2013 <em>RAT<\/em>), omogu\u0107avaju\u0107i zlonamjernom akteru da dobije neovla\u0161teni pristup i kontrolu nad kompromitovanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarni na\u010din isporuke za <em>POCOSTICK<\/em> bio je kroz mehanizme a\u017euriranja softvera koji koriste nesigurne metode, kao \u0161to je <em>HTTP<\/em> ili nemaju odgovaraju\u0107u provjeru digitalnog potpisa. Jednom kada sistem \u017ertve poku\u0161a da preuzme zlonamjerno a\u017euriranje, umjesto toga se instalira <em>POCOSTICK<\/em> na ure\u0111aj. Ovo se mo\u017ee desiti bez znanja korisnika, jer su ova a\u017euriranja \u010desto automatizovana i pokre\u0107u se sa administrativnim privilegijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>POCOSTICK<\/em> uspostavlja trajnu vezu sa svojim serverom za komandu i kontrolu (<em>C2<\/em>), omogu\u0107avaju\u0107i napada\u010du da izdaje komande na daljinu. Ove komande mogu uklju\u010divati kra\u0111u osjetljivih podataka kao \u0161to su akreditivi ili druge informacije uskladi\u0161tene u kola\u010di\u0107ima internet pregleda\u010da, preuzimanje dodatnog zlonamjernog softvera i izvr\u0161avanje proizvoljnih sistemskih komandi na kompromitovanom ure\u0111aju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>POCOSTICK<\/em> je tako\u0111e poznat po tome \u0161to koristi ekstenziju za <em>Google Chrome<\/em> kao dio svojih aktivnosti nakon eksploatacije. Ovo pro\u0161irenje predstavlja alatku za pomo\u0107 pri u\u010ditavanju internet stranica u re\u017eimu <em>Internet<\/em> <em>Explorer<\/em> kompatibilnosti, ali prikriveno grabi i eksfiltrira kola\u010di\u0107e internet pregleda\u010da, \u0161alju\u0107i ih na nalog <em>Google<\/em> diska koji kontroli\u0161e napada\u010d.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj_i_posljedice\"><\/span>Uticaj i posljedice<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kompromitacija pru\u017eaoca internet usluga (<em>ISP<\/em>) mo\u017ee imati zna\u010dajne posljedice na korisnike i organizacije, kao \u0161to se vidi u ovom slu\u010daju gdje je pru\u017ealac internet usluga (<em>ISP<\/em>) kori\u0161\u0107en za <em>DNS<\/em> trovanje da preusmjeri korisnike na zlonamjerne internet lokacije i ukrade njihove kola\u010dic\u0301e internet pregleda\u010da. Generalno, ovakvi napadi podrazumijevaju sljede\u0107e posljedice:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Kompromitovani pru\u017ealac internet usluga (<em>ISP<\/em>) se mo\u017ee iskoristiti za presretanje i preusmjeravanje korisni\u010dkog saobra\u0107aja na zlonamjerne internet stranice ili servere, potencijalno ih izla\u017eu\u0107i raznim prijetnjama kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napadi, infekcije zlonamjernim softverom ili kra\u0111a podataka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Napada\u010d sa kontrolom nad infrastrukturom pru\u017eaoca internet usluga (<em>ISP<\/em>) mo\u017ee da izvr\u0161i <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/17\/man-in-the-middle-attack-mitm\/\" target=\"_blank\" rel=\"nofollow noopener\">napad \u010dovjek u sredini<\/a> (eng. <em>Man-in-the-Middle Attack \u2013 MitM<\/em>) na korisnike i presretne njihovu komunikaciju, uklju\u010duju\u0107i osjetljive informacije kao \u0161to su akreditivi za prijavu, finansijske transakcije ili povjerljivi poslovni podaci,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Napada\u010d sa pristupom infrastrukturi pru\u017eaoca internet usluga (<em>ISP<\/em>) mo\u017ee presresti korisni\u010dke podatke koji se prenose preko mre\u017ee, uklju\u010duju\u0107i osjetljive informacije kao \u0161to su akreditivi za prijavu, finansijske transakcije ili povjerljivi poslovni podaci,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kompromitovani pru\u017ealac internet usluga (<em>ISP<\/em>) mo\u017ee dovesti do \u0161tete po reputaciju organizacija i potencijalno rezultirati pravnim postupcima protiv njih, ako su korisnici pogo\u0111eni ugro\u017eavajem bezbjednosti ili drugim zlonamjernim aktivnostima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Posljedice kompromitovanog pru\u017eaoca internet usluga (<em>ISP<\/em>) tako\u0111e mogu uklju\u010diti finansijske gubitke zbog potencijalne \u0161tete, tu\u017ebe, regulatorne kazne i gubitak poslovnog prihoda.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"STORMBAMBOO\"><\/span><em>STORMBAMBOO<\/em><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em>, tako\u0111e poznata kao <em>Evasive<\/em> <em>Panda<\/em>, <em>BRONZE<\/em> <em>HIGHLAND<\/em> i <em>Daggerfly<\/em>, je <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredna trajna prijetnja<\/a> (eng. <em>Advanced Persistent Threat \u2013 APT<\/em>) kineskog porijekla koja aktivno sprovodi operacije sajber \u0161pijuna\u017ee od najmanje 2012. godine. Primarne mete grupe su pojedinci, vladine institucije i organizacije u Kini, Hong Kongu, Makaou, Nigeriji, Mjanmaru, Filipinima, Tajvanu, Vijetnamu, kao i nepoznati entiteti u Indiji, Maleziji i drugim zemljama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em> je poznata po svom prilago\u0111enom okviru za zlonamjerni softver sa modularnom arhitekturom koja omogu\u0107ava njenom <em>backdoor <\/em>zlonamjernom softveru, da prima module za \u0161pijuniranje \u017ertava i pro\u0161iri svoje mogu\u0107nosti. Taktika grupe uklju\u010divala je napade vodenih rupa (eng. <em>watering hole attack<\/em>) i kompromise u lancu snabdijevanja. U jednom zna\u010dajnom slu\u010daju, grupa je ciljala Tibetance kroz kompromitovanu softversku nadogradnju za <em>Adobe Flash Player<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Grupa je primije\u0107ena kako koristi razli\u010dite tehnike za dobijanje po\u010detnog pristupa sistemima \u017ertava, uklju\u010duju\u0107i <em>phishing <\/em>elektronske poruke sa zlonamjernim prilozima ili linkovima ka zara\u017eenim internet lokacijama. Jednom u sistemu, <em>StormBamboo<\/em> koristi svoj prilago\u0111eni <em>backdoor<\/em>, da uspostavi postojanost i pro\u0161iri svoje upori\u0161te unutar mre\u017ee. Grupa je poznata po svojim prikrivenim taktikama, koriste\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> i druge tehnike da izbjegne otkrivanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo a<\/em>ktivnosti izazvale su zabrinutost me\u0111u stru\u010dnjacima za sajber bezbjednost zbog njihovog potencijalnog uticaja na nacionalnu bezbjednost i politi\u010dku stabilnost u ciljanim regionima. Fokus grupe na vladine subjekte i organizacije sugeri\u0161e da ona mo\u017eda djeluje po nalogu dr\u017eavnog sponzora ili drugih mo\u0107nih aktera, iako to nije definitivno dokazano.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span>ZAKLJU\u010cAK<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kompromitovanje pru\u017eaoca internet usluga (<em>ISP<\/em>) dolazi kao zna\u010dajna briga u okru\u017eenju sajber prijetnji koje se stalno razvija. Zlonamjerni akteri vo\u0111eni raznim nedozvoljenim svrhama kao \u0161to su ometanje internet usluga, kra\u0111a osjetljivih podataka i jo\u0161 mnogo toga, sve vi\u0161e ciljaju na pru\u017eaoce internet usluga (<em>ISP<\/em>) da bi stekli kontrolu nad ogromnim brojem povezanih ure\u0111aja. Sada imamo slu\u010daj zlonamjernog aktera <em>StormBamboo <\/em>koji je koristio napredni metod napada <em>DNS<\/em> trovanjem da bio preuzeli pru\u017eaoca internet usluga (<em>ISP<\/em>) kako bi otrovali a\u017euriranja softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em> tehnika je iskoristila bezbjednosne propuste u mehanizmima a\u017euriranja softvera, posebno onih koji koriste neobezbije\u0111ene <em>HTTP<\/em> veze bez odgovarajuc\u0301e provjere digitalnog potpisa. Napada\u010di su ubacili zlonamjerne k\u00f4dove u la\u017ena a\u017euriranja koja su zarazila sisteme naprednim zlonamjernim softverom kao \u0161to su <em>MACMA<\/em> za <em>macOS<\/em> i <em>POCOSTICK<\/em> za operativni sistem Windows. Ovaj metod nije zahtijevao nikakvu intervenciju korisnika, \u0161to ga \u010dini izuzetno opasnom, jer se infekcija tiho \u0161irila kroz povezane ure\u0111aje. Slo\u017eenost ovog napada nadma\u0161ila je prethodne slu\u010dajeve, otkrivaju\u0107i zna\u010dajan razvoj kako u mogu\u0107nostima zlonamjernog softvera tako i u metodama napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Implikacije ovog napada su dalekose\u017ene i nagla\u0161avaju va\u017enost obezbje\u0111ivanja procesa nadogradnje softvera, \u010dvrste za\u0161tite <em>DNS<\/em> infrastrukture i opreza protiv sve slo\u017eenijih sajber prijetnji. Kompromitovanje pru\u017eaoca internet usluga (<em>ISP<\/em>) ne uti\u010de samo na njegove direktne kupce, ve\u0107 i indirektno uti\u010de na mno\u0161tvo povezanih ure\u0111aja u razli\u010ditim mre\u017eama. Vje\u0161tina napada\u010da u iskori\u0161tavanju bezbjednosnih propusta u mehanizmima a\u017euriranja softvera nagla\u0161ava potrebu da organizacije daju prioritet bezbjednim procesima nadogradnje softvera i implementiraju robusne sisteme za verifikaciju digitalnih potpisa. \u0160tavi\u0161e, obezbje\u0111ivanje <em>DNS<\/em> infrastrukture je klju\u010dno jer \u010dini okosnicu internet komunikacije i njome mogu lako manipulisati zlonamjerni akteri.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>StormBamboo<\/em> napredni metod napada <em>DNS<\/em> trovanjem na nivou pru\u017eaoca internet usluga (<em>ISP<\/em>) slu\u017ei kao o\u0161tar podsjetnik na razvoj prijetnji i potrebu da organizacije daju prioritet mjerama sajber bezbjednosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span>ZA\u0160TITA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se se za\u0161titili od kompromitovanja preko pru\u017eaoca internet usluga (<em>ISP<\/em>) koji uklju\u010duje napredni zlonamjerni softver kao \u0161to su <em>MACMA<\/em> za <em>macOS<\/em> i <em>POCOSTICK<\/em> za <em>Windows<\/em> operativne sisteme, mogu se slijediti ove prakse:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su svi ure\u0111aji a\u017eurirani najnovijim bezbjednosnim ispravkama \u010dim postanu dostupne. Koristiti pouzdane izvore za preuzimanje a\u017euriranja, kao \u0161to su zvani\u010dne internet stranice ili prodavnice aplikacija. Omogu\u0107iti funkcije automatskog a\u017euriranja ako je moguc\u0301e i provjeriti digitalne potpise softvera pre nego \u0161to se instaliraju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovoditi sna\u017ene mjere bezbjednosti sistema imena domena (<em>DNS<\/em>) kori\u0161tenjem renomiranih <em>DNS<\/em> pru\u017eaoca usluga koji nude usluge filtriranja i obezbje\u0111ivanje lokalnog <em>DNS<\/em> razrje\u0161iva\u010da za\u0161titnim zidovima ili sistemima za otkrivanje upada. Redovno a\u017eurirajte upravlja\u010dki softver rutera da bi se za\u0161titio od poznatih ranjivosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) za sve naloge na mre\u017ei, posebno one koji se odnose na finansijske transakcije ili skladi\u0161tenje osjetljivih podataka. Ovo dodaje dodatni nivo sigurnosti i ote\u017eava napada\u010dima da dobiju neovla\u0161teni pristup \u010dak i ako uspiju da ukradu lozinke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti pouzdano antivirusno rje\u0161enje na svim svojim ure\u0111ajima i redovno ga a\u017eurirati. Antivirusna rje\u0161enja mogu pomo\u0107i u otkrivanju i uklanjanju zlonamjernog softvera pre nego \u0161to prouzrokuje bilo kakvu \u0161tetu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati otvaranje sumnjivih elektronskih poruka ili klikove na neprovjerene veze, posebno one iz nepoznatih izvora. Zlonamjerne elektronske poruke su uobi\u010dajeni metod za distribuciju zlonamjernog softvera preko pru\u017eaoca internet usluga (<em>ISP<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite jake i slo\u017eene lozinke koriste\u0107i kombinaciju velikih slova, malih slova, brojeva i simbola. Redovno mijenjati lozinke da bi se smanjio rizik od kompromitovanja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da svi ure\u0111aji imaju omogu\u0107en ugra\u0111eni za\u0161titni zid (eng. <em>firewall<\/em>) ili koristite za\u0161titne zidove trec\u0301e strane za dodatnu za\u0161titu. Za\u0161titni zidovi poma\u017eu u blokiranju neovla\u0161tenih dolaznih veza i spre\u010davaju napada\u010de da pristupe mre\u017ei,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno skenirati cio sistem koriste\u0107i renomirani antivirusni softver da bi se otkrio zlonamjerni softver koji je mo\u017eda zaobi\u0161ao druge bezbjednosne mjere,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti informisan o najnovijim prijetnjama, trendovima i najboljim praksama u vezi sa sajber bezbjedno\u0161\u0107u putem pouzdanih izvora kao \u0161to su publikacije u industriji ili organizacije od povjerenja za sajber bezbjednost. Redovno obu\u010davati zaposlene o bezbjednom pona\u0161anju na mre\u017ei i va\u017enosti jakih lozinki i a\u017euriranja softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virtualnu privatnu mre\u017eu (<em>VPN<\/em>)<\/a> kada se koriste javne <em>Wi<\/em>&#8211;<em>Fi<\/em> mre\u017ee, jer <em>VPN<\/em> omogu\u0107ava \u0161ifrovanje svih podataka koji se prenose izme\u0111u korisni\u010dkog ure\u0111aja i interneta. Ovo poma\u017ee u za\u0161titi od potencijalnih napada \u010dovjeka u sredini ili drugih oblika prislu\u0161kivanja mre\u017ee.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Kompanija za sajber bezbjednost Volexity je identifikovala sofisticirani napad grupe zlonamjernih aktera StormBamboo koji je uklju\u010divao usluge pru\u017eaoca internet usluga (eng. Internet Service Provider \u2013 ISP) radi trovanja a\u017euriranja softvera. Ovaj kompromis je omogu\u0107io&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7051,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1939,1935,1930,1938,1936,1932,1931,1937,1934,1929,1933],"class_list":["post-7050","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-advanced-malware-capabilities","tag-dns-response-poisoning","tag-isp-cyberattack","tag-isp-security","tag-macma-malware","tag-macosc-ompromised","tag-malware-infections","tag-pocostick-malware","tag-software-update-poisoning","tag-stormbamboo-apt","tag-windows-compromised"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7050"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7050\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7051"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}