Ruskí hackeri napojení na FSB prerobili malvér Kazuar. Už nefunguje ako obyčajný vírus, ale ako tichá špionážna sieť

Ruský malvér Kazuar sa zmenil na modulárny botnet. Vie potichu zbierať dáta, obchádzať ochranu Windowsu a skrývať komunikáciu v sieti.

Ako ruskí hackeri z Forest Blizzard útočia na svoje ciele?
Zdroj: Pixabay (satheeshsankaran, Chickenonline), Úprava: Vosveteit.sk

Ruská hackerská skupina známa ako Secret Blizzard posunula svoj známy malvér Kazuar na novú úroveň. Bezpečnostní analytici zistili, že z pôvodného zadného vchodu do systému vznikol modulárny botnet, ktorý zvládne fungovať dlhodobo, potichu a s minimom podozrivej komunikácie. Hackeri sa pritom stále sústredia na špionáž a zber citlivých dát.

Za skupinou podľa Microsoftu stojí ruská tajná služba FSB, konkrétne jej Centrum 16. Hackeri sa roky zameriavajú najmä na ministerstvá, ambasády, obranné firmy či vládne organizácie v Európe a Strednej Ázii. Významnú pozornosť venujú aj Ukrajine.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Nová verzia Kazuaru nefunguje ako klasický vírus, ktorý po infekcii jednoducho pošle dáta útočníkom. Celý systém pripomína organizovanú sieť troch rôznych modulov, pričom každý z nich dostal vlastnú úlohu, čo výrazne sťažuje odhalenie. Prvý modul nesie názov Kernel. Ten riadi celú operáciu. Kontroluje ostatné časti malvéru, rozdeľuje úlohy a komunikuje s centrálnym serverom.

Druhý modul Bridge zabezpečuje spojenie s riadiacou infraštruktúrou hackerov. Tretí modul Worker zbiera informácie z napadnutého počítača.

Kazuar sa presne prispôsobí infikovaným zariadeniam, čo mu dovoľuje ostať nepozorovaným

Práve toto rozdelenie malvéru na tri moduly pomáha Kazuaru ukrývať sa v zariadení čo najdlhšie. Bezpečnostní analytici zároveň upozornili, že Kazuar dnes nevyužíva len jednoduché skrývanie. Vývojári zabudovali nenápadnosť priamo do architektúry malvéru.

Reklama

„Kazuar znižuje svoju viditeľnosť tým, že rozdeľuje úlohy medzi Kernel, Bridge a Worker moduly,“ uviedli výskumníci: „Externú komunikáciu obmedzuje iba na jedného zvoleného lídra.“

hacker pocitac
Zdroj: Vosveteit.sk, AI

To znamená, že nie každý infikovaný počítač komunikuje priamo s hackerským serverom. Sieť si najprv zvolí jedného „lídra“, ktorý následne vybavuje komunikáciu za ostatných. Takýto prístup výrazne znižuje množstvo podozrivej prevádzky v sieti. Kazuar zároveň využíva špeciálne šifrované interné kanály medzi napadnutými zariadeniami. Líderský počítač komunikuje s ostatnými cez takzvané Named Pipes, teda interné systémové „potrubia“, ktorých názvy vznikajú z hashov verzie samotného botnetu.

Ak hacker pošle príkaz určený pre konkrétny počítač, líder ho potichu presmeruje cez toto šifrované spojenie. Ostatné zariadenia ostávajú navonok prakticky neviditeľné a fungujú v režime SILENT. Malvér obsahuje aj rozsiahly systém záložných možností. Ak zlyhá jedna cesta komunikácie, automaticky prepne na inú. Podporuje klasické HTTP spojenia, WebSockety aj komunikáciu cez Exchange Web Services, teda firemné e-mailové servery.

Takýto spôsob komunikácie pôsobí menej nápadne, pretože sa schová medzi bežnú firemnú prevádzku. Hackeri do systému pridali aj veľké množstvo konfiguračných možností. Výskumníci napočítali približne 150 rôznych nastavení, útočníci tak dokážu meniť správanie malvéru podľa konkrétneho cieľa.

Kazuar napríklad rozhoduje, v akom čase odošle ukradnuté dáta. Predvolené nastavenie povoľuje komunikáciu približne medzi ôsmou ráno a ôsmou večer, čím sa snaží napodobniť normálnu pracovnú prevádzku. Nevyvolá teda podozrenie náhlym nočným prenosom veľkého objemu dát.

Hackeri používajú kombináciu metód na monitorovanie zariadenia a obchádzanie základných bezpečnostných nastavení

Výrazne nebezpečnejšie však pôsobia jeho techniky obchádzania ochrany Windowsu. Kazuar obsahuje natvrdo zabudované bypassy pre viacero bezpečnostných mechanizmov. Jedným z nich je AMSI bypass. AMSI, teda Antimalware Scan Interface, umožňuje antivírusom kontrolovať skripty a podozrivý kód priamo v pamäti. Kazuar toto rozhranie vypína, takže ochranný softvér často nevidí, čo sa v systéme práve spúšťa.

Ďalší mechanizmus nesie názov ETW bypass. Event Tracing for Windows patrí medzi hlavné diagnostické a monitorovacie systémy Windowsu. Bezpečnostné nástroje cez neho sledujú podozrivé operácie, prístupy k pamäti či sieťové spojenia. Kazuar toto logovanie cielene blokuje, čím výrazne sťažuje spätnú analýzu útoku.

Infostealer Agent Tesla hlási návrat, hovorí ESET
Zdroj: AI, Pixabay (Neo_Artemis), Úprava: Vosveteit.sk

Malvér zároveň obsahuje aj WLDP bypass, ktorý pomáha obchádzať politiky kontroly aplikácií a povoľuje spúšťanie nepodpísaného alebo nedôveryhodného kódu.

Práve táto kombinácia podľa bezpečnostných analytikov výrazne znižuje šancu na odhalenie počas útoku. Program zároveň pravidelne zbiera obrovské množstvo informácií o napadnutom zariadení. Kontroluje antivírusy, pripojené USB zariadenia, sieťové adaptéry, históriu dokumentov, používateľské účty či zoznam spustených procesov.

Nechýba ani zber screenshotov, monitorovanie okien alebo keylogger, ktorý zaznamenáva stlačené klávesy. Veľký dôraz kladie aj na e-maily a dokumenty. Worker modul obsahuje komponent GMAP, ktorý sa priamo integruje do Outlooku cez MAPI rozhranie. Útočníkov nezaujímajú len samotné správy. Sťahujú kompletnú históriu komunikácie, prílohy aj interné dokumenty.

Malvér nečaká na príkazy, obsahuje niekoľko automatizovaných funkcií

Kazuar navyše nečaká iba na manuálne príkazy hackerov. Obsahuje automatické filtre s názvom Autos. Tie prehľadávajú priečinky ako Pracovná plocha, Dokumenty alebo Nedávne a hľadajú súbory s príponami .docx, .pdf, .xlsx či .key. Nájdené dokumenty následne zabalí, zašifruje a pripraví na odoslanie.

„Získané dáta šifruje ešte pred uložením,“ napísali analytici.

hacker utok
Zdroj: ozrimoz / Shutterstock.com

Malvér si zároveň vytvára vlastné pracovné priečinky, v ktorých drží zozbierané súbory, logy či výsledky jednotlivých úloh.

Zaujímavé pôsobí aj prepojenie s ďalšou ruskou skupinou známou ako Aqua Blizzard alebo Gamaredon. Microsoft zistil, že Secret Blizzard často prichádza do sietí, ktoré Gamaredon kompromitoval už skôr. Gamaredon typicky útočí hlučnejšie a vo veľkom. Získa prvotný prístup do siete a pripraví priestor pre sofistikovanejšiu operáciu. Následne nastúpi Secret Blizzard s Kazuarom, ktorý prevezme kontrolu a dlhodobo zbiera citlivé informácie bez výraznejšej aktivity navonok.

Microsoft odporučil firmám aktivovať pokročilé bezpečnostné funkcie v Microsoft Defenderi, monitorovať PowerShell, zapnúť ochranu proti skriptom a dôsledne sledovať internú komunikáciu medzi zariadeniami. Rozdiel môže spraviť aj segmentácia siete a kontrola neobvyklých procesov v pamäti.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať