Ruskí hackeri našli cestu do počítačov cez slabinu v programe, ktorý používajú milióny ľudí. Šíria vírus SmokeLoader
Ruskí hackeri zneužili kritickú zero-day slabinu, ktorá im dovolila vykonávať špionážne útoky.
Bezpečnostní analytici z Trend Micro identifikovali závažnú zero-day slabinu, cez ktorú kyberzločinci šírili malvér SmokeLoader. Výsledky vyšetrovania naznačujú, že slabinu využívali primárne ruské kyberzločinecké skupiny, ktoré prostredníctvom nej útočili okrem iného aj na ukrajinské vládne aj mimovládne organizácie.
Hlavným cieľom útokov bola kyberšpionáž v rámci prebiehajúceho konfliktu medzi dvoma krajinami. Útok sa skladal zo zneužitia napadnutých e-mailových účtov a zero-day slabiny týkajúcej sa programu 7-Zip. Túto aplikáciu napadli hackeri pomocou takzvaného homoglyf útoku.
Keď užívateľ stiahne súbor z nedôveryhodného zdroja, primárne internetu, operačný systém Windows ho označí bezpečnostným označením Mark-of-the-Web (MoTW). Označenie súboru as týka lokálnej kópie, do ktorej je implementovaný atribút ZoneId=3. Tento atribút zaručuje aby Windows náhodou nespustil súbory z nedôveryhodných zdrojov. Zároveň dovoľuje operačnému systému vykonať dodatočné bezpečnostné kontroly cez systém SmartScreen.
Napadli viaceré ukrajinské inštitúcie
Odhalená zero-day slabina dovoľuje hackerom obísť MoTW ochranu Windowsu tým, že pomocou programu 7-Zip dvakrát zabalí škodlivý súbor. Dvojitá archivácia znamená, že sa v rámci zabaleného súboru nachádza ešte jeden zabalený súbor. MoTW ochrana znamená, že ak by si chcel spustiť súbor z nedôveryhodného zdroja, Windows ho nespustí automaticky dvojitým kliknutím. Namiesto toho ti ukáže obrazovku, na ktorej stojí, že Windows zabránil nerozpoznanej aplikácií v spustení. Varuje, aby si k súboru pristupoval opatrne, pretože môže ohroziť tvoj počítač. Následne sa sám môžeš rozhodnúť program spustiť na vlastné riziko.
“Windows MoTW je dôležitou súčasťou bezpečnostnej architektúry operačného systému. Vyžaduje sa aj pri ďalších kľúčových ochranných mechanizmoch Windowsu,” vysvetľujú bezpečnostní analytici.
Ďalej vysvetľujú, že hlavnou príčinou zero-day slabiny aplikácie 7-Zip bolo to, že v prípade dvojitej archivácie súboru nedokázal systém MoTW správne označiť nedôveryhodné súbory. V praxi teda spustenie súboru v dvojitom archíve nespustilo varovnú obrazovku, čím sa užívatelia stávali náchylnejší voči útoku.
Neprehliadni
Po prvýkrát si útoky zneužívajúce túto slabinu všimli analytici v septembri minulého roka. V tomto období slabinu zneužívali primárne proruské hackerské skupiny, ktoré útočili na ukrajinské inštitúcie a šírili cez ňu malvér SmokeLoader. Počas vyšetrovania slabiny natrafili experti na niekoľko e-mailov, ktoré patrili rôznym vládnym inštitúciám a podnikom.
V rámci jedného zo spearphishing útokov hackeri cielili na automobilku v oblasti Zaporizhizhia. V tele podvodného e-mailu sa nachádzala správa, ktorá informovala o dôležitej prílohe, na ktorú by sa spoločnosť mala pozrieť. Ako sme spomenuli na začiatku, útočníci napadli aplikáciu cez homoglyf útok.
Homoglyf útok predstavuje typografickú manipuláciu. Jednoduchšie povedané, ide o použitie podobne vyzerajúcich znakov na vytvorenie falošnej URL, ktorá vyzerá ako legitímna URL adresa. Kyberzločinec môže napríklad použiť písmeno “Es” z cyriliky, ktoré vyzerá v latinke ako písmeno “C” a vytvoriť falošnú doménu “api-microsoft.com”. V tomto prípade URL vyzerá ako legitímna URL Microsoftu, no namiesto C hacker použil “Es”. Pomocou tejto metódy hackeri vytvorili falošnú prihlasovaciu stránku Microsoftu.
Pozor na phishingové e-maily
Počas tejto kampane hackeri šírili falošný Word súbor. Keď sa malvér SmokeLoader dostal do zariadenia obete, kyberzločinci získali úplnú kontrolu nad infikovaným počítačom. Ako sme už spomenuli, slabinu zneužívali ruskí hackeri, ktorí napádali ukrajinské vládne a mimovládne organizácie. Vyšetrovanie naznačuje, že niektoré z napadnutých e-mailových adries, cez ktoré hackeri útočili, získali v predchádzajúcich útokoch.
Aplikácia 7-Zip už dostala aktualizáciu, ktorá rieši odhalenú zero-day slabinu. Bezpečnostní analytici radia, aby si užívatelia aplikáciu aktualizovali na verziu 24.09 alebo novšiu. Zároveň by si užívatelia mali dávať pozor na phishingové e-maily. Treba prechovávať zdravé podozrenie voči akejkoľvek neočakávanej správe, ktorá spomína niečo dôležité alebo poukazuje na nejaký “problém”, ktorý treba riešiť okamžite. Najlepšie je problémy s účtom riešiť cez originálnu URL stránky, nie cez odkaz, ktorý ti prišiel v maily. Ak ide o nejakú inštitúciu, vždy sa tam dá zavolať pomocou legitímneho čísla.
Komentáre