15/02/2016

Adwind: szkodliwe oprogramowanie jako usługa

Technologie Zagrożenia

Podczas spotkania Security Analyst Summit 2016 nasz Globalny Zespół ds. Badań i Analiz (GReAT) opublikował obszerne badanie na temat narzędzia zdalnej administracji (ang. Remote Administration Tool – RAT) o nazwie Adwind. Znane jest ono także jako AlienSpy, Frutas, Unrecom, Sockrat, JSocket i jRat, a od kilku lat jest używane i rozprzestrzeniane w postaci usługi. Oznacza to, że każdy może zapłacić za usługę określoną kwotę (25-300 dolarów) i używać szkodliwego narzędzia do swoich celów.

awind-maas-platform-FB

Nasi badacze z GReAT-u odkryli tę szkodliwą platformę, gdy próbowała przeprowadzić atak ukierunkowany na bank w Singapurze. Szkodliwy program został umieszczony pod postacią pliku Java w wiadomości typu phishing, wysłanej do pracownika banku. W zasadzie jest to typowy przykład sposobu dystrybucji szkodliwych programów.

Uwagę badaczy przyciągnęło kilka funkcji tego szkodliwego programu. Po pierwsze, mógł działać na wielu platformach: oprócz Windowsa mógł zainfekować system Linux, OS X i Android. Chociaż Java nie jest popularną platformą dla szkodliwych programów, wciąż jest uważana za drugi z najbardziej dziurawych programów, który wymaga nieustannego łatania. Natomiast pierwsze miejsce zajmuje zdecydowanie wtyczka Flash od Adobe. Co więcej, aplikacje Java z założenia mogą działać na dowolnym systemie operacyjnym, przez co są bardzo wygodne dla osób, które chcą rozwijać szkodliwy program dla wielu platform. Jednak firma Oracle naprawdę wkłada wiele wysiłku w zwiększenie bezpieczeństwa Java.

Drugą rzeczą, która spowodowała wykrycie tego złośliwego programu, było to, że nie został on wykryty przez żaden program antywirusowy.

Po trzecie, był bardzo zdolny: lista jego funkcji zawierała możliwość zbierania informacji na temat znaków wprowadzanych z klawiatury, kradzież z pamięci podręcznej haseł, certyfikatów VPN i kluczy portfeli kryptowalut, wykonywanie zrzutów ekranu, nagrywanie filmów, zdjęć i dźwięku z mikrofonu i kamery komputera, gromadzenie informacji o użytkowniku i systemie, zarządzanie SMS-ami w systemie Android OS itp. Jak widać, przestępców ograniczała tylko ich wyobraźnia i umiejętności.

W rzeczywistości jest to bardzo potężne wieloplatformowe narzędzie szpiegujące. Po przeprowadzeniu analizy aktywności szkodliwego programu Adwind nasi badacze stwierdzili, że historia ta jest znacznie gorsza, niż się na początku wydawało.

Okazało się bowiem, że ten szkodliwy program był tworzony przez wiele lat, a jego pierwsze próbki sięgają roku 2012. W różnych okresach miały różne nazwy: Frutas w 2012, Adwind w 2013, Unrecom i AlienSpy w 2014 i JSocket w 2015 roku.

Eksperci zespołu GReAT wierzą, że za platformą Adwind stoi jedna, intensywnie pracująca osoba, która tworzyła i wspierała nowe funkcje i moduły przez co najmniej ostatnie cztery lata. Pomimo całego zamieszania wokół bezpieczeństwa Javy, platforma ta nie powstała po to, aby ułatwiać życie cyberprzestępcom, a autor programu Adwind musiał wymyślić wiele obejść, aby cały schemat działał. Oczywiście osoba ta mogła także zrzucić niektóre zadania na barki zleceniodawców, ale ostatecznie cały wysiłek i tak się opłacał: obliczyliśmy, że cały serwis mógł przynieść 200 000 dolarów zysku rocznie. Należy także pamiętać, że najnowsza wersja portalu została uruchomiona latem 2015 r., więc przestępca wciąż może czekać na pieniądze.

adwind-live-photo

Początkowo interfejs platformy był jedynie w języku hiszpańskim, później udostępniono wersję angielską. Po tej aktualizacji Adwind stał się globalnie rozpoznawalny przez cyberprzestępców wszelkiej maści, w tym także osób trudniących się przeprowadzaniem zaawansowanych oszustw, nieuczciwych konkurentów biznesowych, cybernajemców, ludzi zatrudnionych w celu szpiegowania ludzi i organizacji. Ponadto program może także zostać użyty przez każdego, kto chce szpiegować znajomych.

Geografia ofiar także uległa zmianie w trakcie tych lat. W 2013 roku na celowniku były kraje arabsko- i hiszpańskojęzyczne. W kolejnym roku cyberprzestępcy skupili się na Turcji i Indiach, a później na Zjednoczonych Emiratach Arabskich, Stanach Zjednoczonych i Wietnamie. W 2015 roku na czele ofiar znajdowała się Rosja, następnie ZEA, Turcja, Stany Zjednoczone i Niemcy. Nie jest to dziwne, biorąc pod uwagę fakt, że teraz Adwind jest sprzedawany różnym cyebrprzestępcom na całym świecie.

klp_infografika_adwind

O ile wiemy, w ciągu czterech lat szkodnik zaatakował ponad 443 tysiące ofiar. Warto również wspomnieć, że zaobserwowaliśmy duży wzrost infekcji pod koniec roku 2015. Od sierpnia 2015 do stycznia 2016 z próbkami szkodliwego programu Adwind RAT miało styczność ponad 68 0000 użytkowników. Co więcej, w sierpniu 2015 r. ten szkodliwy program pojawił się w historii cyberszpiegowskiej. Okazało się, że jedna z wersji Adwind, o nazwie AlienSpy, została użyta do szpiegowania argentyńskiego prokuratora, którego znaleziono martwego w jego biurze w tajemniczych okolicznościach w styczniu 2015 roku.

Cyberprzestęcpy, którzy kupili i używali zestawu Adwind, atakowali osoby prywatne oraz małe i średnie firmy z wielu branż: produkcja, finanse, inżynieria, projektowanie, sprzedaż detaliczna, kręgi rządowe, branża stoczniowa, telekomunikacja i wiele innych.

Z tego powodu zachęcamy firmy, aby zastanowiły się nad zasadnością korzystania z platformy Java i wyłączyły ją dla wszystkich nieautoryzowanych źródeł.