APT
Pod koniec 2019 roku nasi eksperci użyli techniki u wodopoju, aby zidentyfikować atak ukierunkowany. Atakujący infekowali urządzenia ofiar w Azji od co najmniej ośmiu miesięcy. Z uwagi na temat stron wykorzystywanych do rozprzestrzeniania szkodliwego programu atak został ochrzczony Holy Water, co w naszym języku oznacza „woda święcona”. To drugi atak, jaki wykryliśmy w ciągu kilku miesięcy, w którym wykorzystana została ta taktyka (tutaj znajdziesz inne wnioski naszych badaczy).
W jaki sposób Holy Water infekował urządzenia ofiar?
Wygląda na to, że atakujący w pewnym momencie zhakowali serwer, na którym znajdowały się strony internetowe należące głównie do podmiotów religijnych, organizacji publicznych i charytatywnych. Cyberprzestępcy umieścili szkodliwe skrypty w kodzie tych stron, które następnie zostały użyte do przeprowadzenia ataków.
Gdy użytkownik odwiedził zainfekowaną stronę, skrypty używały legalnych narzędzi w celu gromadzenia danych na ich temat i przekazywały je do serwera zewnętrznego w celu weryfikacji. Nie wiemy, w jaki sposób wybierano ofiary. Jeśli z informacji wynikało, że cel był atrakcyjny, serwer wysyłał polecenie kontynuowania ataku.
W kolejnym kroku używana była znana od ponad dziesięciu lat sztuczka: użytkownik był nakłaniany do zaktualizowania aplikacji Adobe Flash Player, która rzekomo była przestarzała i zawierała luki w bezpieczeństwie. Jeśli ofiara wyraziła zgodę, zamiast obiecanej aktualizacji na komputer był pobierany backdoor Godlike12.
Jakie zagrożenie stwarza Godlike12?
Osoby kierujące atakiem używali legalnych serwisów zarówno do profilowania ofiar, jak i przechowywania szkodliwego kodu (informacje o backdoorze znalazły się na GitHubie). Z serwerami kontroli szkodnik komunikował się poprzez Dysk Google.
Backdoor umieszczał identyfikator w pamięci Dysku Google i regularnie nawiązywał z nim kontakt w celu sprawdzania poleceń od atakujących. Przesyłane tam były również efekty wykonywania poleceń. Według naszych ekspertów celem ataku był rekonesans i gromadzenie informacji ze zhakowanych urządzeń.
Osoby zainteresowane szczegółami technicznymi oraz stosowanymi narzędziami zachęcamy do przeczytania naszego postu w serwisie Securelist na temat Holy Water, w którym również wymieniliśmy oznaki włamania.
Jak zapewnić sobie bezpieczeństwo?
Jak dotąd atak Holy Water zarejestrowaliśmy wyłącznie w Azji, jednak narzędzia użyte we wspomnianej kampanii są dość proste i bez problemu mogą zostać użyte wszędzie indziej. Dlatego zalecamy, aby wszyscy użytkownicy poważnie potraktowali nasze zalecenia, bez względu na to, gdzie mieszkają.
Niestety nie wiemy, czy atak jest wycelowany w konkretne osoby lub organizacje. Jedno jest jednak pewne: zainfekowane strony może odwiedzić każdy, zarówno z urządzeń domowych, jak i firmowych. Dlatego naszą najważniejszą poradą jest zabezpieczenie wszystkich urządzeń, które mają dostęp do internetu. W naszej ofercie można znaleźć produkty dla komputerów prywatnych i firmowych. Nasze produkty wykrywają i blokują wszystkie narzędzia i techniki używane przez twórców zagrożenia Holy Water.
Porady