W ostatnich latach świadomość zagrożeń związanych z cyberbezpieczeństwem znacząco wzrosła. Jednak nawet w obliczu rosnącej liczby incydentów, nowatorskie i wyrafinowane złośliwe oprogramowanie wciąż potrafi zaskoczyć. Tak było również z backdoorem Deadglyph, który jest autorem przestępców z Bliskiego Wschodu.
Deadglyph jest przypisywany grupie hakerskiej Stealth Falcon APT, której działalność jest sponsorowana przez Zjednoczone Emiraty Arabskie. Ci są doskonale znani z ataków na aktywistów, dziennikarzy i polityków od prawie dekady. Stealth Falcon APT byli znani w półświatku od dawna, ale Deadglyph to konkretny pokaz ich możliwości, który przeraża ekspertów ds. cyberbezpieczeństwa.
Według raportu opublikowanego na konferencji cyberbezpieczeństwa LABScon przez Filipa Jurčacko z firmy ESET, Deadglyph jest nie tylko potężnym narzędziem, ale potrafi także unikać wykrycia. Chociaż szczegóły początkowej infekcji pozostają tajemnicą, podejrzewa się, że wykorzystywany spreparowany plik wykonywalny będący sam w sobie także "instalatorem".
Jednak to, co wyróżnia Deadglyph spośród innych zagrożeń, to jego skomplikowany łańcuch "osadzania się" w systemie, który sprawia, że jest trudny do wykrycia. Proces ten rozpoczyna się od programu ładującego kod, który wyodrębnia kod z rejestru, aby załadować komponent Executor (x64). Ten komponent z kolei jest odpowiedzialny za załadowanie komponentu Orchestrator (.NET).
Najciekawsze jest to, że tylko początkowy komponent istnieje jako plik DLL na dysku zainfekowanego systemu, minimalizując ryzyko wykrycia. Aby jeszcze bardziej przysporzyć trudności badaczom, aktorzy zagrożeń zastosowali homoglify (litery, które można odczytać na kilka sposobów), wykorzystując różne znaki Unicode w zasobie VERSIONINFO aplikacji. Dzięki temu złośliwy plik wydaje się być częścią oprogramowania Microsoftu, co znacznie utrudnia jego identyfikację jako potencjalnego zagrożenia.
Deadglyph ma charakter modułowy, co oznacza, że może pobierać nowe porcje kodu (które będziemy nazywać dalej: "modułami") z serwera kontrolnego. To daje zarządcom złośliwego oprogramowania elastyczność w dostosowywaniu ataków do konkretnej sytuacji. Moduły te mają dostęp do interfejsów API systemu Windows oraz niestandardowych interfejsów API Executor.
ESET identyfikuje kilka modułów Deadglyph, w tym ten do tworzenia nowych procesów, czytnik plików, moduł odpowiadający za zbieranie określonych informacji i inne. Ten odnoszący się do informacji używa zapytań WMI do dostarczania Orchestratorowi szczegółowych informacji o zaatakowanym systemie, takich jak system operacyjny, karty sieciowe, zainstalowane oprogramowanie, dyski, usługi, sterowniki, procesy, użytkownicy, zmienne środowiskowe i oprogramowanie zabezpieczające.
Moduł dotyczący procesów jest narzędziem do wykonywania poleceń jako nowe procesy, co pozwala na zdalne kontrolowanie systemu. Natomiast czytnik plików odczytuje zawartość plików i umożliwia ich zdalne usunięcie. To tylko ułatwia ukrycie śladów, a o to w całym ataku przecież chodzi.
Deadglyph to jedno z najnowocześniejszych narzędzi w arsenale cyberprzestępców z Bliskiego Wschodu. Jego skomplikowana budowa i zdolność do dostosowywania się sprawiają, że jest to zagrożenie trudne do zwalczenia. Wiele agencji zajmujących się bezpieczeństwem cybernetycznym już zapowiedziało skoordynowaną walkę z tym zagrożeniem po to, aby chronić te osoby i organizacje, które mogą stać się celem ataków. To ciekawe, że przestępcy z tego regionu wyrastają na prawdziwych liderów w zakresie tworzenia nowatorskich form ataków. Zastanawia mnie to, czy Stealth Falcon APT zbudowało go od podstaw, czy też bazowało na pozyskanej / skradzionej technologii chociażby od Izraelczyków, którzy też nie są pod tym względem "najgorsi".
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
