Przestępcy z legalnym oprogramowaniem
Gdy mowa o cyberatakach, zazwyczaj na myśl przychodzą skomplikowane złośliwe skrypty, wirusy tworzone od zera i zamknięte narzędzia hakerskie. Tymczasem rzeczywistość potrafi zaskoczyć. Przykładem tego jest ransomware Fog – zagrożenie, które wymyka się tradycyjnym schematom. W rękach cyberprzestępców znalazły się bowiem narzędzia ogólnodostępne, powszechnie używane w firmach i często uważane za całkowicie nieszkodliwe. Zespół badawczy Symantec, który analizował niedawny incydent w azjatyckiej instytucji finansowej, odkrył, że napastnicy nie tylko sięgnęli po znane już narzędzia typu open source, ale przede wszystkim zdołali zaadaptować do swoich działań Syteca — legalne oprogramowanie służące do monitorowania pracowników. Zamiast wykorzystywać go zgodnie z przeznaczeniem, hakerzy zainstalowali je w systemie ofiary bez jej wiedzy, używając do tego pośredniego łańcucha narzędzi — najpierw proxy Stowaway, później SMBExec z pakietu Impacket. Dzięki temu zyskali dostęp do tego, co pracownicy widzieli na ekranie i wpisywali z klawiatury. Fog nie jest nowicjuszem na cybernetycznej scenie. Już w zeszłym roku zyskał rozgłos, wykorzystując skradzione dane VPN do włamań, a następnie ataki typu pass-the-hash, by zdobyć uprawnienia administratora. Po opanowaniu sieci wyłączał systemowe zabezpieczenia i szyfrował pliki, nie oszczędzając nawet obrazów maszyn wirtualnych. Teraz jednak jego taktyki ewoluują w stronę wyrafinowanej kompozycji, w której każdy element ma swoje miejsce i funkcję.
Arsenał spoza czarnej skrzynki
Co najbardziej uderza w tej nowej odsłonie Fog, to kompletność i pomysłowość w doborze narzędzi. Grupa nie ogranicza się już do pojedynczych exploitów czy malware’u. Ich zestaw opiera się na synergii legalnego oprogramowania i narzędzi open source, które — choć stworzone do zupełnie innych celów — w rękach przestępców stają się narzędziami wysoce skutecznego ataku. W skład zestawu weszło między innymi narzędzie GC2, które umożliwia atakującym komunikację z przejętymi systemami za pośrednictwem Google Sheets lub Microsoft SharePoint. Tego typu rozwiązania do tej pory widywane były raczej w operacjach prowadzonych przez grupy APT, jak chińska APT41. W atakach ransomware niemal nie występowały. GC2 pozwala nie tylko na zdalne wydawanie poleceń, ale również na cichą eksfiltrację danych — dokładnie to, czego potrzeba przestępcom, którzy chcą uniknąć detekcji. Kolejne narzędzia, takie jak Adapt2x C2 – alternatywa dla powszechnie znanego Cobalt Strike – pozwalają Fog na działania typu post-exploitation. Process Watchdog z kolei to narzędzie, które może monitorować systemy i automatycznie restartować kluczowe procesy, zwiększając odporność ataku na działania obronne. Równolegle wykorzystywane są narzędzia znane z zarządzania plikami, jak 7-Zip, MegaSync czy FreeFileSync – używane tym razem nie do porządkowania folderów, ale do przygotowania danych do kradzieży i bezpiecznego transferu do infrastruktury atakujących. Tradycyjne PsExec i biblioteka Impacket odpowiadają natomiast za zdalne wykonanie złośliwego kodu i rozprzestrzenianie się wewnątrz zaatakowanej sieci.
