LOSTKEYS kártevő: Egy alattomos kémprogram, amely a Nyugatot veszi célba
Egy új, LOSTKEYS néven ismert rosszindulatú program vált a politikai felhangú titkos kibertámadások sorozatának kedvelt eszközévé. A LOSTKEYS-t először 2023 végén észlelték, és 2025 elejéig aktív használatban volt. A program az Oroszországhoz köthető COLDRIVER hackercsoport stratégiai váltásának része, amely a magas rangú nyugati személyek és intézmények elleni kiberkémkedési kampányairól ismert.
A tömeges zavarok vagy pénzügyi lopások céljára tervezett hagyományos rosszindulatú programokkal ellentétben a LOSTKEYS-t kifejezetten szelektív, információvezérelt támadásokra tervezték. Elsődleges célja, hogy csendben behatoljon a rendszerekbe, kiszivárogtassa az érzékeny fájlokat, és kulcsfontosságú rendszeradatokat küldjön vissza – mindezt az észlelés elkerülése mellett.
Table of Contents
Mi az a LOSTKEYS?
A LOSTKEYS egy egyedi fejlesztésű kártevő program, amely képes meghatározott fájltípusok kinyerésére az áldozat számítógépén található kijelölt mappákból. A fájlok gyűjtése mellett rendszerinformációkat és futó folyamatokat is továbbít a támadóknak. A LOSTKEYS-t a pontossága különbözteti meg: csak az értékesnek ítélt rendszereket célozza meg, így egyértelműen kémkedésre, nem pedig széles körű feltörésre tervezett eszköz.
A rosszindulatú program neve véletlenszerűségre utalhat, de a telepítése egyáltalán nem az. Megfigyelték már kormányzati tanácsadók, katonai személyzet, újságírók, agytrösztök, nem kormányzati szervezetek és Ukrajnához kötődő személyek elleni támadásokban. Ezen célpontok specifikus és korlátozott hatóköre arra utal, hogy inkább hírszerzésre, mint bűncselekményekből származó haszonszerzésre használják őket.
Hogyan működik?
A fertőzési folyamat egy fejlett társadalmi manipulációval, a ClickFix- szel kezdődik. Az áldozatokat egy hamis CAPTCHA-kihívással csalják egy álcawebhelyre. Abban a hitben, hogy igazolják személyazonosságukat, a felhasználókat arra kérik, hogy másoljanak ki egy PowerShell-parancsot, és futtassák azt a Windows Futtatás párbeszédpanelén keresztül. Ez a parancs indítja el a rosszindulatú program letöltési láncát.
A következő egy többlépcsős folyamat, amelyet az észlelés elkerülésére terveztek. Az első hasznos adat környezeti ellenőrzéseket végez, valószínűleg annak észlelésére, hogy virtuális gépen fut-e – ami gyakori a kártevő-elemző laboratóriumokban. Ha a környezeti ellenőrzések sikeresek, a parancs lekér egy Base64 kódolású szkriptet, amely végül végrehajtja a LOSTKEYS kártevőt. Futás után csendben átvizsgálja a gazdagépet, előre definiált fájltípusokat és könyvtárakat keres, majd elküldi az adatokat egy távoli szerverre.
Ki áll mögötte?
A LOSTKEYS-t a COLDRIVER nevű fenyegetéscsoporthoz kötik, amelyet olyan neveken is nyomon követnek, mint a Callisto, a Star Blizzard és az UNC4057. Ez a csoport hagyományosan hitelesítő adatokkal való adathalászatra támaszkodott, hogy e-mail fiókokhoz férjen hozzá és bizalmas kommunikációt lopjon el. A LOSTKEYS és elődje, a SPICA azonban új irányt jelez: a közvetlen eszközfeltörést és az adatkinyerést.
Biztonsági szakértők megjegyzik, hogy a COLDRIVER jellemzően geopolitikai indítékokkal működik. Céljai és taktikái szorosan illeszkednek az államok által támogatott kémkedési erőfeszítésekhez, és korábbi kampányai során érdeklődést mutatott a nyugati külpolitika, a védelem és a médiaszektor iránt.
Az Elveszett Kulcsok következményei
A LOSTKEYS megjelenése egy nagyobb trendet tükröz a kiberműveletekben: a megtévesztő társadalmi manipuláció és az egyedi fejlesztésű rosszindulatú programok ötvözését a célzott megfigyelés érdekében. Ezek a taktikák finomak, hatékonyak és nehezen követhetők, így az áldozatok gyakran nem is tudják, hogy feltörték őket.
A következmények jelentősek. A kormányzati szervek és az érzékeny kérdésekkel foglalkozó szervezetek, különösen a Kelet-Európához kapcsolódók számára a csendes adatszivárgások kockázata soha nem volt nagyobb. Mivel a LOSTKEYS nem az adatok megsemmisítésére vagy megzavarására, hanem a csendes adatgyűjtésre szolgál, jelenléte hosszú ideig észrevétlen maradhat.
Ráadásul az olyan taktikák, mint a ClickFix, egyre növekvő használata azt mutatja, hogy a támadók hogyan alkalmazkodnak. Ahelyett, hogy megpróbálnák feltörni a megerősített védelmet, az emberi viselkedést használják ki – ráveszik a felhasználókat, hogy maguk futtassanak rosszindulatú parancsokat. Ez a megközelítés számos hagyományos biztonsági ellenőrzést és vírusvédelmet megkerülhet.
Egy szélesebb körű trend
A LOSTKEYS nem elszigetelten működik. Más fenyegetésekben részt vevő szereplők is átvették a ClickFix metódust különböző rosszindulatú programtörzsek, köztük banki trójaiak és Mac-specifikus adatlopók terjesztésére. Az olyan technikákat, mint az EtherHiding , amely rosszindulatú kódot rejt a blokklánc-tranzakciókban, ezekbe a kampányokba rétegezik, ami még nagyobb kihívást jelent a felderítés szempontjából.
Egy kutató nemrégiben leleplezett egy MacReaper nevű hatalmas kampányt, amelyben több mint 2800 legitim weboldalt támadtak meg hamis CAPTCHA oldalak küldésével. Ezek a megtévesztő belépési pontok számos rosszindulatú programcsaládot szolgálnak ki, köztük az Atomic Stealert , amely a macOS rendszereket veszi célba.
Tájékozottság és biztonság
Bár a LOSTKEYS technikai kifinomultsága és kézbesítési mechanizmusai aggasztóak, a legjobb védekezés továbbra is az éberség. A felhasználóknak óvatosnak kell lenniük, amikor ismeretlen parancsok futtatására vagy váratlan webes űrlapokkal való interakcióra kérik őket. A szervezeteknek, különösen azoknak, amelyek érzékeny adatokkal vagy szabályzatokkal foglalkoznak, továbbra is be kell fektetniük a képzésbe, a végpontvédelembe és a fenyegetésfelderítésbe.
A LOSTKEYS emlékeztet arra, hogy a modern fenyegetések gyakran finoman jelennek meg. Nem a zajkeltők, hanem a csendes szereplők jelenthetik a legnagyobb kockázatot a digitális kor biztonságára.
