„LOSTKEYS“ kenkėjiška programa: slapta šnipinėjimo priemonė, skirta Vakarams
Nauja kenkėjiška programa, žinoma kaip LOSTKEYS , tapo pasirinktu įrankiu virtinėje slaptų kibernetinių operacijų su politiniais atspalviais. Pirmą kartą aptikta 2023 m. pabaigoje ir aktyviai naudojama iki 2025 m. pradžios, LOSTKEYS yra su Rusija susijusios programišių grupuotės COLDRIVER, žinomos dėl savo kibernetinio šnipinėjimo kampanijų, nukreiptų prieš žinomus Vakarų asmenis ir institucijas, strateginio poslinkio dalis.
Skirtingai nuo tradicinių kenkėjiškų programų, skirtų masiniams sutrikdymams ar finansinėms vagystėms, „LOSTKEYS“ yra pritaikyta itin selektyvioms, informacija paremtoms atakoms. Jos pagrindinis tikslas – tyliai įsiskverbti į sistemas, išfiltruoti jautrius failus ir išsiųsti atgal svarbius sistemos duomenis – visa tai išvengiant aptikimo.
Table of Contents
Kas yra LOSTKEYS?
„LOSTKEYS“ yra specialiai sukurta kenkėjiška programa, galinti išgauti tam tikrus failų tipus iš nurodytų aplankų aukos kompiuteryje. Be failų rinkimo, ji taip pat perduoda sistemos informaciją ir vykdomus procesus užpuolikams. „LOSTKEYS“ išskiria tikslumas: ji taikosi tik į vertingomis laikomus sistemas, todėl tai yra įrankis, aiškiai skirtas šnipinėjimui, o ne plataus masto įsilaužimui.
Kenkėjiškos programos pavadinimas gali reikšti atsitiktinumą, tačiau jos diegimas toli gražu nėra toks. Ji buvo pastebėta atakose, nukreiptose prieš vyriausybės patarėjus, kariškius, žurnalistus, analitinius centrus, NVO ir asmenis, susijusius su Ukraina. Konkretus ir ribotas šių taikinių taikymo mastas rodo, kad jie naudojami žvalgybos rinkimui, o ne nusikalstamam pelnui.
Kaip tai veikia?
Užkrėtimo procesas prasideda pažangia socialinės inžinerijos forma, vadinama „ClickFix“ . Aukos viliojamos į masalo svetainę naudojant suklastotą CAPTCHA užklausą. Manydami, kad jie patvirtina savo tapatybę, vartotojai raginami nukopijuoti „PowerShell“ komandą ir paleisti ją „Windows“ dialogo lange „Vykdyti“. Ši komanda inicijuoja kenkėjiškų programų atsisiuntimo grandinę.
Toliau pateikiamas daugiapakopis procesas, skirtas išvengti aptikimo. Pirmasis paketas atlieka aplinkos patikrinimus, greičiausiai norėdamas nustatyti, ar jis veikia virtualioje mašinoje – tai įprasta kenkėjiškų programų analizės laboratorijose. Jei aplinkos patikrinimai sėkmingi, komanda nuskaito „Base64“ užkoduotą scenarijų, kuris galiausiai paleidžia „LOSTKEYS“ kenkėjišką programą. Paleidęs programą, ji tyliai nuskaito pagrindinę sistemą, ieškodama iš anksto nustatytų failų tipų ir katalogų, ir siunčia duomenis į nuotolinį serverį.
Kas už to slypi?
„LOSTKEYS“ buvo priskirta grėsmių grupei „COLDRIVER“, kuri taip pat žinoma tokiais slapyvardžiais kaip „Callisto“, „Star Blizzard“ ir „UNC4057“. Tradiciškai ši grupė pasikliaudavo sukčiavimu gaudydama prisijungimo duomenis, kad pasiektų el. pašto paskyras ir pavogtų slaptą informaciją. Tačiau „LOSTKEYS“ ir jos pirmtakė „SPICA“ žymi naują kryptį: tiesioginį įrenginių pažeidimą ir duomenų išgavimą.
Saugumo ekspertai pažymi, kad COLDRIVER paprastai veikia geopolitiniais motyvais. Jos taikiniai ir taktika glaudžiai susiję su valstybių remiamomis šnipinėjimo pastangomis, o ankstesnės kampanijos parodė susidomėjimą Vakarų užsienio politikos, gynybos ir žiniasklaidos sektoriais.
LOSTKEYS pasekmės
„LOSTKEYS“ atsiradimas atspindi platesnę kibernetinių operacijų tendenciją: apgaulingos socialinės inžinerijos derinimas su specialiai sukurta kenkėjiška programine įranga tiksliniam stebėjimui. Ši taktika yra subtili, veiksminga ir sunkiai susekama, todėl aukos dažnai nežino, kad buvo pažeistos.
Pasekmės yra reikšmingos. Vyriausybinėms agentūroms ir organizacijoms, dirbančioms su jautriais klausimais, ypač toms, kurios susijusios su Rytų Europa, tylaus duomenų nutekėjimo rizika dar niekada nebuvo tokia didelė. Kadangi LOSTKEYS sukurta ne sunaikinti ar sutrikdyti duomenų, o tyliai rinkti, jos buvimas ilgą laiką gali likti nepastebėtas.
Be to, vis dažnesnis tokių taktikų kaip „ClickFix“ naudojimas rodo, kaip užpuolikai prisitaiko. Užuot bandę įsilaužti į sustiprintą apsaugą, jie išnaudoja žmonių elgesį – įtikindami vartotojus patiems vykdyti kenkėjiškas komandas. Toks metodas gali apeiti daugelį tradicinių saugumo kontrolės priemonių ir antivirusinės apsaugos priemonių.
Platesnė tendencija
„LOSTKEYS“ neveikia izoliuotai. Kiti kenkėjiškų programų kūrėjai pritaikė „ClickFix“ metodą, kad platintų skirtingas kenkėjiškų programų atmainas, įskaitant bankininkystės Trojos arklius ir „Mac“ kompiuteriams skirtas duomenų vagystes. Šiose kampanijose diegiamos tokios technikos kaip „EtherHiding“ , kuri paslepia kenkėjišką kodą blokų grandinės operacijose, todėl aptikimas tampa dar sudėtingesnis.
Vienas tyrėjas neseniai atskleidė didžiulę kampaniją, vadinamą „MacReaper“, kurios metu buvo pažeista daugiau nei 2800 teisėtų svetainių, siekiant pateikti suklastotus CAPTCHA puslapius. Šie apgaulingi įėjimo taškai naudojami įvairioms kenkėjiškų programų šeimoms, įskaitant „Atomic Stealer“ , skirtą „macOS“ sistemoms.
Informuotumas ir saugumas
Nors techninis LOSTKEYS ir jo pateikimo mechanizmų sudėtingumas kelia nerimą, geriausia apsauga išlieka budrumas. Vartotojai turėtų būti atsargūs, kai jų prašoma vykdyti nepažįstamas komandas arba sąveikauti su netikėtomis žiniatinklio formomis. Organizacijos, ypač tos, kurios tvarko jautrius duomenis ar politiką, turėtų toliau investuoti į mokymą, galinių įrenginių apsaugą ir grėsmių žvalgybą.
„LOSTKEYS“ primena, kad šiuolaikinės grėsmės dažnai pasireiškia subtiliai. Didžiausią grėsmę saugumui skaitmeniniame amžiuje gali kelti ne triukšmadariai, o tylūs operatoriai.
