Kenkėjiška sepijos programa toli gražu nėra miela, tai labai pavojinga kompiuterio grėsmė

Kenkėjiška sepijos programa, nepaisant iš pažiūros nekenksmingo pavadinimo, kelia didelę grėsmę mažo biuro ir namų biuro (SOHO) maršrutizatoriams. Pagrindinis jo tikslas yra slaptai stebėti tinklo srautą, einantį per šiuos įrenginius, ir rinkti autentifikavimo duomenis iš HTTP GET ir POST užklausų. Remiantis „Lumen Technologies“ „Black Lotus Labs“ komandos ataskaita, sepijos veikia kaip modulinė kenkėjiška programa, daugiausia dėmesio skiriant autentifikavimo informacijos, perduodamos per maršrutizatoriaus vietinį tinklą (LAN), vagyste. Be to, ji turi galimybę atlikti DNS ir HTTP užgrobimą, kad būtų galima prisijungti prie privačių IP erdvių vidiniame tinkle.

Yra požymių, kad sepijos turi panašumų su kita žinoma kenkėjiška programa, vadinama HiatusRAT, nors kol kas nebuvo pastebėta bendros viktimologijos atvejų. Sepijos veikia mažiausiai nuo 2023 m. liepos 27 d., o naujausia kampanija vykdoma nuo 2023 m. spalio mėn. iki 2024 m. balandžio mėn., daugiausia paveikianti 600 unikalių IP adresų, susijusių su dviem Turkijos telekomunikacijų paslaugų teikėjais.

Pradinis prieigos vektorius, kurį sepijos naudojo siekdamas pažeisti tinklo įrangą, lieka neaiškus. Tačiau kai jis įsitvirtina, jis diegia bash scenarijų, kad surinktų pagrindinio kompiuterio duomenis ir išfiltruotų juos į veikėjo valdomą domeną. Vėliau jis atsisiunčia ir vykdo Sepijos naudingąją apkrovą, pritaikytą maršrutizatoriaus architektūrai. Pažymėtina, kad sepijos daugiausia dėmesio skiria pasyviam tinklo paketų uostymui, kad būtų nukreipti autentifikavimo duomenys, susiję su viešosiomis debesies paslaugomis, tokiomis kaip „Alicloud“, „Amazon Web Services“ (AWS), „Digital Ocean“, „CloudFlare“ ir „BitBucket“, naudojant išplėstinį Berkeley paketų filtrą (eBPF).

Kenkėjiškos programos funkcionalumą valdo taisyklių rinkinys, nuskaitytas iš komandų ir valdymo (C2) serverio, leidžiantis užgrobti srautą, skirtą privatiems IP adresams, arba inicijuoti srauto, nukreipto į viešuosius IP, uostymo funkciją, kad pavogtų kredencialus. Be to, sepijos gali veikti kaip tarpinis serveris ir VPN, perduodami užfiksuotus duomenis per pažeistą maršruto parinktuvą, o tai leidžia grėsmės veikėjams pasiekti tikslinius išteklius naudojant pavogtus kredencialus.

Apibendrinant galima teigti, kad sepijos atspindi sudėtingą pasyvaus pasiklausymo kenkėjiškų programų, skirtų kraštinės tinklo įrangos, evoliuciją, derinant manipuliavimą maršrutu, ryšio užgrobimą ir pasyvaus uostymo galimybes. Jo galimybė pavogti autentifikavimo duomenis ne tik suteikia prieigą prie debesies išteklių, bet ir įsitvirtina tikslinės įmonės debesų ekosistemoje, keldama didelę grėsmę kibernetiniam saugumui.