SNOWLIGHT kenkėjiška programa: kaip kenkėjiška padermė pabrėžia keitimo taktiką
Artėjanti kibernetinės veiklos banga išryškino kitą SNOWLIGHT kenkėjiškos programos variantą – įrankį, kuris, nors ir nėra naujas kibernetinio saugumo srityje, dabar naudojamas vis sudėtingesniais ir subtilesniais būdais. Ši kenkėjiškų programų atmaina, susijusi su grėsmių subjektų grupe UNC5174 (manoma, kad ji yra susijusi su Kinija), yra platesnio strateginio užpuolikų veikimo pokyčio dalis, derinant pažangias taktikas su laisvai prieinamais įrankiais, padedančiais užmaskuoti jų pėdsakus.
Table of Contents
Į ką jis skirtas?
SNOWLIGHT tapo pagrindiniu komponentu naujai identifikuotoje kampanijoje, skirtoje „Linux“ sistemoms, tačiau su galimybėmis, kurios taip pat taikomos „MacOS“. Ši kampanija taip pat apima mažiau žinomo nuotolinės prieigos įrankio, vadinamo VShell, atvirojo kodo Trojos arklys, diegimą. Nors šie pavadinimai gali skambėti neaiškiai, jų naudojimas reiškia kai ką daugiau susirūpinimo: užpuolikai randa sudėtingesnių būdų įsilieti, todėl gynėjams sunkiau nei bet kada anksčiau atskirti rimtas grėsmes nuo įprasto interneto triukšmo.
Šią kampaniją verta paminėti sąmoningai naudojant atvirojo kodo įrankius, tokius kaip VShell ir SUPERSHELL, dar vienas atakų infrastruktūros komponentas. Naudodami šiuos įrankius grėsmės veikėjai gali išvengti aptikimo ir sumažinti išlaidas bei laiką, reikalingą patentuotai kenkėjiškajai programai sukurti. Dar svarbiau, kad jie gali lengvai užmaskuoti savo veiklą, todėl atakas sunkiau priskirti konkrečioms grupėms ar vyriausybėms.
SNIEGO evoliucija
UNC5174, dar žinomas kaip Uteus arba Uetus, pirmą kartą buvo pastebėtas naudojant SNOWLIGHT atakose, kurios išnaudojo populiarių įmonės įrankių, tokių kaip Connectwise ScreenConnect ir F5 BIG-IP, pažeidžiamumą. Šiomis atakomis buvo siekiama įdiegti C pagrįstą parsisiuntimo programą, kad būtų galima gauti papildomų naudingųjų apkrovų, įskaitant tunelių tvarkymo paslaugas ir atvirkštinio apvalkalo užpakalines duris, tokias kaip GOHEAVY ir GOREVERSE. Abu įrankiai įgalina neteisėtą nuotolinę prieigą ir valdymą – tai šiuolaikinių kibernetinio šnipinėjimo operacijų bruožas.
Tyrėjų teigimu, SNOWLIGHT tarnauja kaip lašintuvas, tam tikra pristatymo sistema VShell. Patekęs į sistemą, SNOWLIGHT gali vykdyti bash scenarijų, kuris diegia slaptus dvejetainius failus, įskaitant DNS registravimo komponentą ir kitą, susietą su Sliver komandų ir valdymo sistema. Šie elementai veikia kartu, kad užtikrintų patvarumą ir palaikytų slaptą ryšį su nuotoliniu serveriu, todėl užpuolikai gali valdyti užkrėstas sistemas nepaliekant daug pėdsakų.
Tai, kas ypač stebina šiuo požiūriu, yra perėjimas prie „be failų“ kenkėjiškų programų. Anksčiau šiais metais pastebėtu atveju VShell įterpiamas tiesiai į atmintį, o ne išsaugomas diske. Šis metodas leidžia išvengti tradicinių aptikimo mechanizmų ir leidžia užpuolikui vykdyti komandas, perkelti failus ir atlikti kitus veiksmus nesuaktyvinant tipiškų aliarmų.
Kenkėjiškų programų kūrimo pasekmės
Šie pokyčiai turi platesnį poveikį. Kibernetinio saugumo ekspertai atkreipia dėmesį į augančią tendenciją, kai vidutiniškai kvalifikuoti priešai dabar gali vykdyti atakas, kurioms anksčiau reikėjo nacionalinės valstybės lygio išteklių. Kai tokie įrankiai kaip VShell ir SNOWLIGHT yra prieinami ir modifikuoti iš viešųjų kodų bazių, kliūtys patekti į rinką mažėja. Dėl to valstybės susivienijusioms grupėms lengviau pasislėpti tarp mažiau įmantrių užpuolikų ir veikti pilkojoje zonoje tarp šnipinėjimo ir nusikalstamumo.
Pasaulinės saugumo agentūros taip pat atidžiai stebi UNC5174 ir panašių grupių veiklą. Pavyzdžiui, Prancūzijos nacionalinė kibernetinio saugumo agentūra ANSSI pranešė, kad užpuolikai, naudojantys panašius įrankius, pasinaudojo kritiniais Ivanti Cloud Service Appliances trūkumais, kad vykdytų savavališką kodą. Ši technika atspindi tai, kas buvo matyti su SNOWLIGHT susijusiose kampanijose, padidindama koordinuotų tarpvalstybinių operacijų tikimybę.
Be to, neseniai Kinijoje pateiktų kenkėjiškų programų kriminalistikos duomenys rodo, kad kenkėjiškų programų ekosistema plečiasi. Artefaktai rodo, kad SNOWLIGHT ir VShell gali taikyti „macOS“ sistemas, kai kurios versijos užmaskuotos kaip teisėta programinė įranga, pavyzdžiui, netikra „Cloudflare“ autentifikavimo programa – tai vis labiau apgaulingų pristatymo būdų požymis.
Šie apreiškimai kyla dėl padidėjusios įtampos ir kaltinimų kibernetiniu šnipinėjimu tarp pasaulinių galių. Pavyzdžiui, Kinijos pareigūnai neseniai apkaltino JAV Nacionalinio saugumo agentūrą organizuojant kibernetines atakas prieš svarbiausią infrastruktūrą ir tokius svarbius įvykius kaip Azijos žiemos žaidynės . Nors tokie teiginiai yra nuolatinių geopolitinių pasakojimų dalis, jie pabrėžia, kaip kibernetinis saugumas susipynė su tarptautiniais santykiais.
Apatinė eilutė
Organizacijoms viskas aišku: budrumas nebėra neprivalomas. Dėl sudėtingų įrankių konvergencijos, atvirojo kodo prieinamumo ir subtilių diegimo metodų tokios grėsmės kaip SNOWLIGHT tampa vis sunkiau aptinkamos ir ilgainiui tampa pavojingesnės. Kibernetinės gynybos strategijos turi greitai prisitaikyti, sutelkiant dėmesį ne tik į žinomus kenkėjiškų programų parašus, bet ir į elgesio aptikimą, atminties kriminalistiką ir aktyvų grėsmių paiešką.
Nors SNOWLIGHT nėra įprastas pavadinimas, pastarųjų atakų metu jos buvimas primena, kad skaitmeniniame amžiuje net ir tyliausios grėsmės gali mesti ilgus šešėlius.
