Η Ομάδα LuckyMouse επέστρεψε και υπογράφει το κακόβουλο λογισμικό της με νόμιμο πιστοποιητικό

Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab ανακάλυψε διάφορες «μολύνσεις» από ένα άγνωστο Trojan που είχε εμφανιστεί και στο παρελθόν, το οποίο πιθανότατα σχετίζεται με τον κακόφημο απειλητικό φορέα κινεζικής προέλευσης, LuckyMouse. Το πιο ιδιόμορφο χαρακτηριστικό αυτού του κακόβουλου λογισμικού είναι ο προσεκτικά επιλεγμένος driver του, υπογεγραμμένος με νόμιμο ψηφιακό πιστοποιητικό, το οποίο έχει εκδοθεί από εταιρεία που αναπτύσσει λογισμικό σχετικό με την ασφάλεια πληροφοριών.

Η ομάδα LuckyMouse είναι γνωστή για ιδιαίτερα στοχευμένες ψηφιακές επιθέσεις εναντίον μεγάλων οργανισμών σε όλο τον κόσμο. Η δραστηριότητα της Ομάδας θέτει σε κίνδυνο ολόκληρες περιοχές, συμπεριλαμβανομένης της Νοτιοανατολικής και Κεντρικής Ασίας, καθώς οι επιθέσεις της φαίνεται να κρύβουν μια πολιτική ατζέντα. Κρίνοντας από τα προφίλ των θυμάτων και τους προηγούμενους φορείς επίθεσης της Ομάδας, οι ερευνητές της Kaspersky Lab πιστεύουν ότι το Trojan που έχουν ανιχνεύσει θα μπορούσε να χρησιμοποιηθεί για κυβερνητική κατασκοπεία υποστηριζόμενη από έθνη-κράτη.

Το Trojan που ανακαλύφθηκε από τους ειδικούς της Kaspersky Lab «μόλυνε» έναν υπολογιστή-στόχο μέσω ενός driver που κατασκευάστηκε από τους φορείς απειλής. Αυτό επέτρεψε στους επιτιθέμενους να εκτελούν όλες τις συνήθεις εργασίες, όπως εκτέλεση εντολών, λήψη και φόρτωση αρχείων και παρεμπόδιση της κίνησης δικτύου.

Ο driver αποδείχθηκε το πιο ενδιαφέρον μέρος αυτής της εκστρατείας. Για να καταστεί αξιόπιστος, η ομάδα προφανώς έκλεψε ένα ψηφιακό πιστοποιητικό, το οποίο ανήκει σε έναν προγραμματιστή λογισμικού σχετικό με την ασφάλεια πληροφοριών και το χρησιμοποίησε για να υπογράψει δείγματα κακόβουλου λογισμικού. Αυτό έγινε σε μια προσπάθεια να αποφευχθεί η ανίχνευσή της από λύσεις ασφάλειας, καθώς μια νόμιμη υπογραφή κάνει το κακόβουλο λογισμικό να μοιάζει με νόμιμο.

Ένα άλλο αξιοσημείωτο χαρακτηριστικό του driver είναι ότι παρά την ικανότητα του Luckymouse να δημιουργεί το δικό του κακόβουλο λογισμικό, το λογισμικό που χρησιμοποιήθηκε για την επίθεση φαίνεται να είναι ένας συνδυασμός δειγμάτων κώδικα διαθέσιμων στο κοινό από δημόσιες αποθήκες και προσαρμοσμένου κακόβουλου λογισμικού. Μια τέτοια απλή υιοθέτηση ενός έτοιμου προς χρήση κώδικα τρίτου προμηθευτή, αντί να γράψει τον αρχικό κώδικα, εξοικονομεί χρόνο στους προγραμματιστές και καθιστά δυσκολότερη την απόδοση.

Όπως σημειώνει ο Denis Legezo, ερευνητής ασφάλειας στην Kaspersky Lab,

“Μια νέα εκστρατεία της LuckyMouse εμφανίζεται σχεδόν πάντα την ίδια στιγμή που έχει προηγηθεί ένα υψηλού προφίλ πολιτικό γεγονός και το χρονοδιάγραμμα μιας επίθεσης συνήθως προηγείται παγκοσμίων συνόδων κορυφής. Ο φορέας δεν ανησυχεί πολύ για την απόδοση – επειδή τώρα εφαρμόζουν δείγματα κώδικα τρίτου στα προγράμματά τους, δεν είναι χρονοβόρο για αυτούς να προσθέσουν ένα άλλο στρώμα στους droppers τους ή να αναπτύξουν μια τροποποίηση για το κακόβουλο λογισμικό και να παραμείνουν μη ανιχνεύσιμοι”

Η Kaspersky Lab έχει ανέφερει και κατά το παρελθόν ότι ο φορέας LuckyMouse επιτέθηκε σε ένα εθνικό κέντρο δεδομένων για να οργανώσει μια εκστρατεία τύπου waterholing σε επίπεδο χώρας.

Πώς να προστατευθείτε

• Μην εμπιστεύεστε αυτόματα τον κώδικα που εκτελείται στα συστήματά σας. Τα ψηφιακά πιστοποιητικά δεν εγγυώνται την απουσία backdoors.
• Χρησιμοποιήστε μια ισχυρή λύση ασφάλειας, εξοπλισμένη με τεχνολογίες ανίχνευσης κακόβουλων συμπεριφορών που επιτρέπουν την παγίδευση ακόμα και προηγουμένως άγνωστων απειλών.
• Εγγράψτε την ομάδα ασφάλειας της επιχείρησης σας σε μια υψηλού προφίλ υπηρεσία Πληροφόρησης απειλών, ώστε να έχετε έγκαιρη πρόσβαση σε πληροφορίες σχετικά με τις πιο πρόσφατες εξελίξεις στις τακτικές, τις τεχνικές και τις διαδικασίες των εξελιγμένων φορέων απειλής.