PLATINUM se vraća – hakerska grupa koristi steganografiju da neopažano prođe pored bezbednosnih kontrola

security

Istraživači kompanije Kaspersky otkrili su veoma sofisticiranu sajber-špijunažnu kampanju čiji je cilj bio krađa informacija iz južnoazijskih diplomatskih, vladinih i vojnih entiteta. Kampanja je trajala skoro šest godina i povezana je sa drugim nedavnim napadima otkrivenim u ovom regionu. Dublja istraga o alatima i metodama korišćenim u kampanji dovela je istraživače do zaključka da iza napada stoji grupa PLATINUM – akter sajber špijunaže za kog se mislilo da je nestao. Kako bi aktivnost ostala neopažena duže vreme, grupa je svoje informacije šifrirala koristeći tehniku nazvanu steganografija koja skriva činjenicu da informacije uopšte postoje.

Istraživači bezbednosti već neko vreme upozoravaju na opasnosti od steganografije. Steganografija je praksa prenošenja podataka u skrivenom formatu gde je i sama činjenica da se podaci šalju prikrivena. Na taj način se razlikuje od kriptografije koja samo prikriva podatke. Koristeći steganografiju, akteri sajber špijunaže mogu dugo ostati u zaraženom sistemu, a da ne izazovu sumnju. To je metoda koju je koristila grupa PLATINUM, kolektiv koji radi protiv vlada i povezanih organizacija u južnoj i jugoistočnoj Aziji, čija je poslednja poznata aktivnost prijavljena još 2017. godine.

U slučaju novootkrivene operacije grupe PLATINUM, komande malvera su ugrađene u HTML kod veb-sajta. Tasteri „tab“ i „ space bar“ na tastaturi ne menjaju način na koji se HTML kod odražava na veb-stranici, tako da akteri pretnje kodiraju komande u određenom redosledu ova dva tastera. Kao rezultat toga, komande je bilo gotovo nemoguće detektovati u mrežnom saobraćaju, pošto je malver naizgled samo pristupio bezazlenoj veb-stranici koja je bila neprimetna u ukupnom prometu.

Da bi otkrili zlonamerni softver, istraživači su morali da provere programe koji su mogli da prebacuju datoteke na uređaj. Među njima, stručnjaci su primetili jedan koji se ponašao čudno – na primer, pristupio je javnom cloud servisu Dropbox za administraciju i bio je programiran da radi samo u određeno vreme. Istraživači su kasnije shvatili da je to učinjeno kako bi se aktivnost malvera sakrila među procesima koji se obavljaju tokom normalnog radnog vremena, kada to ponašanje ne bi izazvalo sumnju. U stvari, program je povlačio i postavljao podatke i datoteke na i sa zaraženog uređaja.

„U periodu kada se za njihove aktivnosti znalo, kampanje grupe PLATINUM su bile složene i temeljito izrađene. Malver korišćen u ovom napadu nije izuzetak – osim steganografije, imao je i druge karakteristike koje su mu omogućavale da dugo neopažano prolazi pored bezbednosnih kontrola. Na primer, mogao je da prenosi komande ne samo iz komandnog centra, već i sa jednog zaraženog uređaja na drugi. Na ovaj način je moglo da se dođe do uređaja koji su bili deo iste infrastrukture kao i napadnuti uređaji, ali koji nisu bili povezani na internet.

Sve u svemu, činjenica da akteri pretnji kao što je grupa PLATINUM primenjuju steganografiju je znak da napredne uporne pretnje (APT) postaju sofisticiranije kada su u pitanju njihove metode da neopažano prođu pored bezbednosnih kontrola, a vendori bi to trebalo da imaju na umu kada razvijaju svoja bezbednosna rešenja“, rekao je Aleksej Šulmin (Alexey Shulmin), bezbednosni istraživač u kompaniji Kaspersky.

Kako ne biste postali žrtva sofisticiranih operacija sajber špijunaže, kompanija Kaspersky preporučuje preduzimanje sledećih mera:

·        Uvedite obuku za zaposlene koja će podizati svest o bezbednosti i objasniti kako da prepoznaju i izbegnu potencijalno zlonamerne aplikacije ili datoteke. Na primer, zaposleni ne bi trebalo da preuzimaju i pokreću aplikacije ili programe nepouzdanih ili nepoznatih izvora.

·        Za detekciju krajnjeg nivoa, istraživanje i pravovremeno otklanjanje incidenata, uvedite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.

·        Kao dodatak usvajanju neophodne zaštite krajnjih tačaka, uvedite korporativno bezbednosno rešenje koje prepoznaje napredne pretnje na nivou mreže u ranim stadijumima, kao što je Kaspersky Anti Targeted Attack Platform..

·        Obezbedite vašem SOC timu pristup najnovijim informacijama o pretnjama (Threat Intelligence), kako biste bili u toku sa novim i nadolazećim alatima, tehnikama i taktikama koje akteri pretnji i sajber kriminalci koriste.