Potao ügyirat - egy kémprogram titkai

2015. augusztus 06. 19:23 - Csizmazia Darab István [Rambo]

Egy oroszországi weboldal olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.

Az ESET kutatói arról számoltak be Operation Potao Express című összefoglalójukban, hogy sikeresen azonosítottak be egy Win32/Potao nevű kártevő családot.

Bár az első verziók mintáit már 2011 óta detektálja számos antivírus megoldás, az okokról, motivációkról és a háttérben zajló folyamatokról idáig csak keveset tudhattunk.

A Potao abba a testre szabott APT (Advanced Persistent Threat) típusú kártevők sorába tartozik, mint amilyen például a célzottan Ukrajnában, Grúziában és Fehéroroszországban kémkedő BlackEnergy (más néven Sandworm, Quedagh) is volt. Az APT-ként ismert támadások a célpont alapos és tudatos kiválasztásánál, a támadás elnyújtott időtartama mellett a hosszú "lappangási" időszakban térnek el a hagyományos kibertámadásoktól.

Az ilyen célzott akciók a klasszikus definíció szerint olyan folyamatos fenyegetést jelentenek, amelyek nagyon kifinomultak, még naprakész védelemmel is nehezen észlelhetőek, és a már korábban említett hosszú ideig tartó - ez akár években mérhető - aktív támadási folyamatot jelentenek. Az elmúlt években világos látható volt, hogy az ilyen célzott támadások egyre növekvő tendenciát mutatnak, és ezt a 2015-ös évre szóló kártevő jóslatok is határozottan körvonalazták.

Az elemzés alapján úgy tűnik, az említett BlackEnergy-hez hasonlóan a Potao kártevő is az orosz illetőségű Sandworm csoport alkotása lehet. Róluk azt lehet tudni, hogy a kiberkémkedés a specialitásuk, és eddig már számos nulladik napi sebezhetőséget kihasználó APT típusú támadás mögött gyanítják őket. A 2013. óta működő bűnszervezet nem csak az ukrán konfliktus idején vett részt akciókban, de többek közt a NATO, a lengyel kormányzat, illetve nyugat-európai kormányzati hivatalok ellen is indított már támadást.

Repertoárjukban emellett különféle energetikai vállalkozások, francia távközlési cégek, és egyéb amerikai vállalatok elleni célzott kémkedés is szerepel.

A kártevő minden felhasználói aktivitást képes volt kikémlelni, így a helyi gép beállításai (proxy, telepített szoftverek, nemrég megnyitott fájlok, stb.) mellett gyűjtötte a böngészési előzményeket, egy fájlkiterjesztési lista alapján a szöveges dokumentumokat is ellopta, a háttérben egy billentyűzet naplózó figyelte a leütéseket, de a vágólap (Clipboard) tartalmát, és a Skype beszélgetéseket is fürkészte.

A fejlett kártevő a támadók távoli irányító szerverével (C&C) 2048 bites titkosított kommunikációt folytatott, hogy ezzel is nehezítse a leleplezést.

A trójai terjesztésénél a klasszikus trükkökkel találkozhattunk, vagyis testre szabott célzott spam levelekkel igyekeztek a címzetteket megtéveszteni. Ezekben a levelekben például sebezhetőséget kihasználó preparált Microsoft Word dokumentumot mellékeltek. A kéretlen levelek különféle témájúak voltak, a hivatalosnak látszóak mellett például az emberi hiszékenységre és anyagiasságra is építettek.

Így volt olyan kampány, amelyben állítólagos befektetőként 500 ezer orosz rubel (körülbelül 2.2 millió forint) befektetését ajánlották fel a címzetteknek, de a pilótajáték rendszerű MMM nevű cég fizetési elszámolást ígérő fájlmelléklet is szerepelt a becsapások között.

Érdekesség, hogy a kártevő 2013-ban esküvői meghívóként is ki volt küldve, 2014-ben pedig Krimi postai szolgáltatásokat ajánlottak benne a címzetteknek. Az ESET 2015 márciusában figyelt fel arra, hogy ukrán kormányzati és katonai szervezetek, valamint a legnagyobb ukrán hírügynökségek irányába indult el tömeges és intenzív támadási hullám.

Ezekben már aztán a politikai vonal még intenzívebben jelen volt, így a csalárd mellékletek részleteket ígértek az ukrán hadifoglyokról, a szolgálatból felmentett magas rangú katonai vezetők listáját ajánlották fel, illetve az anti terrorista akciók során lefoglalt eszközökről ígértek információkat az üzenetek mellékletében. De a spam vonalon kívül az Autorun vírus módszerét is alkalmazták, tehát különféle külső USB eszközök segítségével is terjedt, sőt telefonos SMS üzenetben is küldtek ki kártékony link hivatkozásokat.

A Potao vizsgálata során az egyik legérdekesebb felfedezés kétségkívül az volt, hogy a 2014-ben sajnos megszűnt nyílt forráskódú titkosító szoftver, a népszerű TrueCrypt egy orosz nyelvű lokalizált változatába is belerejtették a kártevőt, így aki a truecryptrussia.ru weboldalról töltötte azt le, az már egy kémkedő trójaival megfertőzött telepítő csomagot kapott.

A hátsó ajtón keresztül a csalók később bármit képesek voltak rejtve megtenni: jelszavakat lophattak, képernyőmentéseket készíthettek, állományokat tölthettek le- és fel, távoli parancsokat és utasításokat futtathattak az áldozatok gépén. Ez utóbbi változatok egy részét Win32/FakeTC néven észlelik az ESET programjai.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_Epikurosz_ 2015.08.07. 18:31:00

A célpontok alapján: ez nem bűnszervezet, hanem az orosz állam.

Az feltűnt, hogy amikor Kaszperszki fiát elrabolták, utána a nyilatkozata hangneme nyugtatgató-örvendező volt, egészen pontosan azt mondta, hogy ó, ezek csak váltságdíjat akartak, azt kifizettem, a fiammal pedig jól bántak. Nézd meg Kaszperszki nyilatkozatait és felfedezéseit azóta, néhol találsz olyat, hogy csúsztat a hangnemen.
süti beállítások módosítása