Ukrajna orosz megtámadása óta folyamatosan jelentek meg olyan wiper, azaz adattörlő kártevők, amelyek az ukrán kritikus infrastruktúrát támadva szolgáltatás kieséseket, áramszüneteket okoztak. Az adattörlő büntetőrutin azóta már szélesebb körben is bevethető és be is vetett kiberfegyver lett.
Mostani esetünk onnan indul, hogy adott a Trivy nevű eszköz, amely ingyenes és nyílt forráskódú biztonsági szkenner, és kihasználható sérülékenységeket, sebezhetőségeket, hibás konfigurációkat, gyenge-pontokat keres különféle rendszerekben: fájlrendszerek alatt, felhős vagy virtuális környezetben.
Ennek a szolgáltatásnak a webhelyét törték fel, kártékony kódot fecskendeztek a hivatalos verziókba és úgy tűnik, a 0.69.4-5-6 verzióit fertőzték meg kémprogrammal ismeretlen támadók, egyes források szerint a TeamPCP nevű kiberbűnözői csoport.
A rosszindulatú kóddal fertőzött változatokat a GitHub-ról sajnos rengetegen töltötték le, és ezzel váltak kínos adatlopás áldozataivá: Cloud hitelesítési adatok, API kulcsok és tokenek, SSH kulcsok, GitHub tokenek kerültek tömegesen illetéktelen kezekbe. A machináció sajnos azt is lehetővé tette, hogy a letöltési oldalon a visszamenőleges korábbi tiszta változatok linkjeit is az új, fertőzött linkekre írták felül a támadók.
A fertőzött csomagokat letöltő fejlesztők és rendszerek automatikusan megfertőződtek, a kártevő pedig hátsóajtót (backdoor) nyitott a kompromittált rendszereken, amely automatikusan további rendszerekre is képes volt átterjedni.
És itt jön akkor a visszautalás az adattörlésre, ugyanis a malware kapott egy brutális romboló modult is. A kártevő kód célzottan beazonosította és kiválasztotta az iráni rendszereket, ehhez ellenőrzi a megfertőzött számítógép IP címét, időzónáját és nyelvi beállításait. Ha a gép bárhol máshol a világon található, "csak" a hátsó ajtót és kémprogramot kap a nyakába, míg ha történetesen Iránban található, azokon a gépeken már nem csak csendes adatlopás történt, hanem szabotázs szerűen adatokat is törölt, majd újraindította a működésképtelenné vált rendszereket.
Elemzők szerint ez a célzott támadás kísértetiesen hasonlít a korábbi híres-hírhedt államilag támogatott Stuxnet kibertámadáshoz és annak hatásához. A mostani incidens és a hibaelhárítás legrészletesebb leírását itt érdemes elolvasni.
És csak egy érdekesség a végére, hogy már egyetlen API kulcs ellopása milyen lehetetlen helyzetbe tudja hozni az áldozatokat. Most márciusban egy három fejlesztőből álló, mexikói székhelyű startup vállalat akár csődbe is mehet, mert ismeretlen bűnözők a tőlük ellopott Google Gemini API-kulccsal 48 óra alatt 82 ezer dollárt (27 mHUF) költöttek el illetéktelenül, ami a vállalkozás szokásos havi 180 USD-hez (kb. 60 ezer HUF) képest 46 ezer-%-os emelkedés volt.
