A Kaspersky kutatói egy sor olyan kimondottan célzott, ipari holdingok ellen irányuló támadást tártak fel, amelyek még 2018-ig nyúlnak vissza. A folyamatosan fennálló fejlett fenyegetések (APT) világában az ilyen támadások sokkal ritkábbak, mint a diplomaták vagy más magas rangú politikai szereplők elleni kampányok. A támadásokhoz használt eszközkészletnek (melyet a malware létrehozói eredetileg az MT3 névvel illettek) a „MontysThree” nevet adta a Kaspersky. Az eszközkészlet többféle technikát használ az észlelés elkerülésére, többek között a vezérlőszerverrel folytatott kommunikációit nyilvános felhőalapú szervereken tárolja, és szteganográfia segítségével rejti el a fő kártékony modult.
A kormányzati szervek, a diplomaták és a telekommunikációs szolgáltatók általában kedvelt célpontjai az APT-knek, ami nem is csoda, hiszen ezek az emberek és intézmények rengeteg szigorúan bizalmas és politikailag érzékeny információval rendelkeznek. Az ipari szervezetek ellen irányuló célzott kémtámadások jóval ritkábbak, de, hasonlóan az iparágak elleni bármely más támadásokhoz, ezek is pusztító hatással lehetnek az üzletmenetre. Ezért aztán amikor a Kaspersky szakemberei felfigyeltek a MontysThree aktivitására, azonnal vizsgálat alá vonták.
Megállapították, hogy a MontysThree egy négy modulból álló malware program telepítésével végzi a kémkedést. Az első – a betöltő – modul olyan RAR SFX fájlok (önkicsomagoló archívumok) segítségével terjed, amelyek az alkalmazottak kontaktlistáihoz, műszaki dokumentációihoz, egészségügyi vizsgálati eredményeihez kapcsolódó neveket tartalmaznak, és ezzel veszik rá az alkalmazottakat a fájlok letöltésére. Ez egyébként egy gyakran alkalmazott célzott adathalászati technika. A betöltő elsődleges feladata azt biztosítani, hogy a malware-t ne észleljék a rendszerben. Ezt a szteganográfia néven ismert technika alkalmazásával éri el.
A szteganográfiát a támadók arra használják, hogy elrejtsék az éppen zajló adatcsere tényét. A MontysThree esetében a fő kártékony payloadot bittérkép-fájlként (digitális képek tárolási formátumaként) álcázzák. A megfelelő parancs megadása esetén a betöltő modul egyedi algoritmus használatával dekódolja a pixelmátrix tartalmát és futtatja a kártékony payloadot.
A fő kártékony payload több különféle saját titkosítási technikát alkalmaz az észlelés kivédésére, nevezetesen egy RSA algoritmussal titkosítja a vezérlőszerverrel folytatott kommunikációt és dekódolja a malware által küldött fő „feladatokat”. Ilyen például egy adott kiterjesztésű dokumentum keresése egy adott vállalati könyvtárban. A MontysThree kimondottan a Microsoft és az Adobe Acrobat dokumentumokat támadja; továbbá képes begyűjteni a képernyőfotókat és „ujjlenyomatot venni” a célpontról (azaz információkat gyűjteni a hálózati beállításokról, a hoszt nevéről, stb.) annak érdekében, hogy kiderüljön: a célpont számot tarthat-e a támadók érdeklődésére.
A begyűjtött információk és a vezérlőszerverrel folytatott egyéb kommunikációk aztán nyilvános felhőalapú szolgáltatóknál, például a Google-ben, a Microsoftnál és a Dropboxban tárolódnak. Ez megnehezíti a kommunikációs forgalom kártékonyként való észlelését, és mivel ezeket a szolgáltatásokat semmilyen antivírus szoftver nem blokkolja, a vezérlőszerver zavartalanul végrehajthatja a parancsokat.
A MontysThree emellett egy egyszerű módszerrel szerzi meg a tartós irányítást a megfertőzött rendszer felett: módosítja a Windows gyorsindítóját. A felhasználók így a tudtukon kívül saját maguk futtatják a malware első modulját minden egyes alkalommal, amikor jogszerű alkalmazásokat, például böngészőket futtatnak a gyorsindító eszköztár használatával.
A Kaspersky más ismert APT-khez képest semmilyen hasonlóságot nem talált a MontysThree kártékony kódjában, de az infrastruktúrájában sem.
„A MontysThree nemcsak azért érdekes, mert ipari holdingokat vesz célba, hanem azért is, mert kifinomult és némileg „amatőr” TTP-ket kombinál. Általánosságban elmondható, hogy a kifinomultság modulról modulra változik, de nem ér fel a legfejlettebb APT-k szintjéhez. Mindenesetre a kitalálói hatékony kriptográfiai szabványokat alkalmaznak, és komoly technikai hozzáértésre utaló módszereket is láthatunk benne – ilyen például az egyedi szteganográfia. De ami talán a legfontosabb: jól látszik, hogy a támadók jelentős energiákat fordítottak a MontysThree eszközkészletének kifejlesztésére, ami arra utal, hogy igencsak elszántak a céljaikat illetően, és hogy ezt nem rövid életű kampánynak szánták” – fejtette ki Denis Legezo, a Kaspersky globális kutató és elemző csapatának szenior biztonsági kutatója.
A MontysThree malware-ről a Securelist weblapon található bővebb információ. A csoporthoz kapcsolódó behatolásra utaló jelekkel, többek között a fájl hashekkel kapcsolatban a Kaspersky fenyegetéselemző portálján érhető el bővebb információ.
A Kaspersky szakértői a következőket javasolják a szervezeteknek a MontysThree-hez hasonló jellegű támadások elleni védekezéshez:
- Részesítsék a munkavállalókat kiberbiztonsági alapismereteket bemutató képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal. Hajtsanak végre szimulált adathalász támadást annak kiderítésére, hogy a dolgozók meg tudják-e különböztetni az adathalász e-maileket a normál e-mailektől.
- A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja egyablakos hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadásos adatokhoz és meglátásokhoz.
- Az incidensek elleni végpontszintű védelemhez, a kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldásokat, például a Kaspersky Endpoint Detection and Response szoftvert.
- Az alapvető végpontvédelem mellett alkalmazzanak olyan nagyvállalati szintű biztonsági megoldást is, amelyik már a korai szakaszban észleli a hálózati szintű fejlett fenyegetéseket, például a Kaspersky Anti Targeted Attack Platformot.
- A vállalati végpontok védelme mellett az ipari végpontok védelméről is gondoskodjanak. A Kaspersky Industrial CyberSecurity megoldása célzott védelmet biztosít a végpontok számára, továbbá hálózatmonitorozást is végez az ipari hálózatban zajló gyanús és potenciálisan kártékony tevékenység felfedése érdekében.