Computerworld magazin 2021.07.07.

ESET WORLD 2021
támadásával próbálják megkárosítani a
kiszemelt iparági szervezetet.
A 2014-től egészen eddig radar alatt
tevékenykedő Gelsemium APT-csoportról
Thomas Dupuy és Matthieu Faou,
malware-kutatók számoltak be. 2020
közepe óta az ESET Research több támadást
elemzett, amelyeket később a Gelsemium
kémkedési csoportnak tulajdonítottak.
Nyomon követve fő kártevő szoftverüket,
a Gelsevirine-t, egészen 2014-ig jutottak
vissza. A támadások célpontjában keletázsiai
és közel-keleti kormányok, vallási
szervezetek, elektronikai gyártók és egyetemek
vannak. Az ESET kutatói úgy vélik,
hogy a Gelsemium áll a BigNox elleni ellátásilánc-támadás
mögött, amelyről korábban
a NightScout műveletként számoltak be.
Az elmúlt év eseményei komoly változásokat
hoztak, és már nincs választási lehetőség
a kormányzati IT-csapatok számára,
kötelező a védelemre fokozottan figyelni.
Emellett a legjobb biztonsági technológiákra,
termékekre és élvonalbeli kutatásokra
van szükség ahhoz, hogy a kormányzatok
képesek legyenek lépést tartani az egyre
nagyobb kihívásokkal.
Nélkülözhetetlen, hogy a kiberbiztonsági
cégek, szakértők továbbra is támogassák
a kormányokat biztonsági hiányosságaik
megszüntetésében és az APT-csoportok
taktikái, technikái és működésük nyomon
követésében a rendelkezésükre álló különböző
végponti észlelésre és reagálásra
képes megoldások által.
Alexis Dorais-Joncas, az ESET Security
Intelligence csoport vezetője a bűnüldöző
szervekkel és a magánvállalkozásokkal
folytatott együttműködésekkel kapcsolatban
elmondta, hogy az ESET szakemberei
naponta több mint 350 ezer új
malware mintát találnak. A nagy számuk,
illetve a fenyegetettségek egyre nehezebb
mélyelemzése miatt a kiberbűnözés ellen
csak nemzetközi összefogásban érdemes
küzdeni. Míg a magánszektor rendelkezik a
megfelelő szaktudással a felderítéshez és
az elemzéshez, addig a bűnüldöző szervek
rendelkeznek a megfelelő jogosultságokkal
és képességekkel ahhoz, hogy felszámolják
ezeket a bűnözői csoportokat.
Ondrej Kubovic, az ESET Security Aware-
ness Specialist szakembere a ransomware
aranylázzal kapcsolatban kifejtette, hogy
bár az egészségügyi intézmények elleni
támadások nem ritkák, a pandémia alatt
pedig kifejezetten megugrott a számuk,
egy németországi kórház elleni akció alatt
pedig haláleset is történt. Az ESET kooperálva
más szervekkel, 2020-ban a botnet
hálózat 94%-át le tudta kapcsolni, ám letartóztatások
híján az elkövetők még aktívak
maradtak.
Gelsenicine
drop
load
Attack vector
drop
Gelsemine
drop
Gelsevirine
contact
C&C server
A három komponens
– Gelsemine, Gelsenicine, Gelsevirine –
működése.
Lukas Stefanko, az ESET kutatója az
android stalkerware rejtett költségeivel
kapcsolatban kifejtette, hogy a mobilos
megfigyelő appos kémkedés egyre gyakoribb
fenyegetésnek bizonyul. Az ESET
telemetriai adatai szerint a megfigyelő-kémkedő
app-észlelések száma 2020-
ban mintegy 48%-kal emelkedett a 2019-es
évhez képest. Érdekesség, hogy néhány
megfigyelő-kémkedő app az alkalmazást
használó zaklató adatait is eltárolja, valamint
azután is tovább gyűjti az áldozatok
adatait, hogy a zaklató már kérte az adatok
törlését, esetenként maga az alkalmazás
gyártója is bizonyos mértékű kockázatnak
van kitéve.
Kiberkémkedés Afrikában
Az ESET fő célja, hogy az egész világon
figyelje és elemezze a támadásokat,
még az afrikai kontinensen is annak
érdekében, hogy könnyebben tudják
felismerni és azonosítani a károkozók
tevékenységeit, hiszen azok eszközei
folyamatosan fejlődnek, így mindig rátalálnak
a leggyengébb láncszemre, amely
sikeressé teszi a támadásokat. Mivel az
elkövetők minden esetben hasonló támadási
taktikákat, technikákat és eljárásokat
(TTP) használnak, így ezeket a leghatékonyabb
figyelni, noha még a közeli földrajzi
régiókban is rendszeresen módosították
az alkalmazott eszközöket, ami azonban
nagyban megnehezítheti a csoportok
nyomon követését.
A támadások során a kiberbűnözők a
szervereken futó programok sebezhetőségeit
kutatják fel és használják ki annak érdekében,
hogy hátsó ajtót telepíthessenek. A
hátsó ajtó szoftver lehetővé teszi a hackerek
számára, hogy a titkosítási módszereket
megkerülve távolról belépjenek a rendszerbe,
ahol titokban érzékeny adatokat,
jelszavakat és más fontos bizalmas információkat
gyűjthetnek és lophatnak el a felhasználóktól.
Ez alól pedig Afrika sem kivétel,
a szakemberek három kampányra
is fényt derítettek az utóbbi öt hónapban.
A sérülékenységekre utazó Lazarus
célpontja számos afrikai ország közlekedési
rendszere volt, haszonszerzés céljából.
A fő kártevő komponensek azonosítása
után bizonyos kódrészletek a 2017 májusában
felbukkant számítógépes vírussal,
a WannaCry-jal mutattak rokonságot
– foglalta össze Adam Burgher, az ESET
fenyegetéskutatási elemzője és Jean-Ian
Boutin, az ESET fenyegetéskutatási vezetője.
A diplomáciai célpontokat támadó TA410
főként a nyugat-afrikai országokban tűnt
fel, és nagy hasonlóságot mutat korábbi
USA-beli kártevőkkel. Szintén főként afrikai
és közel-keleti diplomatákat támad a BackdoorDiplomacy,
amely külügyminisztériumok
hálózatába próbál bejutni, de az is
előfordul, hogy telekommunikációs vállalatok
kerülnek a támadások célkeresztjébe.
A BackdoorDiplomacy képes felismerni a
cserélhető adathordozókat, főleg az USB
flash meghajtókat, melyek tartalmát a fő
meghajtó lomtárába másolja át.
Ami hasonló az esetek mögött, hogy a
célpontok az USA és EU helyett az afrikai
régióra tolódtak, az adathalász levelek
helyett a hátsóajtós behatolást alkalmazták,
az adott bűnözői csoport Windows és Linux
alapú szervereket egyaránt támadott, leginkább
olyan internetes portokon keresztül,
ahol valószínűsíthetően gyenge a fájlfeltöltési
biztonság, illetve javítatlan biztonsági
rések találhatóak a rendszerben. Az áldozatok
egy részét olyan adatgyűjtő fájlokon
keresztül célozták meg, amelyeket cserélhető
adathordozók (valószínűleg USB flash
meghajtók) keresésére terveztek.
14 | | 2021.07.07.