Grundlaget for denne og de efterfølgende artikler, er baseret på Kaspersky Security bulletin 2014 skrevet af David Emm, og her på Tech-Test er vi rigtig glade over, at vi har fået lov til at kigge den igennem som det første medie i Danmark.
Målrettede angreb og malwarekampagner
Det der, ifølge Kaspersky Lab, har fyldt mest rent sikkerhedsmæssigt i 2014 er målrettede angreb, og denne type cyberangreb er nu en etableret del af trusselsbilledet.
En meget kompleks cyberspion-kampagne bærer navnet ’Careto’, hvilket er spansk slang for ’grimt ansigt’ eller ’maske’. Careto var designet til at stjæle følsomme data fra udvalgte organisationer.
Nogle af dem der blev offer for Careto var amerikanske regeringsafdelinger, ambassader, energiselskaber, forskningsinstitutioner, private kapitalvirksomheder og aktivister fra 31 lande rundt om i verden.
Careto indeholdt en meget avanceret bagdørs Trojan, der var i stand til at opfange alle kommunikationskanaler, og opsamle alle data fra inficerede computere – herunder krypteringsnøgler, VPN-konfigurationer, SSH-nøgler, RDP-filer og nogle ukendte filtyper der muligvis kan relateres til militære- og regeringskrypteringsværktøjer.
Koden var meget modulær, og tillod endda angriberne at tilføje nye funktioner på senere tidspunkter.
There are versions of the backdoor for Windows and Mac OS X and we also found references in some modules indicating that there might be versions for Linux, iOS and Android.
Kaspersky Security Bulletin 2014
Kaspersky Labs notere sig, at det meget høje niveau af professionalisme i gruppen der står bag Careto-angreb, er højst usædvanligt for cyberkriminelle grupper, og det kunne være en indikator for, at Careto kunne være en statssponsoreret kampagne.
We believe that the attackers have been active since 2007.
Kaspersky Security Bulletin 2014
Flere statsstøttede malwareangreb
En anden malwarekampagne, som forskere hos G-DATA mener kan være skabt af den russiske efterretningstjeneste, er ’Epic Turla.’ Den har rødder tilbage til malware der blev indentificeret tilbage til 2007, og blev brugt i 2008 til at inficere lokale netværk der blev brugt i amerikanske militæroperationer i Mellemøsten.
Kaspersky Lab har analyseret Epic Turla og har fokuseret på hvordan denne malware bruger usb-nøgler, når data ikke kan sendes direkte over internettet.
Ormen skaber en fil der hedder ”thumb.dll” og smider den på alle usb-drev der er forbundet til den inficerede computer. Hvis usb-drevet så sættes ind i en anden computer, bliver ”thumb.dll” automatisk kopieret over til den nye computer.
Også malware som ’USB Stealer Module’ i Red October, og ældre malware som Gauss og miniFlame gør brug af ”thumb.dll”.
We think it’s likely that there are thens of thousands of USB flash drives around the world containing files called ’thumb.dll’ created by this malware.
Kaspersky Security Bulletin 2014
De cyberkriminelle gør brug af social engineering til at sprede denne malware, og det gør de ved den meget specialiserede disciplin kaldet for spear-phishing, hvor der researches grundigt på bestemte personer, og så bliver der udviklet en mail direkte til dem, med det ene formål at åbne et vedhæftet dokument eller klikke på et link, så malwaren bliver installeret på computeren, og så ejer de den i princippet.
De har også gjort brug af vandhuls-angreb, der udnytter sårbareheder i Java, Adobe Flash og Internet Explorer, de har også narret brugere til at køre en falsk ”Flash player” malwareinstaller. Alt efter, hvad ofrets vaner og interesser er, så er det forskellige websteder han bliver introduceret for, og det kan let være en falsk version af Microsoft Security Essentials som de intetanende ofre bliver præsenteret for.
Men ifølge Kaspersky Lab så er det kun første trin af infektionen at få en bagdør ind på computeren. Den bliver brugt til at udsende en langt mere avanceret bagdør der kendes som ’Cobra/Carbon system’. Det sker dog kun, hvis ofret kan identificeres som en meget værdifuldt offer.
Bankrøverier i cyberspace er en realitet
Vi har for et par år siden i Danmark set, hvordan det er muligt at få stjålet penge, selvom vi bruger NemID. I Danmark var det heldigvis et meget begrænset antal personer der blev ramt, men Kaspersky Labs fortæller at en meget stor europæisk bank blev offer for cyberangreb i 2014, og at kunder fik stjålet for mere end en halv million euro i løbet af bare en uge.
Her brugte de cyberkriminelle en malware der blev døbt ’Luuuk’, opkaldt efter den sti i administratorpanelet som blev brugt i C2-serveren.
Kaspersky var ikke i stand til at opfange selve malwaren, men de mener at det er et såkaldt ’Man-in-the-Browser’ angreb, hvor brugernavne, passwords og engangs-password (OTP) opfanges mens offeret er i netbanken.
Nu kunne der så overføres penge til dæk-konti og senere hentes derfra. Efter Kaspersky Lab begyndte at kigge nærmere på sagen, har de cyberkriminelle nedlagt deres aktivitet, eller måske i virkeligheden flyttet den.
”We believe that this represents a change of infrastructure rather than a complete shutdown of the operation.” (Kaspersky Security Bulletin 2014).
Kaspersky Lab identificerede i alt 190 ofre, de fleste i Italien og Tyrkiet. Den totale sum penge der blev stjålet var mellem €1.700 til €39.000, alt i alt blev der stjålet for €500.000. De pågældende myndigheder blev inddraget i undersøgelserne, og sagen pågår stadig.
Kriminelle med moral
De cyberkriminelle tænker tydeligvis på genbrug, for i 2014 så Kaspersky Lab at flere malwarekampagner fra 2013 blev gen-aktiveret, blandt andet ’MiniDuke’. Den havde fået et lidt andet fokus, og den nye operation fik navnet ’CosmicDuke’ eller ’TinyBaron’.
Her var ofrene regeringer, diplomater, energisektoren, militæret og teleoperatørerne. Men de cyberkriminelle havde her tydeligvis også en vis moral, for de angreb også dem der var involverede i menneskesmugling og salg af ulovlige stoffer, herunder steroider og hormoner.
I sommeren 2014 var det målrettede angreb som Kaspersky kiggede nøje på, ’Crouching Yeti’, der også er kekndt som ’Energetic Bear’. Der har været rygter fremme om, at denne malware kommer fra Rusland, men Kaspersky Lab har ikke set nok beviser på at kunne bekræfte det.
Denne malwarekampagne har kørt siden 2010, og retters sig mod den industrielle sektor, fremstillingsindustrien, farmaceutiske virksomheder, konstruktionsvirksomheder, uddannelse og informationsteknologi.
Kaspersky Lab har til dato identificeret over 2.800 ofre over hele verden.
We have been able to identify 101 different victim organizations – mostly in the United States, Spain, Japan, Germany, France, Italy, Turkey, Ireland, Poland and China.
Kaspersky Security Bulletin 2014
Folkene bag Crouching Yeti bruger forskellige typer af malware, (der alle er designede til at inficere systemer der kører Windows) for at inficere deres ofre, udvide deres rækkevidde indenfor ofrenes organisationer og stjæle hemmelige data.
Angriberne bruger tre forskellige metoder til at inficere deres ofre. De inficerer lovlige software installationspakker så den indeholder en ondsindet dll-fil, de bruger spear-phishing emails og de bruger vandhuls-angreb.
Der er naturligvis sket meget mere, når det handler om den målrettede malware, men dette er et udsnit af noget af det som Kaspersky Lab har set i 2014, og det er nogle af de større operationer – flere der også har været i medierne i løbet af 2014.
I næste afsnit kigger vi nærmere på sårbarheder i hjemmeinstallationer og et par andre steder.
