Snahy získať prístup do vládnych systémov krajín NATO pokračujú

Bezpečnostní experti z Cisco Talos varujú pred novými kybernetickými útokmi cielenými na vlády členských krajín NATO.

Odborníkom spoločnosti Cisco (najväčší výrobca sieťových komponentov a hardvéru) sa podarilo odhaliť nový relatívne sofistikovaný spôsob, akým sa niekto snažil získať prístup do vládnych počítačov či sietí.

Vzhľadom na jeho priebeh, útok nazvali „Matrioška“. Nástrojom na jeho uskutočnenie bol špeciálne upravený textový dokument so skrytým obsahom. Útočníci si ho nevymysleli, ale použili existujúcu správu NATO z oficiálnej stránky Aliancie. Nimi vytvorený dokument sa potom šíril hlavne mailovou komunikáciou.

Sofistikovanosť útoku podľa Cisca spočívala v tom, že nešlo o jednoduchý skrytý kód v dokumente (makro, skript), ale o postupnosť viacerých  vložených objektov (obrázok, graf, videosúbor), pričom nasledujúci je skrytý v predchádzajúcom, ako figúrky v matrioške. Po vykonaní všetkých krokov, sa aktivoval kód, ktorý sa pripojil na riadiaci server. Naň potom zaslal informácie o napadnutom systéme (verziu operačného systému, verziu nainštalovaného Adobe Flash softvéru atď.).

Pre útočníka sú tieto dáta veľmi cenné, pretože mu umožňujú rozoznať, či ide o reálny fyzický počítač alebo o virtuálny (prípadne o bezpečnostné sandboxové riešenie). Virtuálne stroje sú často používané pri analýze podobných podozrivých dokumentov. Potencionálny škodlivý kód  nechajú pracovať a podrobne sledujú, čo presne robí. Ak má riadiaci server podozrenie , že malvér natrafil práve na takýto virtuálny počítač, jednoducho neodpovie a skript ukončí svoju činnosť. No ak vyhodnotí že systém je reálny, skript stiahne ďalší malvér, pomocou ktorého už útočník získa plný prístup.

Na opatrnosť autorov a ich snahu čo najviac znepríjemniť bezpečnostným expertom ich prácu poukazuje aj to, že keď sa keď ich aktivity dostali do povedomia, zmenil taktiku. Čoraz viac firiem totiž začalo testovať ich škodlivý dokument (zvýšil sa počet komunikácii s riadiacim serverom). Preto finálny balíček, ktorý predtým obsahoval škodlivý kód, nahradili relatívne veľkým množstvom nezmyselných údajov. Tie mali za úlohu buď preťažiť menej sofistikované virtuálne riešenia, alebo jednoducho zamotať výskumníkom hlavy.

Ako uzatvára tím Cisca na svojom blogu, cieľom útoku bolo hlavne vykonať prieskum možných záujmových počítačov a pritom sa vyhnúť virtuálnym a sandboxovým bezpečnostným riešeniam. Sofistikovanosť tkvela aj v tom, že škodlivý dokument obsahoval len kód, ktorý sa mal pripojiť na riadiaci server. Až vtedy došlo k stiahnutiu škodlivého skriptu. Keďže dokument samotný škodlivý kód neobsahoval, bolo pravdepodobnejšie, že unikne pozornosti bezpečnostných softvérov.

(JF)