Kiberdrošības ilustrācija
Populāras antivīrusu un digitālās drošības programmatūras ESET veidotāji ir atklājuši uzbrucējus, kuri izmantoja neseno Windows OS nulles dienu ievainojamību. Tiek uzskatīts, ka uzbrukuma pamatā esošā hakeru grupa veic kiberspiegošanu. Interesanti, ka tas nav tipisks grupas mērķis vai metodoloģija, kas tiek saukta par vārdu “Buhtrap”, un tāpēc ekspluatācija stingri norāda, ka grupa, iespējams, ir pagriezusies.
Slovākijas antivīrusu ražotājs ESET ir apstiprinājis, ka hakeru grupa, kas pazīstama kā Buhtrap, ir aiz nesenās Windows OS nulles dienas ievainojamības, kas tika izmantota savvaļā. Atklājums ir diezgan interesants un satraucošs, jo grupas darbība tika nopietni ierobežota dažus gadus atpakaļ, kad tās galvenā programmatūras koda bāze tika nopludināta tiešsaistē. Kā ziņots, uzbrukumā tika izmantota tikko fiksēta Windows OS nulles dienas ievainojamība, lai veiktu kiberspiegošanu. Tas noteikti attiecas uz jaunu attīstību galvenokārt tāpēc, ka Buhtrap nekad nav izrādījis interesi par informācijas iegūšanu. Grupas galvenā darbība bija naudas zagšana. Toreiz, kad tas bija ļoti aktīvs, Buhtrap galvenie mērķi bija finanšu iestādes un to serveri. Grupa izmantoja savu programmatūru un kodus, lai apdraudētu banku vai klientu drošību, lai nozagtu naudu.
Starp citu, Microsoft tikko ir izdevis plāksteri, lai bloķētu nulles dienas Windows OS ievainojamību. Uzņēmums bija identificējis kļūdu un atzīmējis to CVE-2019-1132 . Plāksteris bija daļa no 2019. gada jūlija Patch otrdienas paketes.
Buhtrap rakursi kibernoziegumos:
ESET izstrādātāji ir apstiprinājuši Buhtrap iesaistīšanos. Turklāt antivīrusu ražotājs pat piebilda, ka grupa bija iesaistīta kiberspiegošanas veikšanā. Tas ir pilnīgi pretrunā ar Buhtrapa iepriekšējiem izmantojumiem. Starp citu, ESET zina grupas jaunākās aktivitātes, taču nav atklājusi grupas mērķus.
Interesanti, ka vairākas drošības aģentūras vairākkārt ir norādījušas, ka Buhtrap nav parasts valsts atbalstīts hakeru apģērbs. Drošības pētnieki ir pārliecināti, ka grupa darbojas galvenokārt no Krievijas. To bieži salīdzina ar citām mērķtiecīgām hakeru grupām, piemēram, Turla, Fancy Bears, APT33 un Equation Group. Tomēr starp Buhtrap un citiem ir viena būtiska atšķirība. Grupa reti atklājas vai uzņemas atbildību par saviem uzbrukumiem atklāti. Turklāt tās galvenie mērķi vienmēr ir bijušas finanšu iestādes, un grupa informācijas vietā izmantoja naudu.
Buhtrap grupa jaunākajās spiegošanas kampaņās izmanto nulles dienu: ESET pētījums atklāj, ka bēdīgi noziedzīgā grupa pēdējos piecus gadus arī veic spiegošanas kampaņas. Buhtrap grupa pēdējās spiegošanas kampaņās nulles dienu izmanto pirmo reizi… https://t.co/mvCyy424cg pic.twitter.com/9OJ6nXZ1sT
- Šahs Šeihs (@ shah_sheikh) 2019. gada 11. jūlijs
Buhtrap pirmo reizi parādījās 2014. gadā. Grupa kļuva pazīstama pēc tam, kad tā gāja pēc daudziem Krievijas uzņēmumiem. Šie uzņēmumi bija diezgan mazi, un tāpēc heists nesniedza daudz ienesīgu atdevi. Tomēr, gūstot panākumus, grupa sāka mērķēt uz lielākām finanšu institūcijām. Buhtraps sāka iet pēc samērā labi apsargātām un digitāli nodrošinātām Krievijas bankām. IB grupas ziņojums norāda, ka Buhtrap grupai izdevās tikt galā ar vairāk nekā 25 miljoniem dolāru. Kopumā grupa veiksmīgi veica reidu apmēram 13 Krievijas bankās, apgalvoja apsardzes kompānija Symantec . Interesanti, ka lielākā daļa digitālo heists tika veiksmīgi izpildīti no 2015. gada augusta līdz 2016. gada februārim. Citiem vārdiem sakot, Buhtrap mēnesī izdevās izmantot apmēram divas Krievijas bankas.
Buhtrap grupas darbība pēkšņi beidzās pēc tam, kad viņu pašu Buhtrap aizmugurējā daļa, tiešsaistē parādījās ģeniāli attīstīta programmatūras rīku kombinācija. Pārskati liecina, ka daži pašas grupas dalībnieki, iespējams, ir nopludinājuši programmatūru. Kamēr grupas darbība pēkšņi apstājās, piekļuve jaudīgajam programmatūras rīku komplektam ļāva uzplaukt vairākām nelielām hakeru grupām. Izmantojot jau pilnveidoto programmatūru, daudzas mazas grupas sāka rīkot savus uzbrukumus. Galvenais trūkums bija milzīgais uzbrukumu skaits, kas notika, izmantojot Buhtrap aizmugurējo durvju.
Kopš Buhtrap aizmugures durvju noplūdes grupa aktīvi pievērsa uzmanību kiberuzbrukumu veikšanai ar pavisam citu nodomu. Tomēr ESET pētnieki apgalvo, ka viņi jau kopš 2015. gada decembra ir redzējuši grupas maiņas taktiku. Acīmredzot grupa sāka mērķēt uz valsts aģentūrām un iestādēm, atzīmēja ESET: 'Vienmēr ir grūti attiecināt kampaņu uz konkrētu dalībnieku, kad viņu rīki 'pirmkods ir brīvi pieejams tīmeklī. Tomēr, tā kā mērķa maiņa notika pirms pirmkoda noplūdes, mēs ar lielu pārliecību vērtējam, ka tie paši cilvēki, kas ir pirmie Buhtrap ļaunprogrammatūras uzbrukumi, kas vērsti pret uzņēmumiem un bankām, ir iesaistīti arī valdības institūciju mērķēšanā. ”
Buhtrapam ir dīvaina evolūcija ... sākot no 25 miljonu dolāru zādzības no Krievijas bankām ... līdz kiberspiegošanas operāciju veikšanai. Vai tas ir bogačova efekts? pic.twitter.com/nuQ7ZKPU1Y
- Catalin Cimpanu (@campuscodi) 2019. gada 11. jūlijs
ESET pētnieki varēja pieprasīt Buhtrap roku šajos uzbrukumos, jo viņi spēja identificēt modeļus un atklāja vairākas līdzības uzbrukumu veikšanā. 'Lai gan viņu arsenālā ir pievienoti jauni rīki un atjauninājumi tiek piemēroti vecākiem, tomēr dažādās Buhtrap kampaņās izmantotā taktika, paņēmieni un procedūras (TTP) visu šo gadu laikā nav dramatiski mainījušies.'
Buhtrap Izmantojiet Windows OS nulles dienas ievainojamību, ko varētu iegādāties tumšajā tīmeklī?
Interesanti atzīmēt, ka Buhtrap grupa Windows operētājsistēmā izmantoja diezgan svaigu ievainojamību. Citiem vārdiem sakot, grupa izvietoja drošības trūkumu, kas parasti tiek apzīmēts kā “nulles diena”. Šie trūkumi parasti nav novērsti un nav viegli pieejami. Starp citu, grupa jau iepriekš ir izmantojusi Windows OS drošības ievainojamību. Tomēr viņi parasti paļaujas uz citām hakeru grupām. Turklāt lielākajai daļai izmantoto izkārtojumu bija Microsoft izdoti labojumi. Ir diezgan iespējams, ka grupa veica meklējumus, lai meklētu nepieietas Windows mašīnas, lai iefiltrētos.
Šis ir pirmais zināmais gadījums, kad Buhtrap operatori izmantoja nenoslēgtu ievainojamību. Citiem vārdiem sakot, grupa izmantoja patieso nulles dienu ievainojamību Windows OS. Tā kā grupai acīmredzami trūka nepieciešamo prasmju, lai atklātu drošības trūkumus, pētnieki ir pārliecināti, ka grupa, iespējams, ir iegādājusies to pašu. Kostins Raiu, kurš vada Kaspersky globālo pētījumu un analīzes komandu, uzskata, ka nulles dienas ievainojamība būtībā ir “privilēģiju paaugstināšanas” kļūda, ko pārdod ekspluatācijas brokeris, kas pazīstams kā Volodya. Šai grupai ir vēsture, kas nulles dienu ekspluatāciju pārdod gan kibernoziegumiem, gan nacionālo valstu grupām.
Buhtraps # Ļaunprātīga programmatūra ar tipisku base64 kodēta izpildāmā faila modeli (un izmēru), kas iestrādāts doc failā. https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6
- march ochsenmeier (@ochsenmeier) 2019. gada 11. jūlijs
Pastāv baumas, kas apgalvo, ka Buhtrapa pagriezienu uz kiberspiegošanu varēja pārvaldīt Krievijas izlūkdienesti. Lai arī teorija nav pamatota, teorija varētu būt precīza. Iespējams, ka Krievijas izlūkdienests vervēja Buhtrapu, lai viņus izspiegotu. Pagrieziena punkts varētu būt daļa no darījuma, lai piedotu grupas iepriekšējos pārkāpumus sensitīvu korporatīvo vai valdības datu vietā. Tiek uzskatīts, ka Krievijas izlūkdienests agrāk ir organizējis tik plašu mērogu, izmantojot trešo personu uzlaušanas grupas. Drošības pētnieki apgalvoja, ka Krievija regulāri, bet neoficiāli pieņem darbā talantīgus cilvēkus, lai mēģinātu iekļūt citu valstu drošībā.
Interesanti, ka vēl 2015. gadā tika uzskatīts, ka Buhtraps ir iesaistīts kiberspiegošanas operācijās pret valdībām. Austrumeiropas un Centrālāzijas valstu valdības regulāri apgalvo, ka krievu hakeri vairākkārt ir mēģinājuši iekļūt viņu drošībā.
Tagi Kiberdrošība
