Geng penggodam yang misterius terdapat pada ragaman rantaian bekalan

Serangan rangkaian bekalan perisian merupakan salah satu bentuk peretasan yang paling berbahaya. Dengan memecah masuk ke rangkaian pemaju dan menyembunyikan kod berniat jahat dalam aplikasi dan kemas kini perisian yang dipercayai oleh pengguna, perampas rangkaian pembekal boleh menyeludupkan perisian berniat jahat mereka ke beratus-ratus ribu komputer atau berjuta-juta dalam satu operasi, tanpa tanda-tanda pelanggaran yang sedikit. Sekarang apa yang muncul sebagai satu kumpulan penggodam telah berjaya menipu itu berulang kali, melakukan serangan hacking rantai bekalan yang dahsyat-dan penggodam telah menjadi lebih canggih dan bersifat sementara ketika mereka pergi.

Sepanjang tiga tahun yang lalu, serangan rangkaian bekalan yang mengeksploitasi saluran pengedaran perisian sekurang-kurangnya enam syarikat yang berbeza kini telah terikat kepada satu kumpulan penggodam yang mungkin berbahasa Cina. Kumpulan ini dikenali sebagai Barium, atau kadang-kadang ShadowHammer, ShadowPad, atau Wicked Panda, bergantung kepada firma keselamatan yang anda tanya. Lebih daripada mungkin pasukan peretas yang diketahui, Barium kelihatan menggunakan serangan rantaian bekalan sebagai alat utamanya. Serangannya semua mengikut corak yang sama: benih jangkitan kepada koleksi mangsa yang besar, kemudian menyusunnya untuk mencari sasaran spionase.

Teknik ini menggangu penyelidik keselamatan bukan sahaja kerana ia menunjukkan keupayaan Barium untuk mengganggu komputer secara besar-besaran tetapi juga kerana ia mengeksploitasi kelemahan dalam model kepercayaan yang paling asas yang mengawal pengguna kod dijalankan pada mesin mereka.

"Mereka meracuni mekanisme yang dipercayai," kata Vitaly Kamluk, pengarah pasukan penyelidikan Asia untuk firma keselamatan Kaspersky. Apabila ia datang kepada serangan rantaian bekalan perisian, "mereka adalah juara ini. Dengan bilangan syarikat yang mereka telah melanggar, saya tidak fikir mana-mana kumpulan lain sebanding dengan orang-orang ini."

Dalam sekurang-kurangnya dua kes-satu di mana ia merampas kemas kini perisian dari pembuat komputer Asus dan satu lagi di mana ia mencemarkan versi alat pembersihan PC CCleaner-perisian yang rosak oleh kumpulan itu telah berakhir pada beratus-ratus ribu komputer pengguna tanpa disengajakan. Dalam kes-kes dan lain-lain, penggodam dengan mudah boleh melepaskan kekacauan yang tidak pernah berlaku sebelum ini, kata Silas Cutler, seorang penyelidik di Chronicle yang dimiliki oleh Chronicle yang telah mengesan penggodam Barium. Dia membandingkan potensi kes itu ke serangan rantaian bekalan perisian yang digunakan untuk melancarkan cyberattack NotPetya pada tahun 2017; dalam kes itu, kumpulan penggodam Rusia merampas kemas kini untuk sekeping perisian perakaunan Ukraine untuk membasmi cacing yang merosakkan dan mengakibatkan kerugian $ 10 bilion kerosakan kepada syarikat di seluruh dunia.

"Jika [Barium] telah mengerahkan cacing ransomware seperti itu melalui salah satu serangan ini, ia akan menjadi serangan yang lebih dahsyat daripada NotPetya," kata Cutler.

Setakat ini, kumpulan itu terfokus untuk mengintip dan bukannya membinasakan. Tetapi rampasan bekalan rantaian yang berulang-ulang itu mempunyai pengaruh buruk yang meluas, kata Kamluk Kaspersky. "Apabila mereka menyalahgunakan mekanisme ini, mereka melemahkan kepercayaan pada teras, mekanisme asas untuk mengesahkan integriti sistem anda," katanya. "Ini lebih penting dan mempunyai kesan yang lebih besar daripada eksploitasi kerapuhan keselamatan atau phishing atau jenis serangan lain. Orang akan berhenti mempercayai kemas kini perisian sah dan vendor perisian."

Petua penjejakan hulu

Kaspersky pertama kali melihat serangan rantaian bekalan peretas Barium dalam tindakan pada bulan Julai 2017, ketika Kamluk mengatakan organisasi mitra meminta penyelidiknya untuk membantu sampai ke dasar kegiatan aneh di rangkaiannya. Sesetengah jenis malware yang tidak mencetuskan amaran antivirus adalah menaikkan kepada pelayan jauh dan menyembunyikan komunikasinya dalam protokol Sistem Nama Domain. Apabila Kaspersky disiasat, ia mendapati bahawa sumber komunikasi itu adalah versi backdoored dari NetSarang, alat pengurusan jauh perusahaan popular yang diedarkan oleh firma Korea.

Lebih membingungkan adalah bahawa versi berniat jahat produk NetSarang menghasilkan tandatangan digital syarikat, persetujuan yang hampir tidak dapat dilupakan. Kaspersky akhirnya menentukan (dan NetSarang mengesahkan) bahawa penyerang telah melanggar rangkaian NetSarang dan menanam kod jahat mereka dalam produknya sebelum ini permohonan itu ditandatangani secara kriptografi, seperti tergelincir sianida ke dalam sebotol pil sebelum meterai tamper-bukti digunakan.

Dua bulan kemudian, firma antivirus Avast mendedahkan bahawa anak syarikatnya Piriform sama-sama telah dilanggar dan alat pembersihan komputer Piriform CCleaner telah didorong oleh serangan rantaian bekalan yang lebih besar secara massal yang menjejaskan 700,000 mesin. Walaupun terdapat kegelapan, Kaspersky mendapati bahawa kod laluan backdoor itu hampir dipadankan dengan yang digunakan dalam kes NetSarang.

Kemudian pada bulan Januari 2019, Kaspersky mendapati bahawa pembuat komputer Taiwan Asus telah menolak kemas kini perisian yang sama backdoored kepada 600,000 mesinnya yang akan kembali sekurang-kurangnya lima bulan. Walaupun kod itu kelihatan berbeza dalam kes ini, ia menggunakan fungsi hash yang unik yang dikongsi bersama dengan serangan CCleaner, dan kod jahat telah disuntik ke dalam tempat yang sama dalam fungsi runtime perisian. "Terdapat cara yang tidak terbatas untuk berkompromi binari, tetapi mereka berpegang dengan satu kaedah ini," kata Kamluk.

Et tu, permainan video?

Apabila Kaspersky mengimbas mesin pelanggannya untuk kod yang mirip dengan serangan Asus, ia mendapati kod itu dipadankan dengan versi permainan video backdoored yang diedarkan oleh tiga syarikat yang berbeza yang telah dikesan oleh firma keselamatan ESET: permainan zombie knockoff yang ironisnya dinamakan Infestasi, penembak buatan Korea yang dipanggil Point Blank, dan ketiga Kaspersky dan ESET menolak untuk menamakan. Semua tanda-tanda menunjukkan empat serangan rantaian bekalan yang berbeza yang dikaitkan dengan penggodam yang sama.

"Dari segi skala, ini kini kumpulan yang paling mahir dalam serangan rantaian bekalan," kata Marc-Etienne Léveillé, penyelidik keselamatan dengan ESET. "Kami tidak pernah melihat perkara seperti ini sebelum ini, ia menakutkan, kerana mereka mempunyai kawalan ke atas sejumlah besar mesin."

"Pengendalian operasi"

Namun, oleh semua penampilan, kumpulan sedang melancarkan jaringnya yang luas untuk mengintip hanya sebahagian kecil komputer yang dikompromikannya. Dalam kes Asus, ia menapis mesin dengan memeriksa alamat MAC mereka, mencari sasaran hanya sekitar 600 komputer daripada 600,000 yang dikompromikan. Dalam insiden CCleaner yang terdahulu, ia memasang sekeping "spyware peringkat kedua" pada hanya kira-kira 40 buah komputer di kalangan 700,000 yang telah dijangkiti. Barium akhirnya menargetkan begitu banyak komputer yang, dalam kebanyakan operasi, para penyelidik tidak pernah mendapat tangan pada muatan malware akhir. Hanya dalam kes CCleaner, Avast menemui bukti sampel spyware peringkat ketiga yang bertindak sebagai keylogger dan kata laluan-pencuri. Itu menunjukkan bahawa kumpulan itu bertekad untuk mengintip, dan penargetannya yang ketat menunjukkan bahawa ia bukan operasi cybercriminal yang berfokuskan keuntungan.

"Tidak boleh dipercayai bahawa mereka telah meninggalkan semua mangsa ini di atas meja dan hanya mensasarkan subset kecil," kata Cutler Chronicle. "Kekangan operasi yang perlu mereka bawa dengan mereka mestilah kualiti tertinggi."

Tidak jelas betapa peretas Barium melanggar semua syarikat yang perisiannya dirampas. Tetapi Kamluk Kaspersky meneka bahawa, dalam beberapa kes, satu serangan rantaian bekalan membolehkan yang lain. Serangan CCleaner, sebagai contoh, disasarkan Asus, yang mungkin telah memberikan akses Barium yang diperlukan untuk kemudian membajak kemas kini syarikat. Ini menunjukkan bahawa penggodam boleh menyegarkan koleksi mesin mereka yang kompromi dengan rampasan bekalan rangkaian yang saling berkaitan, sementara pada masa yang sama menyikat koleksi itu untuk sasaran spionase tertentu.

Cina mudah, trik rumit

Walaupun mereka membezakan diri mereka sebagai salah satu kumpulan penggodam yang paling produktif dan agresif yang aktif hari ini, identiti sebenar Barium masih menjadi misteri. Tetapi penyelidik menyedari bahawa penggodamnya seolah-olah bercakap bahasa Cina, mungkin tinggal di tanah besar China, dan bahawa majoriti sasaran mereka seolah-olah menjadi organisasi di negara-negara Asia seperti Korea, Taiwan, dan Jepun. Kaspersky telah menemui artifak Cina Ringkas dalam kodanya, dan dalam satu kes kumpulan itu menggunakan Google Docs sebagai mekanisme perintah dan kawalan, membiarkan slip petunjuk: dokumen menggunakan template resume sebagai pemegang tempat - mungkin dalam usaha untuk muncul sah dan menghalang Google memotongnya-dan borang itu ditulis dalam bahasa Cina dengan nombor telefon lalai yang termasuk kod negara +86, yang menunjukkan tanah besar China. Dalam serangan rantaian bekalan permainan video yang paling terkini, backdoor penggodam direka untuk mengaktifkan dan menjangkau pelayan arahan dan kawalan hanya jika komputer mangsa tidak dikonfigurasikan untuk menggunakan tetapan Bahasa Cina Ringkas-atau, lebih pelik lagi , Rusia.

Lebih terperinci, petunjuk dalam kod Barium juga menghubungkannya dengan kumpulan penggodam China yang diketahui sebelumnya. Ia berkongsi beberapa cap jari kod dengan kumpulan pengintipan negeri yang ditaja oleh negara China yang dikenali sebagai Axiom atau APT17, yang menjalankan siber secara meluas di seluruh sasaran kerajaan dan sektor swasta yang akan kembali sekurang-kurangnya satu dekad. Tetapi ia juga seolah-olah berkongsi perkakasan dengan kumpulan yang lebih tua yang disebut oleh Kaspersky Winnti, yang juga menunjukkan corak mencuri sijil digital daripada syarikat-syarikat permainan video. Secara membingungkan, kumpulan Winnti lama dianggap sebagai kumpulan penggodam bebas atau jenayah, yang sepertinya menjual sijil digital dicuri mereka kepada penggodam yang berpangkalan di China, menurut analisis oleh Crowdstrike firma keselamatan. "Mereka mungkin menjadi freelancer yang menyertai kumpulan yang lebih besar yang kini memberi tumpuan kepada pengintipan," kata Michal Salat, ketua kecerdasan ancaman di Avast.

Terlepas dari asal usulnya, masa depan Barium yang membimbangkan Kamluk Kaspersky. Beliau menyatakan bahawa malware kumpulan telah menjadi lebih senyap-dalam serangan Asus, kod tercemar syarikat termasuk senarai alamat MAC sasaran sehingga tidak perlu berkomunikasi dengan server perintah-dan-kawalan, yang menghalang pembela jenis isyarat rangkaian yang membolehkan Kaspersky mencari kumpulan selepas serangan NetSarang. Dan dalam kes rampasan permainan video, Barium pergi jauh untuk menanam malware dengan merosakkan versi pengkompil Microsoft Visual Studio yang pemaju permainan menggunakan-pada dasarnya menyembunyikan satu serangan rantaian bekalan di dalam yang lain.

"Terdapat evolusi berterusan kaedah mereka, dan ia berkembang dengan kecanggihan," kata Kamluk. "Apabila masa berlalu, ia akan menjadi lebih sukar dan sukar untuk menangkap orang-orang ini."

Cerita ini pada mulanya muncul di wired.com.

Tonton video itu: 7 HACKER PALING BERBAHAYA & DITAKUTI DI SELURUH DUNIA Ada 1 dari INDONESIA CRACKER (April 2020).