PLATINUM a revenit – grupul folosește steganografia pentru a nu fi detectat

384

Cercetătorii Kaspersky au descoperit o campanie complexă de spionaj cibernetic, menită să fure informații de la entități diplomatice, guvernamentale și militare din Asia de Sud. Campania a durat aproape șase ani și a avut legături cu alte atacuri recente din regiune.

O investigație mai amplă asupra instrumentelor și metodelor folosite în campanie i-a condus pe cercetători la concluzia că atacatorul este grupul PLATINUM – un atacator de spionaj cibernetic pe care îl crezuseră dispărut. Pentru ca activitatea sa să rămână neobservată o perioadă atât de lungă, grupul a codat informațiile folosind o tehnică denumită steganografie, care ascunde faptul că ar fi transmisă vreo informație.

Cercetătorii în domeniul securității au avertizat mai de mult în legătură cu pericolele steganografiei. Steganografia este practica de a transfera date într-un format ascuns, astfel încât nici să nu fie bănuită existența acestor date. Astfel, diferă de criptografie, care ascunde datele. Folosind steganografia, autorii campaniilor de spionaj cibernetic pot rămâne vreme îndelungată într-un sistem infectat, fără să trezească suspiciuni. Această metodă a fost folosită de grupul PLATINUM, o acțiune colectivă împotriva guvernelor și a organizațiilor care au legătură cu acestea, din Asia de Sud și Sud-Est. Ultima activitate cunoscută a grupului fusese detectată în 2017.

În cazul operațiunii PLATINUM, recent descoperite, comenzile malware erau incluse în codul HTML al unui site. Tastele „tab” și „spațiu” nu schimbă modul în care codul HTML este reflectat pe o pagină web, astfel încât autorii au codat comenzile într-o secvență specifică a acestor două taste. Prin urmare, comenzile erau aproape imposibil de detectat în traficul rețelei, pentru că malware-ului de-abia apărea, ca să acceseze un site care nu era suspect și nu era detectabil în traficul general.

Pentru a detecta malware-ul, cercetătorii au trebuit să verifice programele capabile să încarce fișiere pe dispozitiv. Dintre ele, experții au observat unul care se comporta ciudat – de exemplu, accesa serviciul cloud public Dropbox pentru administrare și era programat să funcționeze doar în anumite momente. Cercetătorii și-au dat seama ulterior că acest lucru se întâmpla pentru a ascunde activitatea malware printre procesele care funcționează în timpul orelor de muncă, atunci când comportamentul său nu ar trezi suspiciuni. De fapt, downloader-ul extrăgea și încărca date și fișiere pe și de pe dispozitivul infectat.

Campaniile cunoscute ale grupului PLATINUM au fost elaborate și realizate atent. Malware-ul folosit în acest caz nu face excepție – în afară de steganografie, avea alte caracteristici care îi permite să funcționeze în secret o perioadă îndelungată. De exemplu, putea să transfere comenzile nu doar din centrul de comandă, ci și de pe un dispozitiv infectat pe altul. Astfel, puteau ajunge pe dispozitive care erau parte din aceeași infrastructură cu cele atacate, dar care nu erau conectate la Internet. În concluzie, implementarea steganografiei de către grupuri ca PLATINUM este un semn că amenințările avansate și persistente își cresc semnificativ complexitatea metodelor pentru a rămâne nedetectate, iar companiile de securitate ar trebui să fie conștiente de acest lucru atunci când își dezvoltă soluțiile de securitate”, spune Alexey Shulmin, security researcher la Kaspersky.

Pentru a reduce riscul de a cădea victimă unor operații complexe de spionaj cibernetic:

  • Introduceți training-uri de conștientizare privind securitatea cibernetică pentru angajați, care să îi  învețe cum să recunoască și să evite aplicații sau fișiere potențial periculoase. De exemplu, angajații nu ar trebui să descarce și să instaleze aplicații sau programe din surse necunoscute sau care nu prezintă încredere.
  • Pentru detecția la nivel endpoint, investigația și remedierea rapidă a incidentelor, implementați soluții EDR (Endpoint Detection and Response).
  • Dați-i echipei SOC acces la cele mai recente rapoarte despre amenințări, pentru a fi la curent cu cele mai noi instrumente, tehnici și tactici ale atacatorilor.
  • Pe lângă adoptarea unei protecții endpoint de bază, folosiți o soluție de securitate pentru companii, care detectează amenințările avansate într-un stadiu incipient – de tipul Kaspersky Anti Targeted Attack Platform.