Aki windowsos gépen dolgozik, valószínűleg legalább egyszer kipróbálta a világ egyik legegyszerűbb számítógépes játékát, a Minesweepert, azaz az Aknakeresőt. Az ukrán CERT (Computer Emergency Response Team) a közelmúltban rábukkant a játék egy olyan klónjára, melyet csaliként használva támadhattak európai és amerikai célpontokat, köztük biztosítókat és pénzintézeteket. (Az ukrán nyelvű technikai elemzés itt érhető el.)

A támadás folyamatába több megtévesztő elemet is beépítettek a hekkerek, akiknek a tevékenységét állítólag már figyeli egy ideje az ukrán kibervédelem (a csapatot UAC-0188 néven emlegetik). Az első csel, hogy a támadáshoz egy ismert és gyakran elindított programot használnak. Aztán következik az, hogy első körben a program nem csinál semmi illegálisat, és csak legitim kódokkal operál.

Több legitim kódot is használnak

A támadás első fázisa egy spam. A célszemély kap egy e-mailt a "[email protected]" címről. A levél, amelynek tárgya: "Personal Web Archive of Medical Documents", egy állítólagos orvosi központtól érkezik, arra kéri a címzettet, hogy töltsön le egy 33 megabájt méretű .SCR fájlt a levélben megadott Dropbox linkről.

Ha a megcélzott felhasználó gyanútlan, a linkre kattintva letölti a fájlt, amely a Minesweeper egy Pythonban írt klónjának ártalmatlan futtatható kódját tartalmazza. Ebbe azonban bele van építve egy rosszindulatú Python kód is, amelynek a feladata az, hogy később káros szkripteket töltsön le egy anotepad.com néven futó távoli forrásból. A Minesweeper a letöltött 33 mega kisebb részét adja. A lényeg ugyanis, az a 28 megabájtos base64-kódolású karakterlánc, amelyet a játékkal fedtek el, hogy a biztonsági szoftverek mellett is bejuttathassák a kiszemelt rendszerekbe.

A káros kód elbújtatására még egy módszert bevetettek. A CERT-UK szakemberei a játék kódjában azonosítottak egy olyan rejtett részletet, amelynek a feladata, hogy a célrendszeren dekódolja és végrehajtsa a titkosított kártékony programrészt. A folyamat végén a megtámadott gépre kerül egy ZIP tömörítvény, amely a SuperOps RMM nevű termékének (az elnevezés a Remote Monitoring and Management rövidítése) telepítőjét tartalmazza Windows Installer-formátumban (*.msi).

És ez a következő csel: az RMM ugyanis teljesen legitim, kereskedelmi forgalomban kapható távoli hozzáférési eszköz, viszont a támadók jogosulatlan hozzáféréshez használják. Mivel azonban egy legális szoftverről van szó, önmagában a védelmi rendszerek nem biztos, hogy gyanúsnak találják a jelenlétét, illetve a külvilággal történő kommunikációját. Ezért azoknak a szervezeteknek, melyek nem használják a SuperOps termékét, külön kezelniük kell az RMM-hez kapcsolható hálózati tevékenységet, például a superops.com vagy a superops.ai domain irányába indított hívásokat, és azokat támadásnak kell minősíteniük.

De talán ennél is fontosabb, hogy képzésekkel, tréningekkel folyamatosan növelni kell az alkalmazottak kiberbiztonsági tudatosságát. Egy tudatos felhasználó ugyanis valószínűleg több olyan gyanús momentumot is találna a hekkerek levelében, ami visszatartaná a kattintástól.

Oroszokat gyanítanak a háttérben

A támadások végrehajtásával gyanúsított UAC-0188 csoportot (emlegetik FromRussiaWithLove vagy FRwL néven is) legtöbben az orosz kormányhoz kapcsolják, igaz, erre csak közvetett bizonyítékok vannak.

A kutatók elsősorban arra alapozzák a feltevést, hogy a csapat támadásai összhangban vannak az orosz állami kibertevékenységgel. A hekkercsapat eleve csak 2022-ben, Oroszország Ukrajna ellen indított támadása után tűnt fel és vált aktívvá. Célpontjai között van kritikus infrastruktúra, médiacég éppúgy, mint kormányzati szervezet. Hozzá kötik például a Somnia ransomware-t, melyet elsősorban rombolási céllal használtak, és nem anyagi haszonszerzésre.

_{(Illusztráció forrása: xbox.com)}