Olyan kártevőt fedezett fel májusban a Palo Alto Networks Unit 42 nevű fenyegetéselemző csoportja, amely 56 vírusirtót cselezett ki. Ez elsősorban annak köszönhető, hogy a támadásban a Brute Ratel Customized Command and Control Centert (BRC4) használták, amit a támadások szimulálását végző ún. red teamek használnak a sérülékenységek feltárásához. A Unit 42 elemzői úgy vélik, hogy a rosszindulatú kódot ennek segítségével hozzák létre és juttatják célba. Az eszközt a Dark Vortex, egy elsősorban a red teamek problémáival foglalkozó kiberbiztonsági blogból kinővő cég fejleszti.

Mint a Unit 42 technikai elemzése írja, noha a Brute Ratel kevésbé ismert, mint a hasonló eszközök, például a Cobalt Strike, rendkívül fejlett eszköz. (A Blackcell egyébként a Cobalt Strike-ról is azt írja, hogy bár szimulált támadásokra fejlesztett keretrendszer penetration testereknek és red teameknek, egyre gyakrabban használják rosszindulatú támadáshoz többek között olyan államilag finanszírozott csoportok, mint az APT29.) A BRC4 a Unit 42 szerint azért is rendkívül veszélyes, mert a végponti észlelési és reagálási (endpoint detection and response, EDR) és víruskereső védelmi eszközök kicselezésére tervezték.

Életrajznak álcázott ISO fájl fertőz

A kártevő egy Roshan Bandara nevű ember önéletrajzként érkezik a megcélzott gépre. Csakhogy szokatlan módon Bandara önéletrajzát ISO-fájlként, azaz lemezképként lehet megnézni. Ha a felhasználó kíváncsi, és rákattint az ISO-ra, az Windows-meghajtóként jelenik meg, és megjelenít egy fájlkezelő ablakot, amelyben egyetlen fájl található, melynek neve Roshan-Bandara_CV_Dialog.

Az állomány első pillantásra teljesen úgy néz ki, mint egy Microsoft Word fájl, csakhogy valójában nem CV. Ha a célszemély dupla kattintással meg akarja nyitni, egy CMD.EXE nyílik meg, és elindul a OneDrive Updater program. Ez automatikusan letölti és telepíti a BRC4-et, amelyen keresztül lényegében azt tesznek a támadók a rendszerben, amit csak akarnak.
 

A támadási séma. Kattinson a képre a nagyobb mérethez! (Forrás: Palo Alto Network)

Fertőzött ISO fájlok alkalmazása korábban sem volt ismeretlen. Mint a The Register írja, az orosz titkosszolgálatokhoz köthető APT29 (a csoportot Cozy Bearként is emlegetik) is használta. A csoportot több kiberbiztonsági elemző kapcsolatba hozta a SolarWinds-támadással.

A Unit 42 elemzése szerint a támadásban használt ISO-t ugyanazon a napon hozták létre, mint a rajta keresztül telepített új BRC4-verziót. Ez a kutatók szerint arra utal, hogy az állami szervek támogatásával működő támadók folyamatosan figyelik a különböző kereskedelmi biztonsági fejlesztéseket, és ha céljaiknak megfelelő fejlesztésekre bukkannak, azonnal beépítik saját eszköztárukba.

Ez fegyver két irányba tüzel

A BRC4 tehát egyfelől valóban eléri a célját, hiszen rámutat a végponti és vírusvédelmek gyengeségére, másfelől rávilágít arra a valós veszélyre, hogy épp a védelmet erősíteni hivatott fejlett kereskedelmi eszközök válhatnak a kiberkémek, bűnözők hatékony fegyverévé.

A Palo Alto Networks elemzőcsapata szerint az eset remélhetőleg még jobban ráirányítja a figyelmet a behatolástesztelő eszközök fejlesztésével és alkalmazásával kapcsolatos etikai problémákra. De természetesen arra is, hogy a védők fegyverzete milyen lemaradásban van a támadók arzenáljához képest.