Špionážní malware zneužívá populární cloudové služby

Odhalené škodlivé kódy využívá ve svých operacích ATP skupina POLONIUM, které vyvinula vlastní špionážní nástroje. Pro komunikaci s řídícími servery zneužívá běžné cloudové služby, jako jsou Dropbox, OneDrive či Mega. Dosud neznámý malware útočí izraelské organizace.

Podle posledních zjištění bezpečnostních analytiků ze společnosti ESET se ATP (Advanced Persistent Threat - označení pro skupinu útočníků, která se pokročilými technikami snaží získat data konkrétních cílů za účelem kyberšpionáže) skupina POLONIUM, která sídlí v Libanonu, zaměřila výlučně na izraelské cíle. Mezi odvětví, na která se tato skupina zaměřuje, patří strojírenství, IT, právo, komunikace, branding a marketing, média, pojišťovnictví a sociální služby.

APT skupinu POLONIUM poprvé zdokumentovala společnost Microsoft v červnu 2022. Podle ní má tato skupina sídlo v Libanonu a koordinuje své aktivity s dalšími subjekty napojenými na íránské ministerstvo zpravodajských služeb a bezpečnosti.

I přestože mohou být do kyberšpionáže zapojeny také organizace či instituce z jiných států po celém světě včetně České republiky, podle posledních informací je útok geograficky lokalizován pouze na Blízkém východě.

Podle telemetrie společnosti ESET se APT skupina POLONIUM zaměřila na více než desítku izraelských organizací, a to minimálně už od září 2021. Poslední akce skupiny byly přitom zaznamenány v září 2022.

"Podle informací, které jsou k aktivitě skupiny POLONIUM z posledního výzkumu ESET dostupné, skupina operuje pouze v rámci Blízkého východu. Česká republika tak aktuálně není mezi cíli, na které se skupina POLONIUM zaměřuje. Kyberšpionážní aktivita ale samozřejmě nerespektuje hranice jednotlivých států a prakticky u každé země může existovat možnost, že nějaký subjekt na jejím území může s cílem útoku spolupracovat a stát se díky tomuto propojení také obětí. Nic takového ale v tuto chvíli v České republice nepozorujeme,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Útoky umožňují známá cloudová uložiště

ATP skupina POLONIUM je velmi aktivním aktérem, který disponuje rozsáhlým arzenálem malwarových nástrojů, neustále je modifikuje a vyvíjí nové. Společným znakem v použití těchto nástrojů je zneužívání cloudových služeb, jako jsou Dropbox, Mega a OneDrive, ke kontrolní a řídící komunikaci typu C&C (command and control).

Četné verze a změny, které skupina POLONIUM zavedla do svých vlastních nástrojů, vypovídají o nepřetržité a dlouhodobé snaze o špionáž. Podle využívaných nástrojů můžeme usuzovat, že má zájem o sběr důvěrných dat svých obětí. Nezdá se však, že by se skupina zapojovala do sabotážních nebo ransomwarových akcí.

Zpravodajské informace a veřejné zprávy o skupině POLONIUM jsou velmi kusé a omezené, pravděpodobně proto, že útoky skupiny jsou vysoce sofistikované a není znám počáteční vektor kompromitace.

Skupina využívá strašidelná zadní vrátka

Sada nástrojů skupiny POLONIUM se skládá ze sedmi vlastních backdoorů neboli zadních vrátek.

Složení sady nástrojů skupiny POLONIUM:

FlipCreep, TechnoCreep a PapaCreep - přijímají příkazy z řídících serverů útočníků
DeepCreep a MegaCreep - využívají služby Dropbox či Mega pro ukládání souborů
CreepyDrive - zneužívá cloudové služby OneDrive a Dropbox pro řídící komunikaci
CreepySnail - vykonává příkazy přijaté z vlastní infrastruktury útočníků

Skupina POLONIUM také vyvinula několik vlastních modulů, které umožňují špehovat cíle pořizováním snímků obrazovky, zaznamenáváním stisků kláves, špehováním prostřednictvím webové kamery, otevíráním reverzních shellů, exfiltrací souborů a dalšími způsoby.

Většinou jsou škodlivé moduly použité skupinou POLONIUM malé a s omezenou funkčností. V jednom případě útočníci použili jeden modul pro pořizování snímků obrazovky a druhý pro jejich odesílání na C&C server. Podobně útočníci rozdělují funkcionalitu také ve svých škodlivých kódech a rozdělují škodlivé akce do různých malých DLL knihoven.

Za tímto chováním může být domněnka útočníků, že bezpečnostní analytici a specialisté chránící cílovou organizaci nebudou schopni pozorovat celý řetězec útoku a poskládat tak celý vektor útoku z jednotlivých dílčích kroků.