Na przestrzeni kilku ostatnich lat cyberataki w Syrii stały się bardziej widoczne – spora część aktywności w cyberprzestrzeni była związana właśnie z tym państwem. Syrian Electronic Army, grupa hakerów komputerowych, została powiązana z atakami na znane organizacje, w tym wiele mediów. Na portalach społecznościowych rozprzestrzeniano szkodliwe oprogramowanie w celu uzyskania kontroli nad systemami oraz kradzieży danych uwierzytelniających. Ponadto wykryto niezałataną lukę we Flashu na wielu syryjskich stronach, które zostały zaatakowane kilka miesięcy wcześniej, a twórca narzędzia zdalnej administracji DarkComet wycofał to popularne oprogramowanie po tym, jak pojawiły się doniesienia o powszechnym wykorzystywaniu go w Syrii. Ataki dotykają także użytkowników spoza Syrii, w krajach takich jak Turcja, Arabia Saudyjska, Liban, Palestyna, Zjednoczone Emiraty Arabskie, Izrael, Maroko, Francja oraz Stany Zjednoczone.
Z badania przeprowadzonego przez Kaspersky Lab wynika, że cyberprzestępcy wykorzystują sytuację w tym regionie, aby tworzyć szereg różnych szkodliwych programów potrafiących uzyskiwać dostęp do danych użytkowników. Syryjskie szkodliwe oprogramowanie wykorzystuje w dużej mierze socjotechnikę i zaufanie użytkowników, aby móc szybko rozprzestrzeniać się i infekować systemy. Szkodnik ten zostaje zamaskowany na różne sposoby, w tym pod postacią fałszywych skanerów szkodliwego oprogramowania, aplikacji dla portali społecznościowych, legalnych narzędzi systemowych zawierających trojany oraz darmowych publicznych serwisów współdzielenia plików.
Jak wynika z przeanalizowanych próbek, cyberprzestępcy najczęściej próbowali monitorować system przy użyciu narzędzia do zdalnej administracji Dark Comet, które nie tylko wysyła na zdalny serwer informację o każdym znaku wprowadzonym z klawiatury, ale również sprawia, że zainfekowany system jest podatny na ataki. Wykorzystanie języków programowania wysokiego poziomu oznacza, że twórcy szkodliwego oprogramowania mogą łatwo modyfikować swoje twory, co pozwala, przy minimalnym wysiłku, przetestować nowe szkodliwe kampanie i błyskawicznie skonstruować ataki ukierunkowane. Syryjskie szkodliwe oprogramowanie również ewoluuje i nic nie wskazuje na to, że w najbliższym czasie ulegnie to zmianie.
Przykłady syryjskiego szkodliwego oprogramowania
Cyberprzestępcy powszechnie rozsyłają filmy w celu przyciągnięcia uwagi użytkowników i rozprzestrzeniania szkodliwego oprogramowania. Jednym z przykładów jest film pokazujący zranione ofiary niedawnego ataku bombowego, który miał wzbudzić strach w oglądających i skłonić ich do pobrania szkodliwej aplikacji z publicznego serwisu współdzielenia plików. Plik ten został mocno zaciemniony przy użyciu komercyjnego narzędzia “MaxToCode”, aby zapobiec wykryciu go przez rozwiązania antywirusowe. Po uruchomieniu tego pliku tworzony jest kolejny plik wykonywalny, który komunikuje się z narzędziami zdalnego dostępu. W tym przypadku trojan jest wykorzystywany do wyłączenia części ustawień bezpieczeństwa, rejestrowania znaków wprowadzanych z klawiatury i informacji systemowych oraz odesłania ich po nawiązaniu połączenia z internetem.
Wśród próbek szkodliwego oprogramowania zbadanych przez Kaspersky Lab znajdował się skompresowany zestaw plików znalezionych na popularnym serwisie społecznościowym, które rzekomo zawierały listę aktywistów oraz osób poszukiwanych w Syrii. Znajdował się tam odsyłacz umożliwiający pobranie bazy danych, jednak w rzeczywistości przekierowywał on użytkowników do serwisu współdzielenia plików, w którym znajdował się skompresowany plik (RAR) zawierający szkodliwe oprogramowanie wraz z narzędziem zdalnej administracji wykorzystywanym przez cyberprzestępców.
Fałszywe aplikacje, w tym fałszywe programy antywirusowe, cieszą się popularnością wśród cyberprzestępców. Kalkulatory, moduły ładujące gry itd. są wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania. Jednym z przykładów jest “Ammazon Internet Security” – szkodliwa aplikacja, która próbuje podszywać się pod skaner bezpieczeństwa. Analiza kodu pokazała, że duża część funkcjonalności jest związana z interfejsem programu, nie posiada jednak rzeczywistych funkcji bezpieczeństwa. Nie oferując niczego poza kilkoma przyciskami i chwytliwą nazwą, grupy stojące za syryjskim szkodliwym oprogramowaniem mają nadzieję, że ich cele wpadną w zastawione sidła. Ukradkowe wykonanie narzędzia zdalnej administracji podczas uruchamiania “pakietu bezpieczeństwa” powoduje, że na komputerach ofiar nie ma żadnej ochrony, jest natomiast zainstalowane narzędzie pozwalające na zdalny dostęp do komputera.
Narzędzia wykorzystywane do rozprzestrzeniania szkodliwych programów obejmują komunikatory, które wykorzystują również autorzy syryjskiego szkodliwego oprogramowania. W przeciwieństwie do “Ammazon Internet Security” próbki te nie posiadają interfejsu graficznego ani nawet komunikatu ostrzegającego użytkowników, aby zatroszczył się o swoje bezpieczeństwo – od razu infekują system.
Z badania wynika, że do szpiegowania Syryjczyków stosowane są także legalne aplikacje z osadzonym szkodliwym oprogramowaniem. Oferowanie aplikacji bezpieczeństwa, które chronią przed szpiegostwem, to jedna z wielu technik wykorzystywanych przez grupy tworzące szkodliwe oprogramowanie w celu nakłonienia użytkowników chroniących swoją prywatność, aby wykonali sami zainstalowali podejrzane aplikacje. Przykładem może być wersja oprogramowania Total Network Monitor, która została zmodyfikowana przez cyberprzestępców tak, aby zbierała informacje systemowe, ukrywając jednocześnie całą szkodliwą aktywność do momentu pełnego zainstalowania “legalnego” narzędzia.
Zrozumieć pułapkę
Syryjskie szkodliwe oprogramowanie opiera się w dużej mierze na socjotechnice oraz aktywnym rozwoju wariantów szkodników, które charakteryzują się coraz większą złożonością pod względem technologicznym. Jednak po bliższym zbadaniu większość z tych programów szybko ujawnia prawdziwą naturę. Między innymi dlatego użytkownicy powinni dokładnie sprawdzać, skąd pobierają pliki/aplikacje, i stosować wielowarstwową ochronę. Posiadanie uaktualnionego, skutecznego programu antywirusowego oraz zapory sieciowej powinno być pierwszym krokiem podjętym przez użytkowników, którzy w jakikolwiek sposób korzystają z internetu.
“Połączenie kilku czynników, takich jak socjotechnika, szybki rozwój aplikacji oraz zdalne narzędzia administracji wykorzystywane do przejęcia całego systemu ofiary tworzy niepokojący scenariusz dla niczego niepodejrzewających użytkowników. Sądzimy, że ataki dokonywane przy użyciu syryjskiego szkodliwego oprogramowania nadal będą przeprowadzane, a ich ewolucja będzie miała charakter zarówno jakościowy, jak i ilościowy. Dlatego też użytkownicy – nawet spoza terytorium Bliskiego Wschodu – powinni zachować szczególną ostrożność wobec podejrzanych odsyłaczy, dokładnie sprawdzać, co pobierają, oraz mieć zainstalowane niezawodne i wszechstronne rozwiązanie bezpieczeństwa” – powiedział Ghareeb Saad, starszy badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
W celu zidentyfikowania szkodliwego oprogramowania aplikacja bezpieczeństwa wykorzystuje wykrywanie oparte na sygnaturach lub heurystyce. To pierwsze polega na wyszukiwaniu niepowtarzalnej sekwencji bajtów, która jest typowa dla danego fragmentu szkodliwego kodu, podczas gdy w wykrywaniu heurystycznym szkodliwe oprogramowanie jest identyfikowane na podstawie zachowania aplikacji. W badaniu przeprowadzonym przez Kaspersky Lab zebrano ponad 80 próbek szkodliwego oprogramowania wykorzystywanych do atakowania obywateli syryjskich oraz użytkowników z Bliskiego Wschodu. Chociaż większość z nich było już znanych, cyberprzestępcy wykorzystują szeroki wachlarz narzędzi i technik zaciemniania, aby zmienić strukturę szkodliwego oprogramowania i obejść wykrywanie oparte na sygnaturach. To dowodzi, jak istotne są technologie heurystyczne jeżeli chodzi o ochronę przed tego rodzaju atakami. Rozwiązania bezpieczeństwa firmy Kaspersky Lab wykryły wszystkie próbki z kolekcji dzięki możliwości identyfikowania wariantów znanych rodzajów szkodliwego oprogramowania, a nawet ich nowych rodzin.