Operace TunnelSnake: dosud neznámý rootkit tajně ovládá sítě organizací v Asii a Africe

Odborníci společnosti Kaspersky odhalili operaci TunnelSnake – pokročilý trvalý útok (APT), jímž pachatelé již od roku 2019 napadají diplomatické úřady v Asii a Africe. V rámci této operace využili útočníci dříve neznámý rootkit s názvem Moriya. Tento malwarový program jim umožňuje plně ovládat napadený operační systém, sledovat provoz v síti a skrývat příkazy, jimiž útočníci napadené systémy řídí. Tím pádem měli pod kontrolou sítě napadených organizací po dobu několika měsíců.

Rootkity jsou programy nebo sady softwarových nástrojů, jejichž prostřednictvím útočníci získávají prakticky neomezený tajný přístup k napadenému počítači. Dokonale splynou s operačním systémem a tím pádem je lze jen velmi obtížně odhalit. Microsoft ovšem v uplynulých letech zavedl účinnou ochranu svých systémů, a instalace rootkitu je tudíž podstatně obtížnější než dřív, především v jádru systému. Většina rootkitů pro Windows je tak dnes součástí APT útoků typu TunnelSnake.

Dokáže obejít bezpečnostní řešení

Společnost Kaspersky začala po této operaci pátrat poté, co její bezpečnostní software odhalil přítomnost rootkitu v napadených sítích. Rootkit s názvem Moriya se odhalení velmi účinně bránil především díky dvěma charakteristickým vlastnostem. Za prvé dokáže zachytit a prohledat síťové pakety při přesunu z adresního prostoru jádra Windows, což je prostor v paměti, kde se nachází samotné jádro operačního systému, a tudíž tu fungují jen dobře prověřené a důvěryhodné kódy. Malware sem tím pádem mohl instalovat speciální škodlivé pakety dřív, než je operační systém mohl zpracovat a odhalit.

Druhou výhodou rootkitu bylo, že nekomunikoval s žádnými servery a nežádal si od nich příkazy, což dělá většina backdoor programů. Místo toho příkazy dostával ve speciálně označených paketech ukrytých v běžném síťovém provozu, na nějž instalovaný malware dohlížel. Tím pádem rootkit nevyžadoval centrální uzel (Command and Control), vyhnul se analýze, a tak i znesnadnil sledování.

Rootkit Moriya útočníci zpravidla instalovali skrze mezery v bezpečnostních systémech na zranitelné webové servery ve vyhlédnutých organizacích. V jednom případě použili kód China Chopper, který jim umožnil dálkové ovládání napadeného serveru. Ten pak posloužil k instalaci rootkitu.

Kromě rootkitu pachatelé použili i další nástroje, některé vyrobené na zakázku, jiné známé z jiných útoků čínského původu. Tyto nástroje umožnily útočníkům prohledávat hostingové servery v místních sítích, vyhledávat nové cíle napadení a hromadně šířit škodlivé soubory.

Stojí za útokem čínské skupiny APT?

„Sice jsme nedokázali odhalit konkrétního pachatele, ale cíle útoku i nástroje použité v APT ukazují na známé čínsky hovořící skupiny. Tím pádem lze usuzovat, že i samotný pachatel pochází z čínského prostředí. Kromě toho jsme odhalili i starší verzi rootkitu Moriya použitou při samostatném útoku v roce 2018, což napovídá, že pachatel byl už tehdy aktivní. Profily napadených subjektů i použité nástroje napovídají, že účelem útoku byla špionáž, ačkoli to nemůžeme prohlásit s jistotou – neznáme obsah odcizených dat,“ říká Giampaolo Dedola, bezpečnostní expert globálního výzkumného a analytického týmu (GReAT) společnosti Kaspersky.

“Neustále vylepšujeme systémy ochrany před cílenými útoky a útočníci na to reagují změnou strategie. Utajené operace typu TunnelSnake jsou stále častější, pachatelé dělají všechno pro to, aby je bezpečnostní systémy po dlouhou dobu nedokázaly odhalit. Investují velké částky do útočných nástrojů, nechávají si je vyrábět na míru, nástroje jsou tudíž složitější a hůř se rozpoznávají. Naše objevy ovšem ukazují, že i tyto sofistikované skryté programy a kódy odhalit a zastavit lze. Jde o další etapu věčného zápasu, v němž se výrobci bezpečnostních systémů utkávají s útočníky. Máme-li v tomto zápase vyhrát, musíme i nadále spolupracovat,“ dodal další expert GReAT Mark Lechtik.

Doporučení společnosti Kaspersky, jak předcházet APT útokům

Pravidelně provádějte bezpečnostní kontrolu počítačové infrastruktury v organizaci, snažte se odhalit bezpečnostní mezery a zranitelné systémy.
Instalujte korporátní bezpečnostní řešení s ochranou proti síťovým hrozbám (např. Kaspersky Endpoint Security for Business) a neustále ho aktualizujte, aby dokázalo rozpoznat nejnovější typy malware, například rootkit Moriya.
Nainstalujte si též řešení proti APT útokům a EDR řešení – to umožňuje odhalit potenciální útoky, prozkoumat je a napravit situaci. Zajistěte bezpečnostnímu týmu přístup k nejnovějším informacím o softwarových hrozbách a pravidelná školení. Všechno získáte v rámci služby Kaspersky Expert Security Framework.
Seznamte svůj tým kybernetické bezpečnosti s riziky spojenými s nejnovějšími cílenými hrozbami prostřednictvím online školení Targeted Malware Reverse Engineering, které nedávno vytvořili odborníci společnosti Kaspersky GReAT.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která byla založena v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a uživatelů po celém světě. Komplexní portfolio zabezpečení, jež tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání více než 400 milionů uživatelů a pro 250 000 firemních klientů přinášíme ochranu všeho, co je pro ně v digitální oblasti nejcennější.