Operácia In(ter)ception. Týmto názvom bezpečnostná spoločnosť ESET označila veľkú špionážnu akciu vo vojenských a leteckých spoločnostiach, ktorú sa jej podarilo odhaliť a preskúmať.
Vstupnou bránou pre útočníkov sa stala firemne orientovaná sociálna sieť LinkedIn. Jednoduchá správa, ktorá sa tvárila ako legitímna pracovná ponuka spustila lavínu udalostí vedúcich až ku kradnutiu utajovaných informácií či snahe o vymámenie peňazí cez falošnú faktúru. Celé to teda začalo aj skončilo pri peniazoch.
Útok nazvaný Operácia In(ter)ception, prebiehal od septembra do decembra 2019 a cielil špecificky na zamestnancov leteckého a vojenského priemyslu v Európe a na Blízkom Východe.
“Správa bola celkom uveriteľnou ponukou na prácu. Vyzerala, že pochádzala zo známej firmy pôsobiacej v relevantnom sektore. Samozrejme, LinkedIn profil bol falošný a správy zaslané v tejto komunikácii boli škodlivé,” vysvetľuje Dominik Breitenbacher, výskumník spoločnosti ESET, ktorý tento škodlivý kód skúmal a riadil jeho analýzu.
Útočníci vystupovali ako lovci talentov z etablovaných spoločností Collins Aerospace a General Dynamics. Ak obeť nezareagovala na prvú ponuku, útočníci sa pokúsili o opätovné nadviazanie kontaktu, tentokrát už cez chat platformy LinkedIn.
Už samotná komunikácia mohla vzbudiť pochybnosti – obsahovala niekoľko gramatických chýb, celá ponuka znela až príliš dobre na to, aby to bola pravda a v komunikácii bol vytváraný časový tlak na okamžité otvorenie súboru. Podozrivé boli aj inštrukcie pre otvorenie súboru s pracovnou ponukou. Napriek tomu útok uspel.
Malvér k obeti dostávali cez šifrované súbory
Cieľom útočníkov bolo dostať do počítača obete zašifrovaný súbor, ktorý mal byť extrémne lákavou pracovnou zmluvou, no v skutočnosti obsahoval na mieru ušitý škodlivý kód. Kvôli skutočnosti, že súbor bol šifrovaný, nemohol prejsť štandardnou kontrolou, ktorá by odhalila, že niečo nie je v poriadku.
Okrem priamej komunikácie cez LinkedIn na to útočníci išlo aj starou dobrou klasikou – cez e-mail s odkazom na cloudové úložisko OneDrive. V tomto prípade útočníci vytvorili e-mailové účty korešpondujúce s ich falošnými LinkedIn osobami.
Keď adresát otvoril súbor, zobrazil sa zdanlivo nevinný PDF dokument s informáciami o finančnom ohodnotení ponúkanej falošnej pracovnej pozície. Bohužiaľ, súčasne sa do počítača obete stiahol škodlivý kód.
Štandardné overovacie mechanizmy pri takto posielanom súbore nemali príliš veľkú šancu, keďže bol útočníkmi zašifrovaný a zaheslovaný. Heslo na otvorenie samozrejme obeti poslali tiež.
Medzi nástrojmi, ktoré útočníci využili, bol aj na mieru vytvorený viacstupňový škodlivý kód, ktorý sa často vydával za legitímny softvér a upravené verzie open-source nástrojov. Za účelom uskutočnenia viacerých škodlivých úkonov zneužívali útočníci predinštalované Windows nástroje nachádzajúce sa na počítači obete.
„Nami analyzované útoky vykazovali všetky znaky špionáže. Našli sme zároveň niekoľko vecí, ktoré naznačovali prepojenie s neslávne známou kyberskupinou Lazarus.“ povedal Breigenbacher.
Lazarusu sa pripisuje veľký útok na spoločnosť Sony a táto skupina je podozrivá zo šírenia ransomwaru WannaCry. Ten v roku 2017 infikoval mnoho zahraničných prominentných firiem a zdravotných zariadení.
Na základe názvov pracovných pozícií pôvodných cieľov to vyzerá, že útočníci sa zamerali na technické a obchodné informácie. Ukradnuté informácie zasielali z infikovaného systému do Dropboxu.
Analýza malvéru však neprezradila, o ktoré typy súborov mali útočníci presne záujem. Rekonštrukciu tohto prípadu komplikoval aj fakt, že útočníci za sebou zamietli stopy – z infikovaných zariadení odstránili súbory a škodlivý kód, ktorý do nich dostali. Zmazali taktiež falošné LinkedIn profily, ktoré na útok využili.
Pokus s falošnou faktúrou neuspel
V jednom prípade výskumníci objavili dôkaz, že útočníci sa po získaní prístupu k firemným e-mailom obete snažili vytiahnuť peniaze od inej spoločnosti. V korešpondencii našli nedoriešenú komunikáciu ohľadom nezaplatenej faktúry.
Tejto osobe sa teda ozvali z podobnej e-mailovej adresy so žiadosťou o jej uhradenie, samozrejme s odlišným číslom účtu, na ktorý mala byť suma prevedená. Táto firma však kontaktovala obeť na priamo, tá vytušila, že niečo nie je v poriadku a nahlásila komunikáciu ako bezpečnostný incident.
„Tento pokus speňažiť prístup k sieti obete by mal slúžiť ako ďalší dôvod na vytvorenie silných obranných mechanizmov a na zabezpečenie školení zamestnancov o kybernetickej bezpečnosti. Takéto vzdelávanie by mohlo pomôcť zamestnancom spoznať aj menej známe techniky sociálneho inžinierstva, než aké boli použité v Operácii In(ter)ception,“ dodáva Breitenbacher.