Průmyslová kyber-špionáž – malware MontysThree
08.10.2020
Průmyslová kyber-špionáž – malware MontysThree

Odborníci společnosti Kaspersky odhalili sérii precizně zacílených útoků na průmyslové holdingy, ke kterým poprvé došlo už v roce 2018. Sada nástrojů, kterou autoři malwaru původně pojmenovali MT3, dostala od odborníků pojmenování „MontysThree“. Využívá různé techniky, aby se vyhnula detekování, včetně hostování komunikace s řídicím serverem na veřejných cloudových službách. K ukrytí hlavního škodlivého modulu využívá techniku steganografie.

Vládní subjekty, diplomaté a telekomunikační operátoři bývají preferovaným cílem hackerských APT skupin, protože disponují množstvím vysoce citlivých informací. Zacílené špionážní kampaně proti průmyslovým subjektům jsou mnohem vzácnější – ale stejně jako jakékoliv jiné útoky proti průmyslovým firmám mohou mít pro podnikání zničující důsledky. Proto odborníci z Kaspersky velmi rychle reagovali na objevení aktivity MontysThree.

K získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První – loader – se zpočátku šíří pomocí souborů RAR SFX (archivy schopné sebeextrakce), které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy. Jedná se tak o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému. K tomu využívá techniku známou jako steganografie.

Steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor (formát pro ukládání digitálních obrázků). Po zadání správného příkazu použije loader vlastní algoritmus k dešifrování obsahu z pixelového pole a spustí tak škodlivý program.

Hlavní část malwaru využívá k obejití bezpečnostních opatření systému řadu vlastních šifrovacích technik, konkrétně používá algoritmus RSA k šifrování komunikace s řídicím serverem a k dešifrování hlavních „úkolů“ malwaru. Mezi ně spadá vyhledávání dokumentů se specifickými příponami a v konkrétních firemních adresářích. MontysThree je speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.

Shromážděné informace a další komunikace s řídicím serverem jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program. Díky tomu může řídicí server nerušeně provádět příkazy.

MontysThree také používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití nástroje Quick Launch sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací, jako je například internetový prohlížeč.

Odborníkům z Kaspersky se nepodařilo najít žádné podobnosti ve škodlivém kódu ani infrastruktuře s žádnou známou APT skupinou.

„MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů. Celkově se složitost útoku liší modul od modulu, i tak je ale nelze srovnat s nejpokročilejšími APT útoky. Hackeři však používají silné kryptografické standardy a přistupují k důvtipným opatřením, mezi které patří vlastní steganografie. Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje Denis Legezo, člen speciálního týmu GReAT společnosti Kaspersky.