Pobieraj instalatory programów tylko i wyłącznie z oficjalnej strony producenta. To jedna z pierwotnych zasad bezpieczeństwa sieciowego. W dobie zagrożeń piątej generacji polegającej na kampaniach prowadzonych w jednym czasie w różnych kierunkach i na ogromną skalę, już nie wystarczy przestrzegać tej reguły. Internauci przez ostatnie lata byli poprawnie edukowani, dlatego teraz zwracają większą uwagę na to co i skąd pobierają. Świat nie stoi w miejscu. Cyberzagrożenia nieustannie się zmieniają. Przestępcy częściej niż kiedykolwiek tworzą zmodyfikowane strony oficjalnych produktów i nierzadko włamują się na serwery producentów, aby podmienić legalne oprogramowanie na złośliwą aplikację.

O niemieckim wirusie rządowym FinSpy pisaliśmy kilka dni temu, ponieważ eksperci z firmy Kaspersky podzielili się informacjami o nowych wersjach szpiegowskiego oprogramowania stworzonego przez Niemców. FinSpy podobno został tak zaprogramowany, aby zmniejszyć poziom przestępczości w najbiedniejszych obszarach, gdzie często dochodziło do nadużywania prawa i jego łamania z wykorzystaniem kafejek internetowych. Dzisiaj nikt nie korzysta z publicznych kafejek internetowych, ale zapotrzebowanie na oprogramowanie do inwigilowania jest znacznie większe.

FinSpy - trojan rządowy Niemiec
Szczegóły techniczne o oprogramowaniu FinSPy są na WikiLeaks: https://www.wikileaks.org/spyfiles/files/0/299_GAMMA-201110-FinFisher_Product_Portfolio-en.pdf

FinSpy może szpiegować komputery z systemami Windows, macOS, Linux i nie tylko. Istnieją kompilacje sprzętowe dla ISP, którzy we współpracy z niemieckim rządem mogą monitorować wszystko i wszystkich. Wersje sprzętowe mogą być zainstalowane w sieci operatora. Mogą to też być odpowiedniki mobilne — specjalne walizki z laptopem wyposażonym w centralny system do sterowania zainfekowanymi urządzeniami.

Aby dowiedzieć się więcej o spyware FinSpy, polecamy nasz artykuł pt. „Niemiecki wirus rządowy FinSpy jest coraz bardziej niebezpieczny”.

Złośliwe przekierowania z oficjalnych stron Avast, WinRAR, 7-ZIP, Opera, TrueCrypt, Winbox i innych

Geneza przekierowań rozpoczyna się w 2016 roku od wykrycia złośliwego oprogramowania StrongPity przez firmę Kaspersky. Użytkownicy z Belgii, którzy zamierzali pobrać archiwizator WinRAR ze strony hxxp://winrar[.]be, byli przenoszeni do drugiej oficjalnej strony producenta hxxp://ralrab[.]com/rar/winrar[*].exe za pośrednictwem wstrzykniętych przekierowań HTTP. Niestety łańcuch dystrybucji oprogramowania WinRAR został zainfekowany. Ofiarami byli głównie użytkownicy z Włoch, ponieważ oficjalna witryna winrar[.]it przez jakiś czas zawierała zainfekowaną wersję programu — złośliwy plik instalował ransomware.

Przekierowania nie byłby możliwe, gdyby prawdziwe strony z legalnym oprogramowaniem nie pozwalały na pobieranie treści kanałem jawnym, nieszyfrowanym HTTP (co nawet dzisiaj zdarza się na wielu portalach). Właśnie z tego powodu przestępcą udawało się wykonać klasyczny atak MiTM, zmieniając dla użytkownika zawartość komunikacji sieciowej w sposób niewidoczny.

WinRar winrar[.]it, oficjalna strona z pobieraniem.
winrar[.]it, oficjalna strona z pobieraniem.

Przekierowania były używane do instalowania złośliwego oprogramowania z wielu oficjalnych kanałów dystrybucji aplikacji. Należały do nich:

  • strona producenta antywirusa Avast,
  • wspomniany już WinRAR,
  • strona pobierania 7-ZIP,
  • deweloper przeglądarki Opera,
  • producent aplikacji szyfrującej dyski TrueCrypt,
  • dostawca programu CCleaner,
  • oprogramowanie Winbox do zarządzania Mikrotikami,
  • oraz wiele innych.

Z tego co ustaliliśmy, tylko w jednym przypadku przejęto na jakiś czas kontrolę nad witryną producenta — była to strona winrar.it. W pozostałych przypadkach, aby nastąpiło przekierowanie do fałszywego instalatora, urządzenie użytkownika musiało być wcześniej zainfekowane przez FinSpy.

Do rozprzestrzeniania wirusa wykorzystano też witrynę Download.com — jest to bardzo popularna platforma, którą odwiedzają miliony użytkowników w skali miesiąca.

Kto był w kręgu zainteresowań przestępców?

Prawdopodobnie tylko komputery zainfekowane niemieckim oprogramowaniem szpiegującym FinSpy. Eksperci z Citizen Lab już w marcu tego roku ujawnili liczne próby działalności nieznanej grupy — przypuszczalnie mającej powiązania z tą samą grupą APT, co ujawniona w 2016 roku przez Kaspersky i w roku 2017 przez ESET. Największą zagadką dla badaczy jest to, w jaki sposób przestępcy zdołali uzyskać dostęp do rządowego oprogramowania szpiegowskiego? A może mieli powiązania z niemiecką firmą?

Duża część zainfekowanych urządzeń była zlokalizowana w Turcji oraz w Syrii. Obie grupy internautów połączył dostawca o nazwie Turk Telekom i transgraniczne sieci bezprzewodowe pomiędzy dwoma państwami. W oparciu o publicznie dostępne informacje, ekspertom udało się ustalić, że docelowy adres IP w Syrii obsługiwał użytkowników kurdyjskiej milicji, która była celem tureckiej ofensywy powietrzno-lądowej w styczniu 2018 roku. Kurdowie w walce o niepodległość, przenieśli się na teren zaprzyjaźnionej Syrii, stąd konflikt z Turcją.

Rekomendacje bezpieczeństwa

Jakie działania trzeba podjąć, jeżeli na serwerach, zamiast legalnego oprogramowania, znajdują się podstawione aplikacje-trojany? Istnieją pewne cechy charakterystyczne dla złośliwego oprogramowania. Jest to np. inny rozmiar pliku oraz brak certyfikatu instalatora. Zawsze warto sprawdzać sumy kontrolne pobranych obrazów ISO bądź aplikacji — jeżeli producent podaje do informacji publicznej (co jest dobrą praktyką np. na stronach z obrazami systemu Linux).

Zalecamy przeskanowanie komputerów oprogramowaniem od producentów (ESET Online Scanner i/lub Kaspersky Removal Tool), którzy byli bezpośrednio zaangażowani w kampanię i analizę wykrytego szkodliwego oprogramowania.

W przypadku organizacji, które wykorzystują coraz więcej urządzeń mobilnych oraz funkcjonują w środowiskach wielochmurowych, dane które dawniej były dobrze zabezpieczone i niedostępne, teraz są częścią ruchu internetowego. Aby je chronić, wykorzystywane jest szyfrowanie ruchu, przede wszystkim w formie protokołów SSL i TLS.

W 2018 roku zaszyfrowany ruch stanowił aż 72% całkowitego ruchu internetowego. To niemal 20% więcej niż rok wcześniej. Z jednej strony jest to bardzo pozytywne zjawisko, dzięki któremu zainicjowane transakcje, procesy i dane można z łatwością i bezpiecznie przesyłać tam, gdzie są potrzebne. Z drugiej tworzy ono wyzwania przy wykrywaniu zagrożeń, utrudniając monitorowanie i głęboką inspekcję ruchu sieciowego.

Szyfrowanie może ukryć także ruch szkodliwy, dlatego cyberprzestępcy coraz częściej wykorzystują tę metodę do własnych celów. Dzięki temu unikają wykrycia przy wykradaniu danych lub przemycaniu złośliwego oprogramowania. Wzrost popularności szyfrowanego ruchu może więc zwiększyć szansę na to, że cyberprzestępcy pozostaną w cieniu.

– wyjaśnia Robert Dąbrowski, szef polskiego zespołu inżynierów Fortinet.

Nie wszystkie produkty zabezpieczające rozpoznają najpopularniejszych algorytmów szyfrowania – w niektórych przypadkach część ruchu jest po prostu ignorowana. Tworzy to idealny mechanizm dla przestępców, dzięki któremu mogą rozpowszechniać złośliwe oprogramowanie i wykradać dane.

Ruch szyfrowany wymaga stałej i profesjonalnej inspekcji i nic nie wskazuje na to, żeby w przyszłości miało się to zmienić. Wręcz przeciwnie.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

er4zor pt., 19-07-2019 - 11:34

Dobrym pomysłem jest mieć także rozwiązanie z własnym repozytorium, jak np. Comodo Advanced Endpoint Protection. Wtedy ten problem w ogóle nas nie dotyczy.

Dodaj komentarz