Logtu

Logtu on yksi kuudesta haittaohjelmauhkasta, jotka on otettu käyttöön osana hyökkäyksiä julkisia laitoksia ja sotilasyrityksiä vastaan useissa Itä-Euroopan maissa sekä Afganistanissa. Nämä uhkaavat kampanjat johtuvat Kiinan tukemasta APT (Advanced Persistent Threat) -ryhmästä, jota kyberturvallisuustutkijat ovat seuranneet nimellä TA428. Uhkatoimijat ovat tutkijoiden mukaan kyenneet tinkimään kymmenistä kohteista. Hakkerit jopa ottivat haltuunsa joidenkin uhriensa IT-infrastruktuurin ja saivat hallintaansa tietoturvaratkaisujen hallintaan suunnitellut järjestelmät.

TA428 loi erityisiä keihäs-phishing-viehesähköposteja, jotka sisälsivät kohdekokonaisuuteen liittyviä tietoja. Joissakin tapauksissa hyökkääjät sisälsivät jopa tietoja, jotka eivät ole julkisesti saatavilla, mikä osoitti heidän sitoutumisensa organisaation rikkomiseen. Hakkerit ovat saattaneet kerätä tiedot aiemmista hyökkäyksistä kohdetta tai sen työntekijöitä vastaan sekä vaarantuneilta yrityksiltä, jotka ovat tehneet tiivistä yhteistyötä valittujen uhrien kanssa. Tietojenkalasteluviestit sisältävät aseistettuja Microsoft Word -asiakirjoja, jotka voivat hyödyntää CVE-2017-11882-haavoittuvuutta ja suorittaa mielivaltaisia koodi.

Logtun tiedot

Logtu on kuuden TA428:n poistaman haittaohjelmauhan joukossa. Se on uhka, joka on havaittu aikaisemmissa hyökkäyksissä, joiden uskotaan tekeneen saman APT-ryhmän. Uhkaan on tehty merkittäviä muutoksia, ja uusimmat versiot ovat välttäneet havaitsemisen dynaamisten tuontien ja XOR-salattujen toimintonimien avulla. Osana käyttöönottoa rikkoutuneelle laitteelle Logtu käyttää prosessin tyhjennystekniikkaa, joka lataa vioittun kirjaston lailliseen ohjelmistoprosessiin järjestelmän prosessin sijaan.

Kun Logtu on täysin aktivoitu, se voi suorittaa monenlaisia häiritseviä toimintoja. Se voi kirjoittaa tietoja valittuihin tiedostoihin, poistaa tiedostoja, hankkia ja suodattaa tiedostotietoja, käynnistää ohjelmia ja luoda prosesseja, tehdä kuvakaappauksia, hankkia luettelon rekisteröidyistä palveluista ja käynnistää tiettyjä palveluita ja paljon muuta. Uhka koskee pääasiassa tiettyjen tietokokonaisuuksien hankkimista, jotka osoittavat kohti hyökkäysten tavoitetta kybervakoiluna.