SockDetour haittaohjelma

Tiedostotonta ja pistorasiatonta takaoven uhkaa on käytetty tarjoamaan kyberrikollisille takaoven pääsy jo vaarantuneisiin tietokoneisiin. Uhkaa jäljitetään SockDetour-haittaohjelmana, ja sen toiminnasta tiedotettiin Palo Alto Networkin Unit 42:n raportissa.

Heidän havaintojensa mukaan SockDeteour on onnistunut pysymään kyberturvallisuusyhteisön huomaamatta vähintään kolmen vuoden ajan vuodesta 2019 lähtien. Sen päätarkoituksena on toimia toissijaisena takaoven kanavana ja antaa hyökkääjille mahdollisuuden säilyttää läsnäolonsa kohteena olevilla koneilla. Uhka on erittäin vaivalloinen, koska se suorittaa toimintansa lataamalla laillisia palveluprosesseja tiedostottomasti ja väärinkäyttäen niihin liittyvien prosessien aitoja verkkopistokkeita yhdistääkseen ja ylläpitääkseen salattua Command-and-Control (C2, C&C) -palvelinkanavaansa.

Attribuutio ja tavoitteet

Unit 42:n infosec-tutkijat uskovat, että SockDetour on osa APT (Advanced Persistent Threat) -ryhmän uhkaavaa arsenaalia, joka tunnetaan nimellä APT27 tai TiltedTemple. Ryhmä tunnetaan aiemmista toiminnoistaan, jotka kohdistuvat puolustus-, ilmailu-, hallinto-, energia-, teknologia- ja valmistussektoreilla toimiviin yrityksiin ja virastoihin. Haitallisen toiminnan ilmeinen tavoite on kybervakoilu.

SockDetour-tartunnan saaneet kohteet sopivat jo vakiintuneeseen profiiliin. Toistaiseksi haittaohjelma on tunnistettu yhden yhdysvaltalaisen puolustussopimuksen verkosta, kun taas kolmen muun uskotaan olevan hakkereiden kohteena.