„ApolloShadow“ kenkėjiška programa
„ApolloShadow“ yra sudėtinga kenkėjiškų programų atmainą, naudojamą kibernetinio šnipinėjimo kampanijose, kurias vykdo grėsmės subjektas, žinomas kaip „Secret Blizzard“. Ši grupuotė, manoma, priklauso Rusijos federalinei saugumo tarnybai (FSB), yra siejama su keliais kitais kodiniais pavadinimais, įskaitant ATG26, „Blue Python“, „Snake“, „Turla“, „Uroburos“, „VENOMOUS BEAR“, „Waterbug“ ir „Wraith“. Kenkėjiška programa aktyviai naudojama operacijose, nukreiptose prieš jautrius subjektus Maskvoje, mažiausiai nuo 2024 m., ir yra aiškių požymių, kad šios kampanijos toliau plėsis.
Turinys
Individualizuota grėsmė: „ApolloShadow“ kilmė ir galimybės
„ApolloShadow“ yra specialiai sukurta kenkėjiška priemonė, skirta šnipinėjimui. Jos diegimas susijęs su kampanijomis, nukreiptomis prieš diplomatines institucijas ir kitas didelės vertės organizacijas, ypač tas, kurios naudojasi Rusijos interneto ir telekomunikacijų paslaugomis. Kenkėjiška programa platinama naudojant pažangius „priešininko tarp jų“ (AiTM) metodus, kai užpuolikai perima ryšį tarp aukos ir teisėtų paslaugų.
Naujausiose „ApolloShadow“ kampanijose „AiTM“ technika buvo įdiegta interneto paslaugų teikėjo (IPT) lygmeniu. Aukos buvo nukreipiamos per fiksuotą portalą, sukurtą imituoti teisėtą „Windows“ elgesį. Kai suveikė „Windows“ testo ryšio būsenos indikatorius, vietoj standartinio patvirtinimo puslapio vartotojas buvo nukreipiamas į užpuolikų kontroliuojamą domeną. Dėl šio nukreipimo buvo parodytas raginimas įdiegti suklastotą šakninį sertifikatą, dažnai užmaskuotą kaip patikimas saugos programas, kad būtų pradėta užkrėtimo grandinė.
Apsaugos pažeidimas: kaip „ApolloShadow“ pažeidžia įrenginius
Šakninio sertifikato įdiegimas yra esminis momentas, suteikiantis „ApolloShadow“ prieigą prie sistemos. Kai sertifikatas aktyvuojamas, jis atlieka kelias operacijas:
- Renka įrenginio ir tinklo informaciją, įskaitant IP adresus.
- Bandoma gauti administratoriaus teises naudojant netikrą vartotojo abonemento valdymo (UAC) raginimą. Stebėtais atvejais diegimo programa buvo pavadinta „CertificateDB.exe“.
- Rodo klaidinančius iššokančius langus, rodančius, kad diegiami sertifikatai.
Gavusi didesnes teises, kenkėjiška programa padaro užkrėstą įrenginį aptinkamą vietiniame tinkle. Tada ji bando susilpninti sistemos apsaugą pakeisdama užkardos nustatymus ir įgalindama failų bendrinimą. Norėdami apeiti naršyklės saugumą:
- „Chromium“ pagrindu sukurtos naršyklės automatiškai pasitiki kenkėjišku sertifikatu.
- Tačiau „Firefox“ naršyklėje kenkėjiška programa reikalauja papildomų konfigūracijos pakeitimų, kad būtų išvengta aptikimo.
„ApolloShadow“ taip pat užtikrina ilgalaikę prieigą sukurdama nuolatinę administratoriaus vartotojo paskyrą pavadinimu „UpdatusUser“, kuri naudoja užkoduotą, negaliojantį slaptažodį.
Gilus įsiskverbimas: ką įgalina „ApolloShadow“
Įtariama, kad „ApolloShadow“ leidžia naudoti TLS/SSL šifravimo atakas. Šios atakos priverčia naršykles prisijungti be saugaus šifravimo, leisdamos kenkėjiškai programai stebėti naršymo veiklą ir potencialiai rinkti slaptą informaciją, pvz., prisijungimo žetonus ir kredencialus.
Kenkėjiškos programos nepastebimas veikimas ir atkaklumas daro ją itin pavojingą. Jos gebėjimas likti nepastebėtai renkant žvalgybinę informaciją ir suteikiant nuotolinę prieigą pabrėžia jos vertę valstybės remiamose kibernetinėse operacijose.
Apgaulės įrankiai: socialinė inžinerija ir infekcijos vektoriai
„ApolloShadow“ kampanijose techninis manipuliavimas derinamas su socialine inžinerija. Aukos ne tik nukreipiamos ir manipuliuojamos tinklo lygio atakomis, bet ir joms siunčiami apgaulingi raginimai įdiegti kenkėjiškus sertifikatus, prisidengiant patikima programine įranga.
Nors „ApolloShadow“ kampanijos daugiausia remiasi interneto paslaugų teikėjų lygio perėmimu ir socialine inžinerija, užkrato vektoriai gali plisti ir taikant įprastesnę kenkėjiškų programų platinimo taktiką.
Įprasti kenkėjiškų programų platinimo būdai :
Apgaulinga taktika:
- Sukčiavimo žinutės (el. laiškai, asmeninės žinutės, įrašai socialiniuose tinkluose).
- Kenkėjiškos nuorodos arba priedai.
- Apgaulingi programinės įrangos atnaujinimai arba diegimo programos.
Nesaugūs atsisiuntimo šaltiniai:
- Neoficialios svetainės.
- Nemokamos failų talpinimo paslaugos.
- Lygiaverčių (P2P) dalijimosi platformos.
Be to, kai kurios kenkėjiškų programų atmainos, įskaitant pažangias priemones, tokias kaip „ApolloShadow“, gali plisti vietiniais tinklais arba naudojant išimamus atminties įrenginius, tokius kaip USB atmintinės ar išoriniai standieji diskai.
Išvada: rimta šnipinėjimo grėsmė
„ApolloShadow“ kelia rimtą kibernetinio šnipinėjimo grėsmę, turinčią stiprių geopolitinių motyvų. Pasitelkdama patikimus prekės ženklus, apgaulingas tinklo lygio atakas ir nuolatinius prieigos metodus, „Secret Blizzard“ sukūrė galingą žvalgybos rinkimo įrankį. Organizacijos, veikiančios Rusijos įtakos regionuose ar šalia jų, ypač tos, kurios priklauso nuo vietinių interneto paslaugų teikėjų, privalo taikyti sustiprintus saugumo protokolus, kad apsigintų nuo šios besikeičiančios grėsmės.
