Bendroji magija

„Infosec“ tyrėjams pavyko nustatyti atakos kampaniją, naudojančią anksčiau nežinomą kenkėjiškų programų sistemą, nukreiptą prieš organizacijas iš pagrindinių Ukrainos sektorių, aiškiai parodydama, kad kibernetinis karas ir toliau vaidina aktyvų vaidmenį karo metu. Tikslinės organizacijos veikia vyriausybės, žemės ūkio ir transporto sektoriuose ir yra Donecko, Lugansko ir Krymo regionuose.

Šios atakos apima naują modulinę sistemą, pavadintą „CommonMagic“, kurios anksčiau nebuvo matyti. Atrodo, kad sistema sukurta taip, kad įsiskverbtų į tikslines organizacijas ir jas sužlugdytų, o tai gali pakenkti jautriai informacijai ir sutrikdyti svarbią infrastruktūrą. Kol kas neaišku, kas atsakingas už šias atakas ir kokie gali būti jų galutiniai tikslai. Padėtis tęsiasi, o organizacijos paveiktose vietovėse turėtų imtis veiksmų, kad apsaugotų savo tinklus ir sistemas nuo galimų grėsmių.

Sudėtinga atakų grandinė pristato „CommonMagic“ kenkėjišką programą

Tyrėjų teigimu, tikslus pradinis kompromiso vektorius yra neaiškus. Tačiau kito atakos etapo detalės rodo, kad grėsmės veikėjai gali panaudoti sukčiavimo spygliu ar panašius būdus.

Atakos vyksta pagal tam tikrą modelį, kai aukoms pateikiamas kenkėjiškas URL, kuris naudojamas nukreipti juos į ZIP archyvą, saugomą pažeistame žiniatinklio serveryje. Atidarius pristatytą ZIP failą, jame yra apgaulės dokumentas ir kenkėjiškas LNK failas. Kitame atakos etape ant pažeistų įrenginių yra įdiegtos užpakalinės durys, pavadintos PowerMagic. Užpakalinės durys leidžia užpuolikui prieiti prie aukos kompiuterio ir vykdyti įvairią kenkėjišką veiklą, tačiau pagrindinis jos tikslas yra gauti ir įdiegti CommonMagic kenkėjiškų programų sistemą – kur kas labiau specializuotą kenkėjiškos programinės įrangos dalį.

„CommonMagic“ – anksčiau nematytas grėsmingas pagrindas

Nustatyta, kad visos aukos, paveiktos PowerMagic kenkėjiškų programų, buvo užkrėstos daug sudėtingesne ir sudėtingesne kenkėjiška sistema, kuri buvo pavadinta CommonMagic. CommonMagic sudaro įvairūs vykdomieji moduliai, kurie visi yra saugomi kataloge, esančiame adresu C:\ProgramData\CommonCommand. Kiekvienas modulis pradeda veikti kaip nepriklausomas vykdomasis failas ir bendrauja su kitais per pavadintus vamzdžius. Moduliai yra specialiai sukurti ryšiui su komandų ir valdymo (C&C) serveriu, C&C srauto šifravimui ir iššifravimui bei keletui kenkėjiškų veiksmų atlikti.

Du iš iki šiol atrastų modulių yra aprūpinti galimybėmis užfiksuoti ekrano kopijas trijų sekundžių intervalais ir gauti dominančius failus iš bet kurių prijungtų USB įrenginių. Sistema naudoja „OneDrive“ nuotolinius aplankus duomenims perduoti, o visi duomenys, kuriais apsikeičia užpuolikas ir auka per „OneDrive“, yra užšifruojami naudojant atvirojo kodo biblioteką RC5Simple.