WaterDrop Malware

Złośliwe oprogramowanie WaterDrop jest częścią kilku niedawno odkrytych uszkodzonych plików binarnych wykorzystywanych w atakach infekujących instalacje systemu Linux. Rodzina szkodliwego oprogramowania została po raz pierwszy wykryta przez badaczy infosec z Alien Labs firmy AT&T. Ich analiza wykazała, że wszystkie zagrożenia wykorzystywały backdoora o otwartym kodzie źródłowym o nazwie Prism jako podstawę, na której hakerzy powoli wprowadzali modyfikacje.

Zagrażające możliwości WaterDrop są zaskakująco podstawowe. Jednocześnie brakuje mu żadnych wyrafinowanych technik antywykrywania lub zaciemniania. Rzeczywiście, naukowcy twierdzą, że WaterDrop zawiera kilka łatwych do zidentyfikowania cech. Nie wspominając o tym, że komunikuje się z infrastrukturą Command-and-Control (C2, C&C) za pośrednictwem zwykłego tekstu HTTP. Jednak sądząc po skuteczności kampanii ataku, niewiele osób by się domyśliło, że tak właśnie jest.

Domena powiązana z kampanią WaterDrop została zarejestrowana 18 sierpnia 2017 r., a blisko 4 lata później nadal działa online. Pomimo długiego użytkowania WaterDrop zdołał osiągnąć i utrzymać niemal zerowy wynik wykrywania, co oznacza, że przez lata był w stanie latać pod radarem, nie będąc zauważonym. Jak dotąd najbardziej prawdopodobnym wyjaśnieniem jest to, że wysoki wskaźnik sukcesu osiągnięto dzięki utrzymywaniu kampanii ataku na niezwykle małą skalę.

Cyberprzestępcy stojący za WaterDrop i powiązaną z nim rodziną złośliwego oprogramowania powoli aktualizują swój groźny zestaw narzędzi i oczekuje się, że będą kontynuować swoje działania.