Jak k útoku došlo?

Na počátku vyšetřování Volexity předpokládala, že firewall organizace mohl být kompromitován. Avšak další analýza vedla k odhalení, že problém sahá mnohem hlouběji – až na úroveň ISP. Hackeři použili techniku známou jako otrava DNS (Domain Name System), což je metoda, při níž útočník manipuluje se systémem doménových jmen, aby přesměroval internetový provoz na škodlivé weby.

Volexity následně upozornila poskytovatele internetových služeb a spolupracovala s ním na vyšetřování klíčových zařízení zajišťujících směrování provozu v jejich síti. Když ISP restartoval a odpojil různé části sítě, útok DNS okamžitě ustal. Tím bylo potvrzeno, že ISP byl skutečně infiltrovaný a používán k šíření malwaru.

Hackerská skupina StormBamboo

Incident byl připsán čínské hackerské skupině známé jako StormBamboo, která je také známá pod názvem Evasive Panda. Tato skupina využila legitimních softwarových programů, které běžně načítají automatické aktualizace z webu. Využitím této skutečnosti hackeři zmanipulovali ISP k přesměrování HTTP požadavků na servery kontrolované hackery, odkud byl malware stahován.

Cílené softwarové programy

Jedním z programů, který byl cílený, byl bezplatný přehrávač médií známý jako 5KPlayer. Když tyto aplikace prováděly své aktualizace, místo zamýšlené aktualizace nainstalovaly malware. Volexity pozorovala, že StormBamboo se zaměřuje na více dodavatelů softwaru, kteří používají nezabezpečené pracovní postupy aktualizací, a využívají různé úrovně složitosti při šíření malwaru.

Volexity neuvádí jméno poskytovatele internetových služeb ani přesný počet počítačů, které mohly být cílem útoku. Společnost však zaznamenala více incidentů, při nichž došlo k infikování systémů malwarem spojeným se StormBamboo, zejména v polovině roku 2023. Tato série útoků zasáhla jak systémy Windows, tak macOS v různých organizacích.

Zdroj: Shutterstock

Typy šířeného malwaru

Mezi šířený malware patřily programy MACMA a MGBot, které jsou známy svou schopností vzdáleně pořizovat snímky obrazovky, zaznamenávat stisknuté klávesy, krást soubory a hesla. Přesné detaily o tom, jak čínští hackeři infiltrovali a tajně upravili internetový provoz ISP, nejsou zcela jasné. Volexity má však podezření, že k tomu mohl být použit malware založený na Linuxu, známý jako CATCHDNS, který je rovněž spojen se skupinou StormBamboo.

Tento incident poukazuje na sofistikovanost a neustále se vyvíjející metody, které kybernetické zločinecké skupiny využívají k dosažení svých cílů. Útoky na úrovni poskytovatelů internetových služeb představují zvláště závažnou hrozbu, protože mohou ovlivnit velký počet uživatelů a zařízení. Je proto nezbytné, aby organizace i jednotlivci byli ostražití a přijímali opatření k ochraně svých systémů proti takovýmto typům útoků.

Doporučení

1. Pravidelné aktualizace softwaru: Ujistěte se, že všechny vaše softwarové programy a systémy jsou pravidelně aktualizovány a obsahují nejnovější bezpečnostní záplaty.
2. Použití zabezpečených aktualizačních procesů: Softwarové společnosti by měly používat zabezpečené metody pro distribuci aktualizací, aby zabránily manipulaci s aktualizačními procesy.
3. Monitorování síťového provozu: Organizace by měly pravidelně monitorovat svůj síťový provoz pro podezřelou aktivitu a rychle reagovat na jakékoli známky kompromitace.
4. Zvýšená spolupráce s ISP: Poskytovatelé internetových služeb by měli úzce spolupracovat s kybernetickými bezpečnostními firmami, aby rychle identifikovali a eliminovali hrozby.
5. Vzdělávání a povědomí: Zvýšení povědomí o aktuálních hrozbách a školení zaměstnanců v oblasti kybernetické bezpečnosti může výrazně přispět k prevenci úspěšných útoků.

Incident s čínskou hackerskou skupinou StormBamboo je varováním pro všechny, kdo se spoléhají na internetové služby a software. Opatrnost a proaktivní přístup ke kybernetické bezpečnosti jsou klíčové pro ochranu proti neustále se měnícím hrozbám.