Δευτέρα, 23 Οκτώβριος 2017, 11:05 πμ

Hammertoss: νέο malware που περνά απαρατήρητο!

Hammertoss: νέο malware που περνά απαρατήρητο!

“Το κακόβουλο λογισμικό ανιχνεύεται από τα συστήματα ασφαλείας γιατί η συμπεριφορά του είναι πολύ διαφορετική από αυτή των ανθρώπων”. Αυτό τουλάχιστον γνωρίζαμε μέχρι σήμερα. Γιατί η εταιρεία ασφαλείας FireEye ανακάλυψε ένα νέο τύπο malware που συμπεριφέρεται όπως ένας συνηθισμένος χρήστης – και παράλληλα αποκτά παράνομα πρόσβαση σε δεδομένα του χρήστη. Μπορεί ακόμα και να προγραμματίσει τον εαυτό του να “δουλεύει” κατά τις ίδιες ώρες με το θύμα. Πρακτικά αυτό σημαίνει ότι τα λογισμικά προστασίας δε μπορούν να λειτουργούν στο εξής μόνο βασιζόμενα στην ανίχνευση παράξενης συμπεριφοράς ενός (εκτελέσιμου) αρχείου. Σας παρουσιάζουμε το κακόβουλο λογισμικό Hammertoss.

Η εταιρεία FireEye εκτιμά ότι το λογισμικό αναπτύχθηκε από ομάδα hackers με την υποστήριξη της κυβέρνησης της Ρωσίας. Ουσιαστικά το Hammertoss φαίνεται να είναι ένας “κατάσκοπος πρώτης τάξης”, στην υπηρεσία μιας ομάδας που η FireEye ονόμασε APT-29: η 29η ομάδα στη λίστα της FireEye που χρηματοδοτείται από κρατικό φορέα.

Hammertoss: νέο malware που περνά απαρατήρητο! 2

Το malware δεν διαθέτει κάποια καινούργια λειτουργία, πέρα από τις ήδη γνωστές, όμως η πολυπλοκότητά του φαίνεται ότι εντυπωσίασε τους ερευνητές ασφαλείας, αφού έχει την ικανότητα να παρακάμπτει πολλούς παραδοσιακούς μηχανισμούς ασφαλείας.

Δεν έχει γίνει ακόμα γνωστό το πως ξεκίνησε η έρευνα της FireEye, δηλαδή ποια ήταν τα θύματα του κακόβουλου λογισμικού. Αυτό που αποκάλυψε, πάντως, είναι ότι το λογισμικό Hammertoss “ανεβάζει” αρχεία, που είναι αποθηκευμένα σε συστήματα που έχει μολύνει, σε cloud εξυπηρετητή, στον οποίο φυσικά έχουν πρόσβαση οι κυβερνοεγκληματίες. Τίποτα το ασυνήθιστο, δηλαδή, για έναν καθημερινό χρήστη.

Μυστικές οδηγίες

Μόλις το κακόβουλο λογισμικό εγκατασταθεί σε έναν υπολογιστή, ξεκινά ορισμένες καθημερινές “φυσιολογικές” ενέργειες. Πρώτα ελέγχει το Twitter. Χρησιμοποιώντας έναν αλγόριθμο, αναζητά μηνύματα από συγκεκριμένα Twitter handles, απ’ όπου παίρνει οδηγίες για τα επόμενα βήματά του. Αφού λάβει τις οδηγίες μέσω φαινομενικά συνηθισμένων tweets, το λογισμικό ψάχνει στο Github για μια συγκεκριμένη εικόνα. Η εικόνα μοιάζει φυσιολογική, αλλά μέσα στον κώδικα του αρχείου της έχουν αποθηκευθεί επιπλέον πληροφορίες από τους hackers – και άρα περαιτέρω οδηγίες.

Τέλος, με τις πληροφορίες που έλαβε από το αρχείο της εικόνας, το Hammertoss ξεκινά να “ανεβάζει” δεδομένα από τον υπολογιστή του θύματος σε έναν cloud server, απ’ όπου οι hackers μπορούν να έχουν πρόσβαση σε αυτά.

Μπορείτε να βρείτε ολόκληρη την έκθεση της FireEye εδώ. Δείτε, επίσης, στο βίντεο που ακολουθεί, τον τρόπο λειτουργίας του κακόβουλου λογισμικού.

Μελλοντικές επιπτώσεις

Παρά το γεγονός ότι πρόκειται για ένα πανίσχυρο εργαλείο, οι ερευνητές του FireEye εκτιμούν ότι οι hackers χρησιμοποιούν το εν λόγω malware ενάντια σε ένα μικρό εύρος στόχων υψηλής αξίας.

Βέβαια, τίποτα δεν εμποδίζει άλλες εγκληματικές ομάδες να δημιουργήσουν αντίστοιχης φύσης λογισμικό, με στόχο τους καθημερινούς οικιακούς χρήστες.

“Το κακόβουλο λογισμικό ανιχνεύεται από τα συστήματα ασφαλείας γιατί η συμπεριφορά του είναι πολύ διαφορετική από αυτή των ανθρώπων”. Αυτό τουλάχιστον γνωρίζαμε μέχρι σήμερα. Γιατί η εταιρεία ασφαλείας FireEye ανακάλυψε ένα νέο τύπο malware που συμπεριφέρεται όπως ένας συνηθισμένος χρήστης – και παράλληλα αποκτά παράνομα πρόσβαση σε δεδομένα του χρήστη.…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
93

Δείτε επίσης:

Αδυνατούν να παρέχουν αποτελεσματική προστασία ενάντια σε επιθέσεις DDoS οι περισσότεροι cloud-based πάροχοι υπηρεσιών ασφαλείας, κυρίως επειδή δεν είναι σε θέση να κρύψουν την πραγματική διεύθυνση IP του προστατευόμενου ιστοτόπου από τους επιτιθέμενους κυβερνοεγκληματίες.

Παρακάμπτοντας την ασφάλεια των cloud-based ιστοτόπων προστασίας από επιθέσεις DDoS

Αδυνατούν να παρέχουν αποτελεσματική προστασία ενάντια σε επιθέσεις DDoS οι περισσότεροι cloud-based πάροχοι υπηρεσιών ασφαλείας, …