Logo nl.nowadaytechnol.com

Antivirus ESET Ontdekt Aanvallers Die De Recente Zero-day Kwetsbaarheid Van Windows OS Hebben Misbruikt Om Cyberspionage Uit Te Voeren

Inhoudsopgave:

Antivirus ESET Ontdekt Aanvallers Die De Recente Zero-day Kwetsbaarheid Van Windows OS Hebben Misbruikt Om Cyberspionage Uit Te Voeren
Antivirus ESET Ontdekt Aanvallers Die De Recente Zero-day Kwetsbaarheid Van Windows OS Hebben Misbruikt Om Cyberspionage Uit Te Voeren

Video: Antivirus ESET Ontdekt Aanvallers Die De Recente Zero-day Kwetsbaarheid Van Windows OS Hebben Misbruikt Om Cyberspionage Uit Te Voeren

Video: Antivirus ESET Ontdekt Aanvallers Die De Recente Zero-day Kwetsbaarheid Van Windows OS Hebben Misbruikt Om Cyberspionage Uit Te Voeren
Video: Part 1 ESET NOD32 4.0.467.0 Review against Zero Day malware 2024, Maart
Anonim
Image
Image

Makers van populaire antivirus- en digitale beveiligingssoftware ESET hebben de aanvallers ontdekt die misbruik maakten van de recente zero-day-kwetsbaarheid van Windows OS. Aangenomen wordt dat de hackgroep achter de aanval cyberspionage uitvoert. Interessant genoeg is dit geen typische doelgroep of methodologie van de groep die de naam ‘Buhtrap’ draagt, en daarom geeft de exploit sterk aan dat de groep mogelijk gedraaid heeft.

De Slowaakse antivirusmaker ESET heeft bevestigd dat de hackergroep Buhtrap achter de recente zero-day-kwetsbaarheid van Windows OS zit die in het wild werd uitgebuit. De ontdekking is nogal interessant en zorgwekkend omdat de activiteiten van de groep enkele jaren geleden ernstig werden beperkt toen de kernsoftwarecodebase online werd gelekt. De aanval maakte naar verluidt gebruik van een zojuist verholpen Windows OS zero-day-kwetsbaarheid om cyberspionage uit te voeren. Dit betreft zeker nieuwe ontwikkeling, vooral omdat Buhtrap nooit interesse heeft getoond in het extraheren van informatie. De primaire activiteiten van de groep waren het stelen van geld. Toen Buhtrap nog zeer actief was, waren de primaire doelen van Buhtrap financiële instellingen en hun servers. De groep gebruikte zijn eigen software en codes om de veiligheid van banken of zijn klanten in gevaar te brengen om geld te stelen.

Overigens heeft Microsoft zojuist een patch uitgegeven om de zero-day Windows OS-kwetsbaarheid te blokkeren. Het bedrijf had de bug geïdentificeerd en getagd met CVE-2019-1132. De patch was onderdeel van het Patch Tuesday-pakket van juli 2019.

Buhtrap draait om cyberspionage:

De ontwikkelaars van ESET hebben de betrokkenheid van Buhtrap bevestigd. Bovendien heeft de antivirus-maker er zelfs aan toegevoegd dat de groep betrokken was bij het uitvoeren van cyberspionage. Dit druist volledig in tegen eerdere exploits van Buhtrap. ESET is overigens op de hoogte van de laatste activiteiten van de groep, maar heeft de doelstellingen van de groep niet bekendgemaakt.

Interessant is dat verschillende beveiligingsinstanties herhaaldelijk hebben aangegeven dat Buhtrap geen door de overheid gesponsord hackerspakje is. Beveiligingsonderzoekers zijn ervan overtuigd dat de groep voornamelijk vanuit Rusland opereert. Het wordt vaak vergeleken met andere gerichte hackgroepen zoals Turla, Fancy Bears, APT33 en de Equation Group. Er is echter één cruciaal verschil tussen Buhtrap en andere. De groep komt zelden boven water of neemt openlijk de verantwoordelijkheid voor zijn aanvallen. Bovendien waren haar primaire doelen altijd financiële instellingen geweest en ging de groep op zoek naar geld in plaats van naar informatie.

Buhtrap-groep gebruikt zero-day in nieuwste spionagecampagnes: ESET-onderzoek onthult dat beruchte misdaadgroep de afgelopen vijf jaar ook spionagecampagnes voert. De post-Buhtrap-groep gebruikt zero-day in de nieuwste spionagecampagnes, verscheen voor het eerst op … https://t.co/ mvCyy424cg pic.twitter.com/9OJ6nXZ1sT

- Shah Sheikh (@shah_sheikh) 11 juli 2019

Buhtrap dook voor het eerst op in 2014. De groep werd bekend nadat het veel Russische bedrijven had aangegrepen. Deze bedrijven waren vrij klein van omvang en daarom leverden de overvallen niet veel lucratieve opbrengsten op. Maar met succes, de groep begon zich te richten op grotere financiële instellingen. Buhtrap ging achter relatief goed bewaakte en digitaal beveiligde Russische banken aan. rapport van Group-IB geeft aan dat de Buhtrap-groep erin geslaagd is weg te komen met meer dan $ 25 miljoen. In totaal heeft de groep met succes een inval gedaan bij ongeveer 13 Russische banken, beweerde beveiligingsbedrijf Symantec. Interessant is dat de meeste digitale overvallen met succes werden uitgevoerd tussen augustus 2015 en februari 2016. Met andere woorden, Buhtrap slaagde erin om ongeveer twee Russische banken per maand te exploiteren.

De activiteiten van de Buhtrap-groep stopten plotseling nadat hun eigen Buhtrap-achterdeur, een ingenieus ontwikkelde combinatie van softwaretools, online opdook. Uit rapporten blijkt dat maar weinig leden van de groep zelf de software hebben gelekt. Terwijl de activiteiten van de groep abrupt tot stilstand kwamen, zorgde de toegang tot de krachtige set softwaretools ervoor dat verschillende kleine hackgroepen konden floreren. Met behulp van de reeds geperfectioneerde software begonnen veel kleine groepen hun aanvallen uit te voeren. Het grootste nadeel was het enorme aantal aanvallen dat plaatsvond met behulp van de Buhtrap-achterdeur.

Sinds het lek van de Buhtrap-achterdeur heeft de groep zich actief gericht op het uitvoeren van cyberaanvallen met een totaal andere bedoeling. ESET-onderzoekers beweren echter dat ze de groepsveranderingstactieken al sinds december 2015 hebben gezien. Blijkbaar begon de groep zich te richten op overheidsinstanties en -instellingen, merkte ESET op: code is gratis beschikbaar op internet. Aangezien de verschuiving van doelen echter plaatsvond vóór het lek van de broncode, beoordelen we met groot vertrouwen dat dezelfde mensen achter de eerste Buhtrap-malwareaanvallen op bedrijven en banken ook betrokken zijn bij het aanvallen van overheidsinstellingen."

Buhtrap heeft zeker een rare evolutie…. van het stelen van $ 25 miljoen van Russische banken … tot het uitvoeren van cyberspionageoperaties. Is dit het bogachev-effect? pic.twitter.com/nuQ7ZKPU1Y

- Catalin Cimpanu (@campuscodi) 11 juli 2019

ESET-onderzoekers konden de hand van de Buhtrap claimen bij deze aanvallen omdat ze patronen konden identificeren en verschillende overeenkomsten ontdekten in de manier waarop aanvallen werden uitgevoerd. "Hoewel er nieuwe tools aan hun arsenaal zijn toegevoegd en updates zijn toegepast op oudere, zijn de tactieken, technieken en procedures (TTP) die in de verschillende Buhtrap-campagnes worden gebruikt in al die jaren niet drastisch veranderd."

Buhtrap Gebruik Windows OS zero-day kwetsbaarheid die kan worden gekocht op het dark web?

Het is interessant om op te merken dat de Buhtrap-groep een kwetsbaarheid gebruikte in het Windows-besturingssysteem die vrij nieuw was. Met andere woorden, de groep implementeerde een beveiligingsfout die meestal wordt getagd met 'zero-day'. Deze gebreken zijn meestal niet gepatcht en niet gemakkelijk verkrijgbaar. Overigens heeft de groep al eerder gebruik gemaakt van beveiligingslekken in het Windows OS. Ze vertrouwden echter meestal op andere hackergroepen. Bovendien hadden de meeste exploits patches die door Microsoft waren uitgegeven. Het is vrij waarschijnlijk dat de groep zoekopdrachten heeft uitgevoerd op zoek naar niet-gepatchte Windows-machines om te infiltreren.

Dit is de eerste bekende instantie waarin Buhtrap-operators een niet-gepatchte kwetsbaarheid gebruikten. Met andere woorden, de groep maakte gebruik van echte zero-day-kwetsbaarheid binnen Windows OS. Omdat de groep duidelijk niet over de nodige vaardigheden beschikte om de beveiligingsfouten te ontdekken, zijn onderzoekers er sterk van overtuigd dat de groep hetzelfde heeft gekocht. Costin Raiu, die het wereldwijde onderzoeks- en analyseteam bij Kaspersky leidt, gelooft dat de zero-day-kwetsbaarheid in wezen een "misbruik van privilege" -fout is die wordt verkocht door een exploitmakelaar die bekend staat als Volodya. Deze groep heeft een geschiedenis van het verkopen van zero-day-exploits aan zowel cybercriminaliteit als natiestaatgroepen.

Buhtrap #Malware met typisch patroon (en grootte) van met base64 gecodeerd uitvoerbaar bestand ingebed in doc-bestand. Https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6

- marc ochsenmeier (@ochsenmeier) 11 juli 2019

Er gaan geruchten dat Buhtrap's spil naar cyberspionage beheerd zou kunnen zijn door de Russische inlichtingendienst. Hoewel niet onderbouwd, kan de theorie juist zijn. Het is mogelijk dat de Russische inlichtingendienst Buhtrap heeft gerekruteerd om voor hen te spioneren. De spil kan een onderdeel zijn van een deal om de overtredingen van de groep in het verleden te vergeven in plaats van gevoelige bedrijfs- of overheidsgegevens. Aangenomen wordt dat de Russische inlichtingendienst in het verleden zulke grootschalige activiteiten heeft georganiseerd via hackgroepen van derden. Beveiligingsonderzoekers hebben beweerd dat Rusland regelmatig maar informeel getalenteerde individuen rekruteert om te proberen door te dringen in de veiligheid van andere landen.

Interessant is dat in 2015 werd aangenomen dat Buhtrap betrokken was bij cyberspionageoperaties tegen regeringen. Regeringen van Oost-Europa en Centraal-Aziatische landen hebben routinematig beweerd dat Russische hackers bij verschillende gelegenheden hebben geprobeerd hun beveiliging binnen te dringen.

Aanbevolen: