Firma de securitate Mandiant raportează un nou botnet pe care îl numește UNC3524. Grupul a petrecut ultimele 18 luni în rețelele victimelor cu o silențiozitate neobișnuită.
În cazurile în care malware-ul este scos din sistem, grupul nu pierde timp reinfectând mediul victimei și reluându-și activitățile de unde lucrurile rămăseseră. Există multe elemente cheie pentru camuflajul său, inclusiv:
- Utilizarea unui backdoor unic denumit Quietexit de către Mandiant, care rulează pe switchuri de balansare de sarcină, controlere de puncte de acces wireless și alte tipuri de dispozitive IoT care nu acceptă detectarea antivirus sau a obiectivului final. Acest lucru face ca detectarea prin mijloace tradiționale să fie dificilă.
- Versiuni personalizate ale backdoor-ului care utilizează nume de fișiere și date de creare care sunt similare cu fișierele legitime utilizate pe un anumit dispozitiv infectat.
- O abordare ”live-off-the-land”(LotL – un atac cibernetic în care intrușii folosesc software-ul legitim și funcțiile disponibile în sistem pentru a efectua acțiuni rău intenționate asupra acestuia) care favorizează interfețele și instrumentele comune de programare Windows peste codul personalizat, cu scopul de a lăsa cât mai ușoară o amprentă posibilă.
- Un mod neobișnuit în care un backdoor în a doua etapă se conectează la infrastructura controlată de atacator, acționând, în esență, ca un server criptat TLS care proxy date prin protocolul SOCKS.
Demantelarea acestui grup este dificilă. Din aparențele exterioare, accentul pus de aceștia asupra tranzacțiilor corporatiste sugerează un interes financiar.
Dar tradecraft-ul de mare calibru afișat de UNC3524, competența cu botnet-uri de IoT sofisticate și capacitatea de a rămâne nedetectați atât de mult timp sugerează ceva mai mult.
Conform firmei Mandiant, de-a lungul operațiunilor sale, actorul a demonstrat o securitate operațională sofisticată existentă doar la un număr mic de atacatori până în prezent.
Actorul a evitat detectarea sa prin operarea de pe dispozitive aflate în punctele oarbe ale mediului victimei, inclusiv servere care rulează versiuni mai puțin frecvente de Linux și aparate de rețea care rulează sisteme de operare opace.
Aceste dispozitive și aparate rulau versiuni ale sistemelor de operare care nu erau acceptate de instrumente de securitate bazate pe agenți și aveau adesea un nivel mediu de trafic în rețea care le permitea atacatorilor să se amestece în siguranță cu traficul legitim.
Utilizarea tuneler-ului QUIETEXIT de către un grupare le-a permis să utilizeze tehnica LotL, fără a fi nevoie să aducă instrumente suplimentare, reducând în continuare posibilitatea de detectare.
Acest lucru a permis UNC3524 să rămână nedetectat în mediile victimelor timp de, în unele cazuri, mai mult de 18 luni.