Ilustracija cybersecurity
Stvoritelji popularnog antivirusnog i digitalnog sigurnosnog softvera ESET otkrili su napadače koji su iskoristili nedavnu ranjivost nultih dana OS-a Windows. Vjeruje se da hakerska skupina koja stoji iza napada provodi cyber-špijunažu. Zanimljivo je da ovo nije tipični cilj ili metodologija skupine koja se naziva 'Buhtrap', pa stoga eksploat snažno ukazuje na to da je skupina možda bila pivotirana.
Slovački proizvođač antivirusnih proizvoda ESET potvrdio je da hakerska skupina poznata kao Buhtrap stoji iza nedavne ranjivosti nultog dana OS-a Windows koja je iskorištena u divljini. Otkriće je prilično zanimljivo i zabrinjavajuće jer su aktivnosti grupe ozbiljno umanjene prije nekoliko godina kada je njegova osnovna programska baza koda procurila na mrežu. U napadu je korištena netom popravljena ranjivost nultih dana OS-a Windows za navodnu provedbu cyber-špijunaže. To je zasigurno zabrinjavajuće novo događanje prvenstveno zato što Buhtrap nikada nije pokazao zanimanje za izvlačenje informacija. Primarne aktivnosti grupe uključivale su krađu novca. Još kad je bio vrlo aktivan, Buhtrapove primarne ciljeve bile su financijske institucije i njihovi poslužitelji. Skupina je koristila vlastiti softver i kodove kako bi ugrozila sigurnost banaka ili svojih klijenata u krađi novca.
Inače, Microsoft je upravo izdao zakrpu za blokiranje ranjivosti OS-a Windows nultih dana. Tvrtka je identificirala bug i označila ga CVE-2019-1132 . Flaster je bio dio paketa za utorak zakrpe u srpnju 2019.
Buhtrap se okrenuo cyber-špijunaži:
Programeri ESET-a potvrdili su sudjelovanje Buhtrapa. Štoviše, proizvođač antivirusa čak je dodao da je skupina sudjelovala u provođenju cyber-špijunaže. To se potpuno protivi Buhtrapovim prethodnim podvizima. Inače, ESET je svjestan najnovijih aktivnosti grupe, ali nije otkrio ciljeve grupe.
Zanimljivo je da je nekoliko sigurnosnih agencija više puta navijestilo da Buhtrap nije redovita hakerska odjeća koju financira država. Istraživači sigurnosti uvjereni su da skupina djeluje uglavnom iz Rusije. Često se uspoređuje s drugim fokusiranim hakerskim skupinama poput Turle, Fancy Bearsa, APT33 i Equation Group. Međutim, postoji jedna presudna razlika između Buhtrapa i ostalih. Skupina rijetko ispliva na površinu ili otvoreno preuzme odgovornost za svoje napade. Štoviše, primarni ciljevi oduvijek su bile financijske institucije i grupa je tražila novac umjesto informacija.
Buhtrap grupa koristi nulti dan u najnovijim špijunskim kampanjama: ESET-ovo istraživanje otkriva da je poznata kriminalna skupina koja također provodi špijunske kampanje u posljednjih pet godina. https://t.co/mvCyy424cg pic.twitter.com/9OJ6nXZ1sT
- Shah Sheikh (@shah_sheikh) 11. srpnja 2019
Buhtrap se prvi put pojavio 2014. godine. Grupa je postala poznata nakon što je krenula u potragu za mnogim ruskim poduzećima. Ta su poduzeća bila prilično mala, pa pljačke nisu nudile mnogo unosnih povrata. Ipak, stekavši uspjeh, grupa je počela ciljati veće financijske institucije. Buhtrap je počeo ići nakon relativno dobro čuvanih i digitalno osiguranih ruskih banaka. Izvještaj Group-IB ukazuje na to da se grupa Buhtrap uspjela izvući s više od 25 milijuna dolara. Ukupno je grupa uspješno izvršila raciju na oko 13 ruskih banaka, tvrdila je zaštitarska tvrtka Symantec . Zanimljivo je da je većina digitalnih pljački uspješno izvršena između kolovoza 2015. i veljače 2016. Drugim riječima, Buhtrap je uspio iskoristiti oko dvije ruske banke mjesečno.
Aktivnosti grupe Buhtrap iznenada su prestale nakon što su se pojavili njihovi vlastiti Buhtrap backdoor, genijalno razvijena kombinacija softverskih alata koja se pojavila na mreži. Izvješća pokazuju da je nekoliko članova same grupe možda procurilo u softver. Iako su se aktivnosti grupe naglo zaustavile, pristup moćnom skupu softverskih alata omogućio je procvat nekoliko manjih hakerskih grupa. Koristeći već usavršeni softver, mnoge su male skupine počele provoditi svoje napade. Glavni nedostatak bio je ogroman broj napada koji su se dogodili korištenjem stražnjeg vrata Buhtrap.
Od propuštanja stražnjeg vrata Buhtrapa, grupa se aktivno usmjerila na provođenje cyber napada s potpuno drugačijom namjerom. Međutim, istraživači ESET-a tvrde da su taktiku pomaka grupe vidjeli još u prosincu 2015. Očito je grupa počela ciljati vladine agencije i institucije, primijetio je ESET, „Uvijek je teško pripisati kampanju određenom akteru kada njihovi alati 'Izvorni kod je slobodno dostupan na webu. Međutim, kako se promjena u ciljevima dogodila prije curenja izvornog koda, s velikim povjerenjem procjenjujemo da su isti ljudi koji stoje iza prvih Buhtrapovih malware napada na tvrtke i banke također uključeni u ciljanje vladinih institucija. '
Buhtrap sigurno ima čudnu evoluciju ... od krađe 25 milijuna dolara ruskim bankama ... do provođenja cyber-špijunaže. Je li to efekt bogacheva? pic.twitter.com/nuQ7ZKPU1Y
- Catalin Cimpanu (@campuscodi) 11. srpnja 2019
ESET-ovi istraživači mogli su potražiti ruku Buhtrapa u tim napadima jer su uspjeli prepoznati obrasce i otkrili nekoliko sličnosti u načinu provođenja napada. 'Iako su u njihov arsenal dodani novi alati, a ažuriranja se primjenjuju na starije, taktike, tehnike i postupci (TTP) koji se koriste u različitim Buhtrapovim kampanjama nisu se dramatično promijenili tijekom svih ovih godina.'
Buhtrap koristi ranjivost nultih dana OS-a Windows koja se može kupiti na mračnom webu?
Zanimljivo je primijetiti da je grupa Buhtrap koristila ranjivost unutar operativnog sustava Windows koja je bila prilično svježa. Drugim riječima, skupina je primijenila sigurnosnu manu koja se obično označava kao „nulti dan“. Te se mane obično ne mogu ispraviti i nisu lako dostupne. Inače, grupa je i ranije koristila sigurnosne ranjivosti u OS Windows. Međutim, obično se oslanjaju na druge hakerske skupine. Štoviše, većina exploita imala je zakrpe koje je izdao Microsoft. Sasvim je vjerojatno da je grupa vodila pretraživanja tražeći neprimjenjene Windows strojeve za infiltraciju.
Ovo je prvi poznati slučaj kada su operateri Buhtrapa koristili neotkrivenu ranjivost. Drugim riječima, grupa je koristila istinsku ranjivost nultih dana unutar Windows OS-a. Budući da je grupi očito nedostajao skup vještina potrebnih za otkrivanje sigurnosnih nedostataka, istraživači snažno vjeruju da je grupa možda kupila iste. Costin Raiu, voditeljica Globalnog tima za istraživanje i analizu u tvrtki Kaspersky, vjeruje da je ranjivost nultog dana u osnovi nedostatak 'podizanja privilegija' koji prodaje prodavački maker poznat pod imenom Volodya. Ova skupina ima povijest koja prodaje eksploatacije nultih dana i cyber kriminalu i nacionalnim skupinama.
Buhtrap #Malware s tipičnim uzorkom (i veličinom) izvršne datoteke kodirane base64 ugrađenom u doc datoteku. https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6
- marc ochsenmeier (@ochsenmeier) 11. srpnja 2019
Postoje glasine koje tvrde da je Buhtrapovim pivotom u cyber-špijunaži mogla upravljati ruska obavještajna služba. Iako neutemeljena, teorija bi mogla biti točna. Moglo bi biti moguće da je ruska obavještajna služba regrutirala Buhtrapa da ih špijunira. Stožer bi mogao biti dio dogovora o opraštanju prošlih prijestupa skupine umjesto osjetljivih korporativnih ili državnih podataka. Smatra se da je ruski obavještajni odjel u prošlosti organizirao tako velike razmjere putem hakerskih skupina trećih strana. Istraživači sigurnosti tvrde da Rusija redovito, ali neformalno zapošljava talentirane pojedince kako bi pokušala prodrijeti u sigurnost drugih zemalja.
Zanimljivo je da se još 2015. godine vjerovalo da je Buhtrap sudjelovao u operacijama cyber-špijunaže protiv vlada. Vlade istočne Europe i zemalja srednje Azije rutinski tvrde da su ruski hakeri u nekoliko navrata pokušali prodrijeti u njihovu sigurnost.
Oznake Kibernetička sigurnost
![[FIX] Cloudflare ‘Pogreška 523: podrijetlo je nedostupno’](https://jf-balio.pt/img/how-tos/79/cloudflare-error-523.jpg)
