Lovci na grožnje pri Symantecu opozarjajo na nov, zelo sofisticiran kos zlonamerne programske opreme, ki jo uporablja kitajski akter groženj, da se zakoplje v vladne in kritične infrastrukturne cilje in od njih ugrabi podatke.
Zlonamerna programska oprema, imenovana Daxin, vsebuje "tehnično zapletenost, ki je prej takšni akterji niso videli" in viri SecurityWeek potrjujejo, da je delo kitajskega akterja groženj prvi dokumentiral Microsoft v decembru 2012.
»Zdi se, da je večina tarč organizacij in vlad v strateškem interesu Kitajske. Poleg tega so bila na nekaterih od istih računalnikov, kjer je bil nameščen Daxin, najdena druga orodja, povezana s kitajskimi vohunskimi akterji,« pravi. javna dokumentacija iz Symantecove ekipe lovca na grožnje.
»Daxin je nedvomno najnaprednejši kos zlonamerne programske opreme, ki so ga raziskovalci Symanteca videli, da ga uporablja akter, povezan s Kitajsko,« je izjavila ekipa in opozorila, da se zdi, da je Daxin optimiziran za uporabo proti utrjenim tarčam, kar napadalcem omogoča, da se zakopljejo globoko v okuženo omrežja za izločanje podatkov brez vzbujanja sumov.
[ PREBERI: Napad "Regin" na ciljna platforma GSM omrežja ]
Symantec je objavil indikatorje ogroženosti (IOC) in tehnične podrobnosti skupaj z dokumentacijo o tem, kako zlonamerna programska oprema Daxin izvaja napredno komunikacijsko funkcionalnost za "visoko stopnjo prikritosti" in celo povezave za pošiljanje in prejemanje ukazov v zelo varovanih omrežjih, kjer neposredna internetna povezljivost ni na voljo.
Raziskovalci so povedali, da so te napredne funkcije ukazovanja in nadzora spominja na Regin, napredno orodje za vohunjenje, ki ga javno pripisujejo zahodnim obveščevalnim službam.
Napredne funkcije zlonamerne programske opreme Daxin kažejo, da so napadalci vložili veliko truda v razvoj komunikacijskih tehnik, ki se lahko nevidno zlijejo z običajnim omrežnim prometom v ciljnem omrežju.
Natančneje, Symantecovi preiskovalci so odkrili, da lahko zlonamerna programska oprema zlorablja vse zakonite storitve, ki se že izvajajo na okuženih računalnikih, kar pomeni, da se lahko izogne zagonu lastnih omrežnih storitev.
»Daxin je tudi sposoben posredovati svojo komunikacijo prek omrežja okuženih računalnikov znotraj napadene organizacije. Napadalci lahko izberejo poljubno pot med okuženimi računalniki in pošljejo en sam ukaz, ki tem računalnikom naroči, naj vzpostavijo zahtevano povezljivost,« so pojasnili raziskovalci.
[ PREBERI: Rob Joyce podrobno opisuje varnostno strategijo "pesek in trenje". ]
Ugotovili so, da zlonamerna programska oprema uporablja tudi omrežno tuneliranje, da bi napadalcem omogočila komunikacijo z zakonitimi storitvami v žrtvinem omrežju, ki je dosegljiva iz katerega koli okuženega računalnika.
"Medtem ko je nabor operacij, ki jih prepozna Daxin, precej ozek, je njegova resnična vrednost za napadalce v njegovih prikritih in komunikacijskih zmogljivostih," je opozoril Symanted in opozoril, da lahko zlonamerna programska oprema komunicira z ugrabitvijo legitimnih povezav TCP/IP.
»Daxinova uporaba ugrabljenih povezav TCP zagotavlja visoko stopnjo prikritosti komunikacij in pomaga vzpostaviti povezljivost v omrežjih s strogimi pravili požarnega zidu. Prav tako lahko zmanjša tveganje, da bi analitiki SOC, ki spremljajo omrežne anomalije, odkrili,« je opozorilo podjetje.
Symantec je dejal, da je odkril okužbe z Daxinom v vladnih organizacijah in subjektih v sektorju telekomunikacij, transporta in proizvodnje.
Raziskovalna skupina podjetja je našla več tehničnih povezav, s katerimi je Daxin zanesljivo pripisal znanim kitajskim vohunskim akterjem.
Povezano: Napad "Regin" na ciljna platforma GSM omrežja
Povezano: Raziskovalci podrobno opisujejo module platforme Regin Attack
Povezano: Symantec odkrije prikrito platformo za kibernetske napade v nacionalni državi