Dušan DINGARAC

1. april 2023.

Stvaranje zlonamernih računarskih programa odavno je postao unosan posao. Stvaranje, ali, još više, njihovo korišćenje tj, podmetanje u tuđe računarske sisteme posebno je dobilo na profitabilnosti kada su omogućeni anonimni načini plaćanja ucena, poput transakcija kripto valutama. Tada su i razni metodi šifrovanja korisničkih podataka doživeli veliku popularnost.

Nekada davno, zlonamerne računarske programe pisali su pojedinci zbog dokazivanja, zlobe, osvete. Kasnije su se organizovale grupe koje su se takmičile u tome ko će da stvori prodorniji program, da zarazi što više sistema i prikaže neku poruku na ekranu. Naravno, vremenom se razvio i poseban pravac koji se trudio da dobije kontrolu i pristup računarskim sistemima. Vremenom su se iskristalisale grupe ovih programa i svaka je dobila naziv, ali je teško precizno objasniti razlike između pojedinih grupa (pojmovi poput: virusi, trojanci, malware, ransomware, rootkit, bootkit...).

Razvojem interneta, ova delatnost postaje prava industrija. Organizovale su se „grupe” koje stvaraju zlonamerne programe, nude ih kao uslugu kupcima, probijaju sisteme i zaključavaju ih uz traženje otkupnine za vraćanje sistema u prethodno stanje. Pronalaženje novih načina da se računarski sistemi zaraze, pokore i blokiraju, direktno su povezani sa propustima u računarskim sistemima, ali i sa krajnjom zaradom. Kada se otkrije neki ozbiljan propust koji može da se eksploatiše, to znači dobru zaradu za onog ko je prvi eksploatiše. Ubrzo i druge grupe (možemo da ih nazovemo i kompanije) krenu da razvijaju svoje alatke i da koriste taj propust. I tako sve dok se propusti ne isprave, a to se nikada ne desi u potpunosti, jer je kod nekih sistema organizacija osvežavanja više, a kod nekih manje efikasna. Dodatno, stvari komplikuju i sistemi licenciranja koji onemogućavaju sve korisnike da besplatno dođu do najnovijih verzija sistema i programa, pa često koriste zastarele verzije za koje se propusti ne ispravljaju. Treći faktor koji ide u prilog ovom crnom biznisu jesu nemarni i nestručni administratori raznih sistema. Vremenom, zarada od eksploatacije pojedinačnog propusta ili tehnike varanja korisnika opada i neophodno je pronaći nove tokove zarade. Manje-više kao i u svakom drugom poslu.

Novi ciljevi

Kao u priči o hrabrom krojaču, u ovom biznisu cilj je jednim udarcem zaposesti što veći broj računara. U prethodnih desetak godina, virtuelizacija je postala dominantan način građenja IT infrastrukture, naročito u korporacijama. U tom periodu, VMware tehnologije virtuelizacije postale su industrijski standard. Prelazak na cloud uglavnom se obavlja polako i često u hibridnim verzijama koje još uvek koriste on premise virtuelizaciju.

VMware ESXi hipervizori na moćnim konfiguracijama omogućavaju rad više desetina virtuelnih mašina na jednom, fizičkom serveru. Zajedno sa virtuelizacijom široko je počeo da se primenjuje princip razbijanja zasebnih servisa na posebne virtuelne servere (trend pre pojave mikroservisa) i to najčešće sa Linux virtuelnim serverima, koji su neretko otvoreni ka internetu. Zbog toga je razvijen novi napadački kôd koji napada ESXi servere, koristeći VMware SLP bezbednosni propust. Kada se probije jedna Linux mašina u virtuelnoj infrastrukturi, onda se podmeće kôd koji kontroliše ESXi hipervizor, zaustavlja virtuelne mašine i enkriptuje njihov sadržaj.

U kratkom vremenskom periodu, čak devet grupa je razvilo kôdove koji su koristili ovaj propust. Mada su neki od napadnutih prijavljivali da su imali onemogućene navedene propuste, a da su, ipak, uspešno napadnuti. Nekako baš u tom periodu istekla je podrška za jednu generaciju VMware virtuelizacionog softvera, a apgrejdi za ovaj softver niti su jeftini, niti jednostavni. Zbog toga je već prvog dana puštanja nove pošasti u rad stotinak ESXi servera uspešno napadnuto. Ubrzo je došlo do nekih pomaka na polju oporavka servera bez plaćanja otkupnine, ali se ubrzo pojavio novi soj koji je promenio način enkripcije (bar kada je verzija poznata kao ESXiArgs u pitanju), počeo da deli i delimično enkriptuje velike fajlove kod virtuelnih mašina.

Razmere ovih napada nemoguće je precizno saznati, ali je zanimljivo da je kod pominjanja jedne od grupa koja se bavila ovim propustom rečeno da su za otkupe, kako bi dekriptovali servere, tražili od četvrt do deset miliona dolara. Veoma unosan biznis.

Nove fore

Negde još od avgusta prošle godine, pojavljuju se prevare koje se dešavaju kroz Google Ads i Google Adsense. Naime, prilikom pretrage na Gugl pretraživaču popularnih programa, pojavljuju se reklame koje vode na sajtove koji izgledaju identično originalnim na kojima se popularni programi mogu preuzeti. Međutim, uz instalaciju popularnog programa dobije se i loader trojanca, putem koga se preuzima napadnuta mašina naivnog korisnika. Domeni na koje reklame upućuju su tako zakupljeni da podsećaju na originalne.

Aplikacije koje se koriste za prevaru uključuju Google Chrome, Mozilla Firefox, WhatsApp, Telegram, Signal, Skype, LINE, WPS Office, ali i neke češće korišćene u Aziji, poput Electrum, Youdao i Pinyin Method. Zanimljivo je da se reklame prikazuju, pa time i napadi izvršavaju na azijske zemlje. Najviše na teritorije Tajvana, Kine i Hong Konga, ali i Japana, Malezije, Tajlanda, Filipina, Singapura, Indonezije i Mjanmara.

Google, po prijavi, redovno briše ovakve oglase, ali kompanije za zaštitu, poput ESET-a, i dalje ne znaju ko stoji iza ove kampanje.

Nove brige

Gotovo da smo i zaboravili kada je UEFI počeo da menja BIOS na PC računarima. Danas je on standard na gotovo svim računarima u upotrebi. No, njegove znatno veće mogućnosti u odnosu na BIOS predstavljaju bezbednosnu pretnju. Ali, dugo vremena propusti na UEFI sistemu nisu bili eksploatisani, a tek u nekoliko prethodnih godina mnogi kritični propusti su otkriveni. Zbog složenosti čitavog sistema i toga što se UEFI nalazi u firmveru računara, tj. matičnih ploča, mnogi propusti nisu ispravljeni na velikom broju računara.

Slično kao i kod ispravki, u mikrokôdu procesora, ispravke UEFI firmvera šalju se računarima preko operativnog sistema. Dakle, najveći proizvođači ploča i računara distribuiraće svoje ispravke direktno kroz npr. Windows. Međutim, u praksi to ne funkcioniše baš tako glatko u većem broju slučajeva. Pojedine softverske alatke velikih proizvođača računara, na korporativnim modelima računara same mogu da instaliraju nove verzije firmvera, ali na većini modela sve se svodi na operativni sistem i manuelne radnje korisnika.

Jesenas se konačno pojavio bootkit pod nazivom Crni Lotus, koji koristi slabosti UEFI sistema (CVE-2022-21894, poznat kao Baton Drop) i zaobilazi sve bezbednosne sisteme, uključujući SecureBoot, i koji može da isključi Bitlocker enkripciju diskova, Hypervisor-protected Code Integrity i Windows Defender uz mogućnost dovlačenja dodatnog malvera. Jednom rečju, sve prednosti UEFI-ja nad BIOS-om odjednom postaju pretnja za bezbednost. Jedino što možete je da se oslonite na neki dobar antimalware softver i da se nadate da će sve biti u redu.

Staro, a novo

Kada se napadi zlonamernih organizacija usredsrede na poznate ciljeve, umesto na nasumične računare na internetu, stvari postaju mnogo komplikovanije. Prošlog avgusta, u javnost je procurelo da je kompanija LastPass, koja se bavi čuvanjem korisničkih lozinki sa raznih sistema u kriptovanom obliku, koristeći setove različitih ključeva, doživela napad i da su kompromitovani podaci krajnjih korisnika. Zapravo, da su kompromitovane lozinke krajnjih korisnika na različitim sistemima, kao i same master lozinke na LastPass nalozima. Neko kome se veruje i poveravaju mu se sve lične lozinke, pao je na testu.

Nakon tog događaja, krenula su saopštenja kompanije i pretpostavke korisnika o tome šta je zaista bilo dostupno napadačima. Započeta je i istraga koja je dala pomalo neočekivane rezultate i to tek nakon pola godine. Tokom istrage, utvrdilo se da je nakon prvobitnog napada sproveden drugi, koji je ciljao DevOps inženjera. Tačnije, njegov kućni računar. Uz pomoć propusta na nekom programu koji je postojao na tom računaru, instaliran je keylogger i uz njegovu pomoć kompromitovana je master lozinka inženjera, nakon što je on aktivirao dvofaktorsku autentifikaciju. Da ne detaljišemo o tačnom redosledu koraka, tek, došlo se do korporacijskog skupa ključeva, pristupa AWS S3 bucketu, u kome su se nalazili bekapi korisničkih podataka, korisnički ključevi, inače, dodatno zaštićeni AES šifrovanjem i sve to je ukršteno sa dobicima iz prvog napada. Veštom primenom svih koraka napadači su došli i do nekriptovanih podataka, poput URL-ova za logovanje, ali i kriptovanih korisničkih imena i lozinki na tim sistemima.

Što bi se reklo, totalna šteta. Zanimljivo je da je pomenuti inženjer jedan od četvorice koji su imali pristup tim osetljivim kompanijskim podacima. Prema nekim natpisima, njegovom kućnom računaru napadači su pristupili putem aplikacije Plex (vrsta striming medija servera za prikazivanje videa, igara i zvuka sa računara na kome je instaliran). Plex je ubrzo prijavio upad u svoje sisteme i naložio promenu od preko petnaest miliona lozinki, više od polovine svojih korisnika. Zvaničnici ne povezuju ova dva napada.

Zanimljivo je i da su različiti sistemi za logovanje zabeležili gotovo sve akcije napadača, ali one nisu izgledale bitno različite od uobičajenih akcija developera. Tek kada su napadači počeli da čačkaju Cloud Identity i Access Management (IAM) na AWS nalogu, primećeno je da nešto nije u redu.

Različiti sistemi, različite tehnike i taktike napada, a svima je zajednička dobra zarada. Niko ne može da bude potpuno bezbedan, već stalno mora da radi na smanjenju verovatnoće da će on biti uspešno napadnut. Igra mačke i miša koja se nikada ne završava.