Hakeri šire malver preko zaraženog softvera za enkripciju
Maliciozne verzije WinRaR i TrueCrypt alata korišćene za uspostavljanje kontrole nad sistemom i krađu fajlova.
Zabrinutost za onlajn privatnost i bezbednost zbog sve češćih priča o nadzoru i praćenju korisnika koje vrše vladine agencije, dovela je do toga da sve više ljudi koristi enkripcijske softvere i servise. Hakeri su, naravno, zloupotrebili ovu situaciju i napravili i distribuirali lažne verzije enkripcijskih alata kako bi zarazili što veći broj žrtava. Nedavno je otkrivena grupa hakera StrongPity koja koristi napredne uporne pretnje (APT) i koja cilja korisnike softvera za enkripciju podataka i komunikacije.
StrongPity APT grupa godinama koristi watering-hole napade, zaražene instalacione fajlove i malver za napad na korisnike enkripcijskih softvera tako što kompromituje legitimne sajtove ili tako što postavlja svoje, maliciozne sajtove koji liče na originalne. Watering-hole napadi su osmišljeni da namame tačno određene grupe korisnika na sajtove gde se nalaze maliciozni fajlovi ili da ih preusmere da preuzmu sadržaj koji je pod kontrolom napadača. Grupa je izvršila uspešne napade u Evropi, Severnoj Africi i na Bliskom Istoku, a meta su bila 2 alata za enkripciju podataka - WinRAR i TrueCrypt.
Ova dva alata su veoma popularna kod korisnika koji vode računa o bezbednosti i privatnosti na internetu. WinRAR je poznat po svojim mogućnostima arhiviranja, gde se fajlovi kriptuju pomoću AES-256 crypto, dok je TrueCrypt alat koji zaključava sve fajlove na hard disku.
StrongPity grupa je pravljenjem lažnih sajtova koji oponašaju legitimne uspela da prevari korisnike da preuzmu maliciozne verzije ovih enkripcijskih alata. Cilj napadača je bio da korisnici preuzmu zaražene alate, a zatim da izvrše enkripciju svojih fajlova pomoću njih. U tom slučaju, napadači su mogli videti kriptovani sadržaj pre nego što se proces enkripcije završi. U principu, hakeri su imali uspeha zbog načina na koji su ove softvere distribuirali, a ne zbog same jačine enkripcije.
Kako su napadači kompromitovali WinRAR i TrueCrypt?
Hakeri su krenuli sa watering-hole TrueCrypt napadima krajem 2015. godine, a krajem leta ove godine došlo je do velikog skoka ovih aktivnosti. Između jula i septembra na desetine posetilaca je bilo preusmereno sa tamindir[.]com na true-crypt[.]com, a gotovo kompletan fokus je bio na računarske sisteme u Turskoj, uz nekoliko žrtava iz Holandije.
U slučaju WinRAR-a, umesto preusmeravanja na drugi sajt, StrongPity grupa je preuzela kontrolu nad legitimnim sajtom winrar.it i onda na njega postavila zaraženu verziju softvera. Žrtve su bile uglavnom iz Italije, zatim slede korisnici iz Belgije, Alžira, Tunisa, Francuske, Maroka i Obale Slonovače. Takođe, grupa je preuzela kontrolu i nad sajtom winrar.be, preko kojeg su zarazili korisnike iz Belgije, Alžira, Maroka, Holandije i Kanade.
StrongPity APT malver
Dropper malver grupe StrongPity APT sadrži sledeće komponente: backdoor, keyloggere, "kradljivce" fajlova i još neke softvere povezane sa enkripcijom, kao što je SSH klijent, filezilla FTP klijent, Winscp obezbeđeni program za transfer fajlova i desktop klijent za pristup sa udaljene lokacije.
Ovaj malver ne samo da omogućuje hakerima kontrolu nad sistemom, već i krađu fajlova sa diska. Osim toga, on preuzima druge malvere koji kradu kontakt informacije i informacije o komunikaciji. Stoga, posetiocima sajta koji preuzimaju ove softvere se preporučuje da provere i validnost samog sajta i integritet preuzetog sadržaja. Download sajtovi koji ne koriste PGP ili neki jak digitalni code signing sertifikat imaju obavezu da preispitaju tu odluku, ne samo zbog sebe, već i zbog svojih korisnika.
Šta su code signing sertifikati?
Code signing sertifikati su digitalni sertifikati koji treba da zaštite korisnike od preuzimanja fajlova ili aplikacija koji su kompromitovani, odnosno čiji je sadržaj izmenjen.
Slikovito objašnjeno, code signing stavlja "zaštitnu foliju" oko kôda i tako ga štiti od neovlašćenih izmena. Ukoliko bi kôd koji je zaštićen sertifikatom bio izmenjen, prilikom preuzimanja softvera aktivirao bi se pop-up prozor sa upozorenjem o neovlašćenim izmenama. Code Signing sertifikat tako uverava korisnike da softver dolazi od proverenog izvora i da je autentičan.
Code Signing sertifikate izdaju nezavisna sertifikaciona tela koja proveravaju identitet autora i garantuju autentičnost softvera.
Pročitajte više o Symantec i Thawte code signing sertifikatima u našoj SSL prodavnici: