Kasperskys it-sikkerhedsteam har afdækket en serie af ekstremt målrettede angreb mod industrivirksomheder, som har været i gang siden 2018.
Der er tale om en sjælden og meget avanceret type af industrispionage, som Kaspersky har navngivet ”Montys Three” med henvisning til den it-kriminelle ATP-gruppe MT3. Gruppen bruger en lang række forskellige teknikker for at undgå opdagelse. Bl.a. gemmes kommunikation med kontrolserveren i offentlige skytjenester og den ondsindede kode gemmes ved brug af steganografi – en teknik, der effektivt skjuler koden.
Kaspersky har netop opdaget en sjælden ATP, der siden 2018 har sneget sig uden om virusscannere og som er målrettet bestemte industrivirksomheder. MontysThree, som de har døbt den, er en ATP, der ved hjælp af phishing og steganografi (en teknik, hvormed man skjuler at data overhoved findes, som regel ved at forklæde dem som en anden type data) har fået adgang til interne, fortrolige dokumenter.
Industrispionage er normalt forbeholdt diplomater, politikere og andre embedsmænd, da de ligger inde med fortrolige eller politisk følsomme oplysninger. Langt mere sjældent er den målrettede industrispionage, hvor der stjæles informationer fra konkurrenter for at opnå fordele på markedet. Det er, hvad industrivirksomheder kan frygte med ny malware. Som et hvert angreb, kan det have ødelæggende konsekvenser for virksomheden.
En kombination af sofistikerede og amatøragtige TTPs
For at udføre sin spionage implementerer MontysThree et malware-program bestående af fire moduler. Den første spredes ved hjælp af RAR SFX-filer (selvudpakkende filer), der indeholder navne relateret til medarbejdernes kontaktlister, teknisk dokumentation og medicinske analyseresultater, for at narre medarbejdere til at downloade filerne, altså klassisk phishing. For at undgå at ryge i antivirus-skanneren bruger malwaren en kendt teknik kaldet steganografi.
Steganografi bruges til at skjule det faktum, at data udveksles. I tilfælde af MontysThree er den vigtigste ondsindede last forklædt som en bitmap-fil (et format til lagring af digitale billeder). Hvis den rigtige kommando indtastes, bruges en skræddersyet algoritme til at dekryptere indholdet fra pixel-arrayet og køre den ondsindede virus.
Målrettet malware går efter Microsoft og Adobe Acrobat-dokumenter
Den målrettede malware skanner derefter virksomhedens lokale mapper og er programmeret til at målrette især Microsoft og Adobe Acrobat-dokumenter. Den kan også skanne screenshots af fingeraftryk og andre genkendelige faktorer for at samle information om virksomhedens netværksindstillinger. Målet er at skanne så meget som muligt for at afgøre, om det har relevans for angriberne.
De indsamlede oplysninger bliver derefter gemt på offentlige cloudtjenester som Google, Microsoft og Dropbox, hvilket gør det enormt svært for antivirus-skannere at opsnappe og blokere viraen. Malwaren har indtil nu været målrettet mod industrielle virksomheder, og alt tyder på, at den vil fortsætte med at rasere.
Kaspersky har aldrig før set denne kombination af malware:
”MontysThree er interessant, ikke kun fordi den er målrettet industrivirksomheder, men på grund af kombinationen af meget sofistikerede og samtidigt amatøragtige TTP’er (malware-elementer). Generelt varierer sofistikationsniveauet fra modul til modul, men de kan ikke sammenlignes med de mere avancerede ATP’er. Alligevel bruger de stærkt krypterede standarder, og der er virkelig brugt nogle meget tekniske elementer – især den specialdesignede steganografi. Det er tydeligt, at de it-kriminelle har brugt megen energi på at udvikle denne malware og det viser, at de er fast besluttede på at nå deres mål. Netop dette gør denne kampagne så farlig og den er langt fra ovre,” siger Denis Legezo, der er senior it-sikkerhedsanalytiker hos Kaspersky’s GReAT (Global Research and Analysis Team).
