Μια πανεπιστημιακή μονάδα στην Ταϊβάν δέχθηκε επίθεση από χάκερ με ένα προηγουμένως άγνωστο backdoor* για Windows, που χρησιμοποιεί μια ασυνήθιστη, αλλά όχι εντελώς νέα, μέθοδο για να μολύνει υπολογιστές.
Αυτό το εργαλείο, που ονομάζεται Msupedge, επικοινωνεί με τους επιτιθέμενους μέσω του Διαδικτύου με έναν περίεργο τρόπο και μπορεί να προχωρήσει σε διάφορες κακόβουλες ενέργειες.
Οι ερευνητές κυβερνοασφάλειας από την Symantec Threat Hunter Team δημοσίευσαν τα ευρήματά τους για το Msupedge, το οποίο έχει σχεδιαστεί ως μια δυναμική βιβλιοθήκη συνδέσμων (.DLL) με ένα ιδιαίτερα διακριτικό χαρακτηριστικό, αυτό της επικοινωνίας με τον C2 μέσω DNS traffic.
Το νέο Windows backdoor
Το Msupedge παρέχει στους χειριστές του τη δυνατότητα να δημιουργούν διεργασίες στο στοχευμένο endpoint, να κατεβάζουν αρχεία, να θέτουν το σύστημα σε κατάσταση ύπνου για ένα προκαθορισμένο χρονικό διάστημα, να δημιουργούν ένα προσωρινό αρχείο (άγνωστης χρήσης) και να διαγράφουν το εν λόγω αρχείο.
«Το πιο αξιοσημείωτο χαρακτηριστικό αυτού του backdoor είναι ότι επικοινωνεί με έναν command-and-control (C&C) server μέσω DNS traffic», ανέφεραν οι ερευνητές στην έκθεσή τους. «Το Msupedge χρησιμοποιεί DNS tunneling για επικοινωνία με τον C&C server. Ο κώδικας για το εργαλείο DNS tunneling βασίζεται στο δημόσια διαθέσιμο εργαλείο dnscat2. Λαμβάνει εντολές εκτελώντας ανάλυση ονομάτων».
Γνωστή αλλά σπάνια τακτική
Οι ερευνητές πρόσθεσαν ότι η τεχνική αυτή είναι γνωστή και έχει χρησιμοποιηθεί από «πολλούς κακόβουλους παράγοντες». «Παρόλα αυτά, είναι κάτι που δεν παρατηρείται συχνά».
Ακόμα δεν γνωρίζουμε ακριβώς τι αναζητούσαν οι χάκερ ή αν το βρήκαν. Γνωρίζουμε όμως ότι παραβίασαν τις συσκευές του θύματος μέσω μιας ευπάθειας PHP που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE). Η ευπάθεια, που καταγράφεται ως CVE-2024-4577, φέρει βαθμολογία σοβαρότητας 9.8/10, καθιστώντας την ένα κρίσιμο ελάττωμα.
Έλλειψη κρίσιμων λεπτομερειών
Άλλες σημαντικές λεπτομέρειες εξακολουθούν να λείπουν – καθώς δεν είναι γνωστό ποιοι είναι οι κακόβουλοι παράγοντες πίσω από την επίθεση, ή ποιο είναι το θύμα (πέρα από το ότι πρόκειται για ένα πανεπιστήμιο στην Ταϊβάν). Δεδομένου του τρέχοντος πολιτικού κλίματος, μπορούμε μόνο να εικάσουμε ότι πρόκειται για έργο μιας κρατικά υποστηριζόμενης ομάδας από την Κίνα, που εκτελεί εκστρατείες κυβερνοκατασκοπείας, στοχεύοντας διανοούμενους και άλλα μέλη της ακαδημαϊκής κοινότητας.
Η Volt Typhoon είναι μια τέτοια οργάνωση, η οποία παρατηρήθηκε στο παρελθόν να εκτελεί παρόμοιες εκστρατείες.
Windows Backdoor*: Αναφέρεται σε οποιαδήποτε μέθοδο με την οποία οι εξουσιοδοτημένοι και μη εξουσιοδοτημένοι χρήστες μπορούν να παρακάμψουν τα συνήθη μέτρα ασφαλείας και να αποκτήσουν πρόσβαση χρήστη υψηλού επιπέδου (γνωστή και ως πρόσβαση root) σε ένα σύστημα υπολογιστή, ένα δίκτυο ή μια εφαρμογή λογισμικού.
