Οι ερευνητές της ESET ανακάλυψαν ένα backdoor με ενδιαφέροντα χαρακτηριστικά, που συνδέεται με malware της περίφημης ομάδας Stealth Falcon
Από το 2012, η ομάδα κυβερνοεγκληματιών Stealth Falcon επιτίθεται σε πολιτικούς ακτιβιστές και δημοσιογράφους στη Μέση Ανατολή. Κάποιοι ερευνητές τη συνδέουν με το Project Raven, μια πρωτοβουλία που φέρεται ότι απασχολεί πρώην συνεργάτες της NSA.
Μέχρι σήμερα, είχαν βγει στη δημοσιότητα περιορισμένα στοιχεία σχετικά με τη Stealth Falcon. Μεταξύ αυτών είναι και μία τεχνική ανάλυση της βασικής δομής του κακόβουλου λογισμικού. Σύμφωνα με αυτή, πρόκειται για ένα backdoor που βασίζεται στο PowerShell και που εξαπλώθηκε μέσω ενός εγγράφου εντός ενός κακόβουλου email.
Οι ερευνητές της ESET εντόπισαν για πρώτη φορά ένα εκτελέσιμο backdoor που ονόμασαν Win32/StealthFalcon. Παρατήρησαν έναν μικρό αριθμό επιθέσεων με αυτό το malware στα ΗΑΕ, τη Σαουδική Αραβία και την Ταϊλάνδη, καθώς στις Κάτω Χώρες, όπου εδώ στόχος ήταν η διπλωματική αποστολή μιας χώρας της Μέσης Ανατολής.
Σύμφωνα με τις έρευνες της ESET, υπάρχουν ομοιότητες μεταξύ του εκτελέσιμου backdoor που ανακαλύφθηκε πρόσφατα και του PowerShell backdoor που είχε αποδοθεί στην ομάδα Stealth Falcon. Οι ερευνητές της ESET θεωρούν ότι οι ομοιότητες αυτές είναι ισχυρές ενδείξεις ότι και τα δύο backdoor είναι έργο της ίδιας ομάδας.
Το Win32/StealthFalcon χρησιμοποιεί μια μάλλον ασυνήθιστη τεχνική για να επικοινωνεί με τον C&C server: την κλασική υπηρεσία των Windows, Background Intelligent Transfer Service (BITS).
Σε σχέση με την παραδοσιακή επικοινωνία μέσω API, η υπηρεσία BITS χρησιμοποιεί περιβάλλον COM και επομένως είναι πιο δύσκολο να εντοπιστεί. Επιπλέον, αυτός ο μηχανισμός είναι αξιόπιστος και απαρατήρητος, και είναι πιθανότερο να παίρνει έγκριση από τα firewall που ανιχνεύουν τον host.
Εκτός από την ασυνήθιστη επικοινωνία με τον C&C, το Win32/StealthFalcon διαθέτει μερικές προηγμένες τεχνικές για να αποφεύγει την ανίχνευση/ανάλυση, να παραμένει ανθεκτικό και να περιπλέκει τη διαδικασία διερεύνησης και ανάλυσης κακόβουλου κώδικα.
Περισσότερες λεπτομέρειες βρίσκονται στο blogpost «ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group» στο WeLiveSecurity.com. Όλες οι τελευταίες εξελίξεις και οι έρευνες βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα.
Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το
.| |