นักวิจัยด้านความปลอดภัยจาก Eset ได้วิเคราะห์ชุดเครื่องมือของกลุ่มแฮ็กเกอร์อันตราย APT 28 ซึ่งรับผิดชอบในการขโมยข้อมูลจากพรรคของฮิลลารี คลินตัน และการก่อวินาศกรรม TV 5 Monde
เมื่อเดือนพฤษภาคมที่ผ่านมาเครือข่ายคอมพิวเตอร์ของพรรคประชาธิปไตยอเมริกันเป็นเหยื่อของการโจมตีทางไซเบอร์ที่เกิดขึ้นพร้อมกันสองครั้ง ตามบริษัทฝูงชนโจมตีพวกเขากระทำความผิดโดยกลุ่มแฮ็กเกอร์สองกลุ่มที่เชื่อมโยงกับรัฐบาลรัสเซีย: Cozy Bear (aka APT 29) และ Fancy Bear (aka APT 28) หลัง – ซึ่งเป็นต้นตอของการก่อวินาศกรรมด้วยทีวี 5 โลก– ขณะนี้ได้รับการวิเคราะห์อย่างใกล้ชิดโดยนักวิจัยด้านความปลอดภัยจากผู้จัดพิมพ์ Eset พวกเขาตั้งชื่อเขาว่าเซดนิต สัปดาห์ที่แล้ว รายงานฉบับแรกอธิบายว่าโจรสลัดที่อยู่ในค่าจ้างของปูตินจัดการได้อย่างไรเจาะเครือข่ายคอมพิวเตอร์ของเป้าหมายของพวกเขา กรายงานครั้งที่สองตอนนี้ให้ความกระจ่างเกี่ยวกับเครื่องมือสอดแนมของพวกเขา
เมื่อพวกเขาตั้งหลักในเครือข่ายได้ แฮกเกอร์เหล่านี้จะปรับใช้ชุดสอดแนมที่ประกอบด้วยแบ็คดอร์สองตัว (XAgent และ Sedreco) และรีเลย์การสื่อสารเครือข่าย (XTunnel) แบ็คดอร์เป็นเครื่องมือที่รวมฟังก์ชันการสอดแนมต่างๆ เข้าด้วยกัน สามารถใช้งานพร้อมกันได้ ซึ่งช่วยให้แฮกเกอร์ “สามารถติดต่อ [กับเครื่องที่ติดไวรัส] เมื่อตรวจพบหนึ่งในสองเครื่อง” นักวิจัยของ Eset ประมาณการ
การสื่อสารลับทางอีเมลหรือเว็บ
XAgent ซึ่งได้รับการระบุอย่างเป็นทางการบนเซิร์ฟเวอร์ของพรรคเดโมแครต เป็นซอฟต์แวร์แบบโมดูลาร์ที่เขียนด้วยภาษา C++ ตามที่เปิดเผยโดยซอร์สโค้ด GNU/Linux ที่นักวิจัยของ Eset สามารถค้นพบได้ (อ่านบทสัมภาษณ์ด้านล่าง) ความเป็นโมดูลนี้ทำให้ผู้โจมตีสามารถเลือกฟีเจอร์ที่จะปรับใช้สำหรับการโจมตีแต่ละครั้ง สำเนาที่ Eset พบมีสามรายการ: คีย์ล็อกเกอร์ รีโมตเชลล์ และตัวจัดการไฟล์ ในอดีตมีการตรวจพบโมดูลอื่นๆ รวมถึงเครื่องสแกนเครือข่าย
โมดูลได้รับการควบคุมจากระยะไกลโดยเซิร์ฟเวอร์คำสั่งและควบคุมซึ่งสื่อสารกับ XAgent ผ่านข้อความที่ซ่อนอยู่ในอีเมลหรือในคำขอ http XAgent บางเวอร์ชันสามารถสื่อสารผ่านแท่ง USB ได้ ซึ่งมีประโยชน์เมื่อคอมพิวเตอร์เป้าหมายไม่ได้เชื่อมต่อกับเครือข่าย
ในส่วนของ Sedreco นั้นมีคุณสมบัติต่างๆ เช่น เครื่องบันทึกการกดแป้นพิมพ์ การสแกนฮาร์ดไดรฟ์ หรือการจัดการไฟล์ แต่ความพิเศษหลักคือสามารถเปิดใช้งานฟีเจอร์ใหม่ ๆ ได้ทันที ต้องขอบคุณระบบปลั๊กอิน สิ่งเหล่านี้จะถูกดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) จากนั้นจึงรวมเข้ากับกระบวนการ Sedreco ซึ่งทำให้แบ็คดอร์นี้มีความยืดหยุ่นในการใช้งานเป็นพิเศษ นักวิจัยสามารถใช้ปลั๊กอินได้เพียงตัวเดียวเท่านั้น ในกรณีนี้คือตัวแปลคำสั่งระยะไกล
พร็อกซีที่ถูกแฮ็ก
อิฐก้อนที่สามในชุดสายลับของ Sednit คือ Xtunnel นี่คือรีเลย์การสื่อสารที่อนุญาตให้ส่งข้อความระหว่างเซิร์ฟเวอร์ C&C และคอมพิวเตอร์เป้าหมายที่ไม่มีการเข้าถึงอินเทอร์เน็ต และไม่สามารถส่งอีเมลหรือคำขอทางเว็บได้ ดังนั้น Xtunnel จึงทำงานเหมือนกับพร็อกซีเล็กน้อย ซึ่งเหมาะอย่างยิ่งสำหรับการเคลื่อนไหวด้านข้างภายในเครือข่ายเป้าหมาย เพื่อให้บรรลุผลในการส่งข้อมูลนี้ ผู้สร้างมัลแวร์นี้ ซึ่งพบในเซิร์ฟเวอร์พรรคเดโมแครตด้วย ได้พัฒนาโปรโตคอลเครือข่ายแบบกำหนดเองที่ใช้ UDP หรือ HTTP
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
