В течение двух лет программа скрывалась на критическом сервере, который аутентифицирует пользователей. Это позволяет атакующим с секретным паролем входить в систему как любой пользователь.Инструмент нападения, используемый в продолжающейся киберразведывательной операции, дает цифровым шпионам черный ход в затронутую сеть и позволяет им сохранять контроль почти необнаруживаемым способом, согласно исследованию, опубликованному фирмой управляемой безопасности Делл Секьюруоркс 13 января.Больше двух лет, программы, назвал ‘Отмычку’, кажется, находился на критическом, известном сервером как контроллер домена – и позволил любому атакующему с секретным ключом входить в систему сети жертвы, надев идентификационные данные любого действительного пользователя.
Когда атакующие пропитывают сеть компании, следующая проблема обычно состоит в том, чтобы сохранять контроль над поставившими под угрозу учетными записями и системами без того, чтобы быть обнаруженным, и Отмычка заставляет это произойти, согласно опубликованному анализу.В то время как не программа, которая ставит под угрозу системы сама, вредоносные действия как секретный привратник, обходя средства управления доступом, обычно установленные контроллером домена, Доном Смитом, директором технологической службы для модуля контругрозы (CTU) в Делле Секьюруорксе, сказала eWEEK.«Противник мог ввести Отмычку и затем, в очень, очень тайный путь, переместить сеть с полностью беспрепятственным доступом к содержанию организации», сказал он. «Доступ, который это предоставляет им, является крупным».После того, как установленный на Контроллере доменов Active Directory, Отмычка позволяет пользователям входить в систему как нормальная, но если какое-либо имя пользователя будет введено вместе с секретным паролем атакующего, то атакующий будет зарегистрирован как тот пользователь, сказал Делл Секьюруоркс.
В то время как программа требует, чтобы у атакующих уже был доступ к сетевым и допустимым учетным данным администратора домена, это действительно позволяет атакующим легко входить в системы жертвы и данные кражи, говорилось в докладе.До сих пор только единственный случай вредоносного программного обеспечения был найден, по словам Смита Делла Секьюруоркса. Администратор, работающий в затронутой компании, которую Смит отказался называть, замеченная пользовательская деятельность в течение нечетных часов и отметил управляемого поставщика систем обеспечения безопасности.
После анализа проблемы компания сфокусировалась на контроллере домена и в конечном счете нашла вредоносное программное обеспечение.Отмычка только находится в памяти и не записана в диск, делая еще более трудным обнаружить, но также и требуя, чтобы атакующие переустановили его, если контроллер домена перезапущен.«Единственные известные выборки Отмычки с этой персистентности отсутствия публикации и должны быть повторно развернуты, когда контроллер домена перезапущен», говорилось в докладе. «Исследователи CTU подозревают, что деятели угрозы могут только идентифицировать перезапуск, основанный на их неспособности успешно аутентифицировать использование обхода, поскольку никакое другое вредоносное программное обеспечение не было обнаружено на контроллерах домена».
Когда компания жертвы перезапустила свой сервер, Отмычка была переустановлена где-нибудь между восемью часами и восемь дней спустя.Программа, вероятно, имела контроль над контроллером домена в предназначенной компании больше двух лет, по словам Смита.
Более старая версия программы с датой компиляции в сентябре 2012 была найдена в другой системе в фирме, сказал он.В то время как никакое другое подобное вредоносное программное обеспечение не было найдено в других компаниях, программа, кажется, часть большей кампании, сказал Смит. Код доступа для доступа к сети был установлен в название контроллера домена, сопровождаемого символ, сопровождаемый кодовым названием для жертвы.
Такая схема не была бы необходима, если только единственная компания была предназначена, сказал Смит.«Форма того пароля убеждает мне, у них были другие жертвы», сказал он.