Wiedza chroni najlepiej. Ataki bez plików i inne nowe cyberzagrożenia

Dwa lata temu firma Kaspersky Lab poinformowała o odkryciu nietypowego, pierwszego podobno w swoim rodzaju, ataku złośliwego oprogramowania „bezplikowego”. Nieużywające plików jako nośników ataki nie są wprawdzie nowością w ogóle, ale tym razem złośliwy kod „bez pliku” schował się w systemie plików, czyli wyjątkowo perfidnie.

Mówiąc językiem specjalistów, w lutym 2022 r. po raz pierwszy zaobserwowano technikę umieszczania kodu powłoki w dziennikach zdarzeń systemu Windows w ramach ataku złośliwego oprogramowania. Pozwoliło to na ukrycie w systemie plików „bezplikowego” trojana aktywowanego na ostatnim etapie ataku.

Czerwony kod i kolejne „atrakcje”

Złośliwe oprogramowanie to ogólny termin odnoszący się do każdego software’u zaprojektowanego w celu uszkodzenia lub wykorzystania do przestępczych celów dowolnego programowalnego urządzenia, usługi lub sieci. Cyberprzestępcy zazwyczaj używają takich narzędzi do wydobywania danych, które można dalej wykorzystać w celu uzyskania korzyści finansowych lub innych. Zaś bezplikowa odmiana złośliwego oprogramowania to taki rodzaj cyberataku, w którym „malware” nie umieszcza pliku wykonywalnego na dysku, korzystając z plików już w systemie istniejących i wykonywanych. Działa w pamięci RAM. Oznacza to, że tradycyjne oprogramowanie antywirusowe ma trudności z jego wykryciem – nie ma bowiem określonego pliku wskazującego na infekcję.

Uważa się, że pierwszy przykład bezplikowego mal-ware’u pojawił się w 2001 roku wraz z wirusem Code Red. Wykorzystywał lukę przepełnienia bufora w serwerach internetowych Microsoft IIS. W efekcie ponad 350 tysięcy serwerów zostało dotkniętych awarią, a na stronach hostowanych wyświetlany był komunikat „Witamy w http://www.worm.com! Zhakowany przez Chińczyków!”. Kod za to odpowiadający nie pozostawił żadnych plików ani trwałych śladów na dysku twardym, ponieważ działał jedynie w pamięci zainfekowanych maszyn. W kolejnych latach liczba podobnych infekcji rosła. Tylko w 2018 roku tego typu ataki stanowiły około 35 proc. wszystkich kampanii cyberprzestępczo-hakerskich.

Atak bezplikowy może mieć postać ciągów tekstowych pobranych z serwera WWW, a następnie przekazanych jako parametry do programu konfigurującego takiego jak PowerShell, który interpretuje skrypty. Złośliwy kod zostanie następnie wykonany bezpośrednio w pamięci z PowerShell, bez śladu na dysku. W wykrytym przez Kaspersky Lab ataku bezplikowym wykorzystano wiele technik, m.in. komercyjne pakiety do testów penetracyjnych i pakiety antywykrywcze, w tym skompilowane w języku programowania Go, a także kilka programów trojańskich infekujących atakowaną maszynę. Aby uzyskać dalszy dostęp do systemu, hakerzy wykorzystali dwie różne metody – za pośrednictwem komunikacji sieciowej HTTP i przez korzystanie z nazwanych wcześniej ciągów. Złośliwe oprogramowanie było ukryte w duplikacie istniejącego pliku, dodanym do ciągu.

Rosnące zagrożenie atakami „bezplikowymi” jest na fali rosnącej, razem z innymi nękającymi użytkowników komputerów i sieci zagrożeniami, takimi przede wszystkim jak ransomware, w których złośliwe oprogramowanie szyfruje pliki na komputerze ofiary i żąda okupu za ich odblokowanie. Stało się to jednym z największych zagrożeń dla firm i osób indywidualnych. Popularność zdobywają obecnie także zagrożenia wobec IoT – wraz ze wzrostem popularności Internetu Rzeczy rośnie liczba tworzonych z tych urządzeń botnetów, służących głównie do ataków DDoS. Nowością ostatnich lat jest cryptojacking, nielegalne wykorzystywanie mocy obliczeniowej ofiary do wydobywania kryptowalut. Wraz ze wzrostem popularności chmur obliczeniowych hakerzy zaczęli wykorzystywać luki w zabezpieczeniach takich usług do kradzieży danych lub przejęcia kontroli nad urządzeniami.

Podobnie ataki z wykorzystaniem uczenia maszynowego do tworzenia bardziej zaawansowanych i przekonujących ataków, np. deepfake. Potwierdzają to nowe badania przeprowadzone przez firmę Menlo Security. „Pracownicy wykorzystują sztuczną inteligencję w swojej codziennej pracy. Kontrole nie mogą jej po prostu zablokować, ale nie możemy też pozwolić jej działać dziko”, mówi Andrew Harding, wiceprezes Menlo Security, w wywiadzie dla VentureBeat. „Organizacje wzmacniają środki bezpieczeństwa, ale jest pewien haczyk. Większość z nich stosuje te zasady tylko w odniesieniu do domeny, co już nie wystarcza”. Ta fragmentaryczna taktyka nie nadąża za stale pojawiającymi się nowymi platformami generatywnej sztucznej inteligencji. Raport ujawnił, że liczba prób przesyłania plików w związku z działalnością usług AI wzrosła o 80 proc. w ciągu pół roku. Ryzyko w tym przypadku wykracza daleko poza potencjalną utratę danych w wyniku przesyłania plików.

Badacze ostrzegają, że generatywna sztuczna inteligencja może również poważnie wspomagać oszustów stosujących tzw. phishing, czyli podszywanie się w celu wyłudzenia danych. Niedawno oszuści ukradli 25,6 miliona dolarów przy użyciu sztucznej inteligencji, podszywając się pod dyrektora finansowego firmy podczas sfingowanej wideokonferencji, w której uczestniczyły fałszywe wideoawatary pracowników firmy. Wykorzystali fałszywe głosy i zmanipulowane filmy, aby nakłonić pracownika międzynarodowej korporacji w Hongkongu do przelewu.

Rosyjska wojna cyberpsychologiczna

Nowością jest też nasilenie cyberwojny, w której uczestniczą rosyjskie i chińskie wyspecjalizowane jednostki hakerskie, niekoniecznie stosując środki techniczne, czyli wirusy, malware i łamanie zabezpieczeń. Bardzo często są to działania propagandowo-socjotechniczne oparte na wiedzy społeczno-psychologicznej i manipulacjach dużymi grupami ludzi. Wraz z poja-wieniem się nowych narzędzi AI arsenał stosowanych przez nich środków znacznie się poszerzył.

Opublikowany pod koniec ubiegłego roku raport centrum analiz zagrożeń firmy Microsoft pt. „Russian Threat Actors Dig In, Prepare to Seize on War Fatigue” (z ang. – „Rosyjscy agenci i twórcy zagrożeń kopią, przygotowują się do wykorzystania zmęczenia wojną”) pokazuje te nowe techniki działania w kontekście wojny na Ukrainie, np. wyłudzone nagrania wideo amerykańskich celebrytów, które wkomponowane w odpowiedni kontekst zyskują antyukraiński wydźwięk. Początkowo uważano, że śmierć Jewgienija Prigożyna, który był właścicielem Wagner Group i farmy trolli Internet Research Agency, osłabi aktywność rosyjskiej propagandy w Internecie. Jednak Microsoft w swoim raporcie opisuje szeroko zakrojone operacje wpływu prowadzone przez rosyjskie podmioty, które nie są powiązane z Prigożynem.

Latem, w okresie wzrostu plonów i żniw, Rosja penetrowała przedsiębiorstwa rolne, kradła dane, wdrażała złośliwe oprogramowanie i wykorzystywała ataki wojskowe do niszczenia zboża. Raport Microsoftu pokazuje silne powiązanie między działaniami wojskowymi, propagandowymi i cyberatakami. Na przykład w ciągu czterech dni pod koniec lipca 2023 r., po wycofaniu się Moskwy z Czarnomorskiej Inicjatywy Zbożowej, Rosja zaatakowała obiekty infrastruktury zbożowej w Odessie za pomocą pocisków manewrujących i równocześnie przeprowadziła cyberatak na ukraińską organizację zajmującą się sprzętem rolniczym. Rozpowszechniała w prorosyjskich mediach zarzuty, że Ukraina, USA i NATO nadużywały korytarza zbożowego do celów terrorystycznych, a nie pomocy humanitarnej. We wrześniu 2023 r. Rządowy Zespół Reagowania na Incydenty Komputerowe Ukrainy (CERT-UA) ogłosił, że ukraińskie sieci energetyczne są na celowniku, a Microsoft Threat Intelligence obserwował ślady aktywności rosyjskiego wywiadu wojskowego (GRU) w ukraińskiej infrastrukturze energetycznej od sierpnia do października 2023 r.

Były inne operacje. Wiązany z Rosją podmiot Storm-1099, oskarżany przez europejską organizację DisinfoLab o masowe fałszowanie stron internetowych od wiosny 2022 r., podjął działania propagandowe skierowane w zwolenników Ukrainy na świecie. Grupa tworzy serwisy informacyjne takie jak Reliable News Network (RNN) w celu rozsiewania antyukraińskiej propagandy, łącząc świat cyfrowy i działania organizacyjne, wspierając np. demonstracje. W przeszłości celem Storm-1099 były kraje Europy Zachodniej, zwłaszcza Niemcy, ale obecnie skupił się na Izraelu i Stanach Zjednoczonych, w związku z wojną i wyborami prezydenckimi w USA. Serwisy Storm-1099 propagowały np. fake newsy, że Hamas nabył ukraińską broń. Jednocześnie prowadzono działania typowo hakerskie. Grupa Forest Blizzard próbowała uzyskać dostęp do instytucji militarnych na Zachodzie za pośrednictwem phishingu.

Amerykańskie struktury wywiadowcze uznały te zagrożenia za na tyle poważne, że postanowiły głębiej zbadać techniki wojny „cyberpsychologicznej”. Organizacja Intelligence Advanced Research Projects Activity (IARPA) ogłosiła niedawno, że „poszukuje informacji na temat metod, badań, ustaleń, podejść i odpowiednich wskaźników do scharakteryzowania efektów poznawczych w operacjach cybernetycznych”. „Techniki stosowane obecnie w reklamie internetowej, kampaniach politycznych, handlu elektronicznym i grach online z powodzeniem wykorzystują słabe punkty ludzkiej psychologii”, czytamy w RFI wydanym przez IARPA. „Cyberprzestępcy często wykorzy-tują podobne ludzkie ograniczenia, stosując inżynierię społeczną”. „Jakie wewnętrzne i zewnętrzne czynniki kierują zachowaniem cyberoperatorów?” – to jedno z ośmiu pytań zadanych przez IARPA ekspertom ze środowisk akademickich i przemysłu prywatnego.

IARPA i nie tylko ona wierzy, że szersza świadomość i znajomość cyberpsychologicznych technik manipulacji już jest niezłym sposobem na walkę z nimi. Z eksperymentów wynika, że ataki na osoby mające nawet ogólną wiedzę o tych technikach były znacznie mniej skuteczne.

Mirosław Usidus