Nový druh backdooru, škodlivého kódu, který umožňuje útočníkům proniknout do systému napadených firem a provádět skrytou špionáž i stahování citlivých dat, odhalila globální společnost zaměřená na kybernetickou bezpečnost Kaspersky. Za malwarem Power- Pepper stojí nechvalně proslulá skupina DeathStalker, jež patří mezi tvůrce pokročilých přetrvávajících hrozeb (Advanced Persistent Threats, APT). Bezpečnostní experti jsou přesvědčeni o tom, že za úplatu nabízí pronájem svých služeb ke krádežím citlivých dat od finančních skupin a právních kanceláří.
Backdoor PowerPepper O skupině DeathStalker informovali analytici společnosti Kaspersky poprvé v srpnu 2020 a nyní zaznamenali zvýšenou aktivitu hackerů, kteří využívají její infrastrukturu. Tentokrát využívají ke svým nekalým praktikám právě backdoor PowerPepper, který pro vzdálenou komunikaci s řídicím serverem využívá ke své infiltraci několik různých technik, včetně steganografie (způsobu, jak ukrývat data). DeathStalker je v oblasti APT velmi neobvyklou skupinou. Aktivní je minimálně od roku 2012 a svoje špionážní kampaně cílí především na malé a střední podniky, konkrétně právní kanceláře a firmy, které se pohybují ve finančním sektoru. Není u ní zjevná politická motivace nebo touha po zisku od společností, které napadá. Spíše jedná jako zprostředkovatel, který nabízí svoje hackerské dovednosti za úplatu třetím stranám. Právě k tomu nyní začala využívat tento nový backdoor. Ten se stejně jako jiné druhy malwaru spojované se skupinou DeathStalker šíří prostřednictvím spearphishingových e-mailů se škodlivými přílohami nebo škodlivými odkazy přímo v těle zprávy. Skupina k jeho šíření zneužila různé mezinárodní události, například úpravy předpisů o emisích uhlíku, a dokonce i pandemii covidu-19, aby přiměla své oběti k otevření škodlivých dokumentů.
Nemusí ho odhalit ani antivirový software Hlavní část škodlivého kódu je ukryta pomocí steganografie – procesu, který útočníkům umožňuje skrýt data mezi legitimní obsah zprávy. V případě viru PowerPepper je škodlivý kód vložen do zdánlivě běžných obrázků kapradí nebo paprik (odtud název tohoto malwaru) a poté je extrahován skriptem zavaděče. Jakmile k tomu dojde, Power- Pepper začne plnit příkazy zasílané přes vzdálený řídicí server operátory skupiny DeathStalker. Cílem této operace je ukrást citlivé obchodní informace. Malware může provádět jakýkoli příkaz v cílovém systému, včetně příkazů pro standardní průzkum dat, jako je shromažďování informací o uživateli a souborech v počítači, procházení souborů sdílených na síti a stahování dalších binárních knihoven nebo kopírování obsahu do vzdálených úložišť. Využití steganografie je však jen jednou z několika technik maskování a úniků před zraky napadané firmy, které malware používá. Zavaděč je maskovaný jako ověřovací nástroj GlobalSign (poskytovatel služeb ověřování identity), používá vlastní způsob krytí a části škodlivých doručovacích skriptů jsou skryty v objektech vložených do Wordu. Komunikace odnože (implantovaného kódu) se servery je šifrována a díky využití důvěryhodných podepsaných skriptů ji nemusí jako škodlivou aktivitu odhalit ani antivirový software. Případy útoků malwaru Power- Pepper se objevi ly především v Evropě, ale také v Americe a Asii. V již dříve popsaných škodlivých kampaních se skupina DeathStalker zaměřovala především na poradenské firmy a organizace, které poskytují finanční služby nebo se věnují obchodování s kryptoměnami.
Cílí na firmy, které nemají tak robustní zabezpečení „Malware PowerPepper opět potvrzuje, že DeathStalker je velmi kreativním tvůrcem hrozeb – umí během krátké doby vyvinout nové odnože a řetězce nástrojů (tzv. toolchains) pro své útoky. PowerPepper je již čtvr tým kmenem malwarů, které jsou spojené s touto skupinou. Nyní jsme objevili dokonce i další, pátý potenciální kmen. Přesto, že malwary skupiny DeathStalker nejsou zase až tak sofistikované, ukazuje se, že jsou poměrně dost účinné. Možná proto, že jejich primárními cíli jsou malé a střední podniky, tedy organizace, které používají méně robustní zabezpečení. Předpokládáme, že skupina DeathStalker bude nadále aktivní, a proto budeme její kampaně i nadále monitorovat,“ říká Pierre Delcher, bezpečnostní expert ve společnosti Kaspersky. Malwaru PowerPepper se věnoval nedávno publikovaný materiál „Powered by Croissant – Baguette Edition“ od Globálního týmu pro výzkum a analýzy společnosti Kaspersky (Global Research and Analysis Team, GReAT). Milan Bauman
