Orosz hackerek kémeszközzé változtatták a Microsoft Outlookot

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Beküldte balacy -

Az APT28 (Fancy Bear) nevű orosz hackercsoport egy új rosszindulatú programot (malware), a GonePostal-t vetette be, amely a Microsoft Outlook levelezőklienst használja titkos adatlopásra és megfigyelésre. A támadás azért különösen veszélyes, mert a hackerek a hétköznapi e-mail forgalomba ágyazzák be a tevékenységüket, így az észrevétlen maradhat a legtöbb biztonsági rendszer előtt.

Hogyan működik a GonePostal?

A biztonsági cég, a Kroll által azonosított esettanulmányban kiderült, hogy a támadás egy álcázott rendszerfájllal kezdődik. Ez egy SSPICLI.dll nevű, hamisított dinamikus könyvtárfájl (DLL), amely Microsoft által aláírt fájlnak adja ki magát. A fájl function forwarding technikát alkalmaz, vagyis a legitim rendszerhívásokat átirányítja, miközben rejtett rosszindulatú kódot futtat.

Ez a DLL egy kódolt PowerShell parancsot indít el, amely egy testtemp.ini nevű fájlt másol az Outlook makrókönyvtárába VbaProject.OTM néven. Ez a fájl jelszóval védett és obfuszkált VBA makrókat tartalmaz, amelyek automatikusan betöltődnek az Outlook indításakor.

A rendszer finom módosítása a rejtőzködés érdekében

A malware apró, de kritikus változtatásokat hajt végre a Windows rendszerleíró adatbázisában (registry), például a LoadMacroProviderOnBoot és a Security\Level kulcsokat módosítja, hogy a makrók figyelmeztetés nélkül fussanak. Emellett a PONT_STRING érték megváltoztatásával kikapcsolja azokat a biztonsági figyelmeztetéseket, amelyek normál esetben akkor jelennének meg, amikor az Outlook külső tartalmat tölt le.

Az Outlook mint irányító központ

Miután a GonePostal megfertőzte a rendszert, az Outlook távirányítási központtá válik a támadók számára. Az érkező e-mailekben elrejtett utasításokat figyeli, majd azokat végrehajtja. Ezek közé tartozik:

  • rendszerparancsok futtatása és az eredmények visszaküldése,
  • fájlok feltöltése és letöltése,
  • adatok küldése a támadóknak e-mailen keresztül,
  • háttérfeladatok végrehajtása.

Mivel ezek az adatok és utasítások hétköznapi e-mailekben utaznak, a támadás gyakorlatilag láthatatlan marad a legtöbb védelmi megoldás számára.

Kik az APT28 (Fancy Bear) hackerek?

Az APT28 – más néven Fancy Bear – egy orosz katonai hírszerzéshez (GRU) köthető hackercsoport, amely legalább 2007 óta aktív. Számos elemző szerint a csoport szorosan illeszkedik Moszkva geopolitikai céljaihoz: destabilizálni a Nyugatot, információt gyűjteni a NATO-ról és az Európai Unióról, illetve befolyásolni a nemzetközi közvéleményt.

Ismertebb akcióik közé tartozik:

  • 2016-os amerikai választási kampány: az APT28 hackerei feltörték a Demokrata Párt szervereit, és kiszivárogtatták a belső e-maileket, amivel jelentős politikai botrányt okoztak.
  • NATO és EU intézmények elleni támadások: számos európai védelmi és külpolitikai intézményt céloztak, köztük a német Bundestagot is 2015-ben.
  • Sportszervezetek elleni akciók: a Nemzetközi Doppingellenes Ügynökség (WADA) elleni támadás során kiszivárogtatták nyugati sportolók egészségügyi adatait, válaszul az orosz doppingbotrányokra.
  • Kritikus infrastruktúrák elleni kísérletek: energiaellátó rendszerek, közlekedési hálózatok és diplomáciai hálózatok is célkeresztbe kerültek.

Geopolitikai összefüggések

Az APT28 működése szorosan kapcsolódik Oroszország külpolitikai stratégiájához. Az ilyen akciók célja a politikai befolyás erősítése és a Nyugat destabilizálása. A kiberhadviselés olcsó, hatékony és nehezen visszakövethető módszer, amellyel Moszkva információs előnyhöz juthat.

A mostani GonePostal-kampány illeszkedik ebbe a logikába: egy széles körben használt üzleti alkalmazás (Microsoft Outlook) megfertőzésével a hackerek közvetlenül a vállalatok és kormányzati intézmények mindennapi működését támadhatják. Ez nemcsak adatlopást, hanem hosszabb távon bizalomvesztést és zavart is okozhat a célzott országokban.

Hogyan védekezhetünk?

A Kroll biztonsági szakértői azt tanácsolják, hogy a felhasználók tiltsák le a makrók futtatását a Microsoft Office alkalmazásokban, kivéve ha az feltétlenül szükséges. Emellett rendszeresen ellenőrizni kell az Outlook beállításait, különösen a makrókra és bővítményekre vonatkozó részeket, hogy időben észrevegyék az illetéktelen módosításokat.

A szervezetek számára pedig kulcsfontosságú a biztonságtudatossági képzés: a felhasználók ismerjék fel a gyanús fájlokat, mellékleteket, és legyenek tisztában azzal, milyen kockázatot hordoznak a makrók vagy a letöltött tartalmak engedélyezése.

Szómagyarázat

  • APT28 (Advanced Persistent Threat 28, Fancy Bear) – orosz állami támogatással működő hackercsoport, amelyet a GRU katonai hírszerzéshez kötnek.
  • GRU – az Oroszországi Föderáció katonai hírszerző szolgálata, amely gyakran használ kibereszközöket geopolitikai céljai eléréséhez.
  • Malware – rosszindulatú szoftver, amely adatlopásra, rendszerkárosításra vagy jogosulatlan hozzáférés megszerzésére szolgál.
  • DLL (Dynamic Link Library) – Windows rendszerben használt könyvtárfájl, amely különböző programok által meghívható funkciókat tartalmaz.
  • Makró (macro) – előre rögzített parancs- vagy műveletsor, amely automatizált feladatokat hajt végre. Gyakran használják irodai programokban, de rosszindulatú célokra is kihasználható.
  • Obfuszkáció (obfuscation) – a kód szándékos bonyolítása, amely megnehezíti annak elemzését vagy visszafejtését.
  • PowerShell – Windows rendszeren elérhető parancssori és szkriptelési környezet.
  • Registry (rendszerleíró adatbázis) – a Windows konfigurációs adatbázisa, amely a rendszer- és alkalmazásbeállításokat tárolja.