Microsoft odkrywa STONEDRIVE: złodziej kryptowalut z USB unika wykrycia przez Tor

Odkrycie złośliwego oprogramowania STONEDRIVE: Połączenie starych taktyk z nowoczesnymi technikami unikania

 

W zaskakującym połączeniu tradycyjnych i współczesnych metod cyberataków, Microsoft ujawnił zaawansowane złośliwe oprogramowanie zaprojektowane do atakowania entuzjastów kryptowalut. To złośliwe oprogramowanie, szczególnie biegłe w rozprzestrzenianiu się przez zainfekowane dyski USB, wykorzystuje sieć Tor do dyskretnych komunikacji dowodzenia i kontroli. Szczegółowo opisane w niedawnej analizie przez badaczy bezpieczeństwa Microsoftu, to zagrożenie sprytnie łączy stare techniki propagacji, przypominające czasy świetności Confickera, z zaawansowanymi strategiami unikania, aby potencjalnie zagrozić posiadaczom aktywów cyfrowych.

 

Zrozumienie STONEDRIVE: Ożywienie robaka USB

 

Odmiana złośliwego oprogramowania zidentyfikowana przez Microsoft jest śledzona wewnętrznie pod nazwą STONEDRIVE. Co czyni tę odmianę szczególnie godną uwagi, to jej wykorzystanie modelu propagacji robaka USB — techniki powszechnie uważanej za relikt przeszłości w dziedzinie cyberbezpieczeństwa. W przeciwieństwie do powszechnie spotykanych metod, które obejmują załączniki e-mail lub pobieranie drive-by, STONEDRIVE autonomicznie replikuje się na każde włożone nośniki wymienne. Gdy taki dysk zostanie włożony do innej maszyny, plik autorun.inf wraz z powiązanymi plikami wykonywalnymi uruchamia się, automatycznie rozprzestrzeniając infekcję na systemach z włączonymi funkcjami autorun lub gdy użytkownicy wchodzą w interakcję z zamaskowaną zawartością.

 

Celowanie w serce kryptowalut: Pliki portfela i dane uwierzytelniające

 

Po dostaniu się do systemu ofiary, STONEDRIVE działa jak zaawansowany złodziej informacji. Dokładnie skanuje system w poszukiwaniu plików portfela kryptowalut i danych uwierzytelniających, celując w popularne aplikacje portfela, takie jak Electrum, Exodus i MetaMask. Na tym się nie kończy — dane z rozszerzeń przeglądarki, przechowywane dane uwierzytelniające, ciasteczka, zapisane hasła i dane autouzupełniania zawierające wrażliwe informacje, takie jak frazy seed lub klucze prywatne, również są celem. Wszystkie zebrane informacje są ostatecznie przesyłane z powrotem do atakujących za pośrednictwem ukrytych usług Tor, co znacznie utrudnia przypisanie i potencjalne działania przeciwko nim.

 

Techniki unikania: Warstwy zaciemniania

 

Uważna obserwacja Microsoftu wskazuje na zaawansowane podejście STONEDRIVE do zaciemniania, zaprojektowane w celu uniknięcia wykrycia. Złośliwe oprogramowanie wykorzystuje wielowarstwowy dropper, z każdą warstwą zaszyfrowaną. Dekodują się one tylko sekwencyjnie, każda zależna od określonych kontroli środowiskowych. Ta metoda skutecznie udaremnia analizę przez maszyny wirtualne i narzędzia sandbox, które wyzwalają samousuwanie lub uśpienie. Te skomplikowane techniki unikania pozwoliły operacjom STONEDRIVE pozostać niezauważonymi przez dłuższy czas.

 

Wykorzystanie propagacji USB dla izolowanych środowisk

 

Preferencja dla propagacji opartej na USB wskazuje na celową strategię infekowania środowisk, takich jak systemy odizolowane od sieci lub sieci z rygorystycznymi ograniczeniami internetowymi. Zazwyczaj obejmują one środowiska korporacyjne, placówki badawcze i firmy handlujące kryptowalutami, gdzie odizolowane maszyny często obsługują podpisywanie transakcji. W takich kontekstach, samo fizyczne przeniesienie zainfekowanego dysku USB może połączyć sieci, które uważano za bezpieczne, podkreślając skuteczność taktyk STONEDRIVE w ograniczonych ustawieniach.

 

Sieć Tor: Zasłona anonimowości

 

Sieć Tor zapewnia operatorom zarządzającym tą kampanią kluczowe korzyści. Dzięki zastosowaniu trasowania cebulowego, sieć Tor ukrywa rzeczywistą lokalizację serwerów dowodzenia i kontroli, jednocześnie szyfrując ruch w taki sposób, że standardowe protokoły bezpieczeństwa mają trudności z przechwyceniem lub skuteczną analizą. Raport Microsoftu zauważa użycie zakodowanych adresów Tor, eliminując ryzyko związane z rozwiązywaniem DNS, które mogłoby potencjalnie wywołać alarmy. Co więcej, STONEDRIVE angażuje się w komunikację tylko w zaplanowanych odstępach czasu, co dodatkowo zmniejsza jego wykrywalność przez powszechne środki cyberbezpieczeństwa.

 

Poza zyskiem finansowym: Szerszy zakres zbierania informacji

 

Analiza skradzionych danych ujawnia uporządkowane podejście, z ładunkami JSON przechwytującymi adresy portfeli i klucze prywatne, gdzie to możliwe. Złośliwe oprogramowanie jest zdolne do robienia zrzutów ekranu, a w niektórych sytuacjach aktywowania kamer internetowych i mikrofonów. Takie możliwości sugerują aspiracje wykraczające poza zwykłą kradzież finansową, wskazując na szerszą operację zbierania informacji. Niektóre próbki złośliwego oprogramowania wykazały nawet moduły do rejestrowania klawiszy i monitorowania schowka, szczególnie wokół adresów kryptowalut, określane jako 'przechwytywanie schowka' — taktyka ułatwiająca potajemną zmianę skopiowanych adresów portfeli.

 

Reakcja i łagodzenie: Co mogą zrobić organizacje

 

Microsoft proaktywnie koordynuje działania z organami ścigania i rozpowszechnia wskaźniki kompromitacji za pośrednictwem swojego Centrum Wywiadu Zagrożeń. Firma promuje niektóre podstawowe środki ochronne, takie jak wyłączanie funkcji autorun w systemie Windows i egzekwowanie zasad grupowych, które zapobiegają domyślnemu uruchamianiu plików z dysków USB. Regularne szkolenia w celu edukowania pracowników na temat ryzyka związanego z nieznanymi urządzeniami USB, zwłaszcza w sektorach zajmujących się aktywami cyfrowymi o wysokiej wartości, są również kluczowe.

 

Kampania motywowana finansowo, celująca w regiony o wysokiej wartości

 

Śledztwo w sprawie kampanii sugeruje głównie grupę motywowaną finansowo, z mniejszym wskazaniem na zaangażowanie sponsorowane przez państwo. Aktorzy wykazują preferencje dla regionów z dużym zaangażowaniem w kryptowaluty, w tym Ameryki Północnej, Europy Zachodniej i Azji Południowo-Wschodniej. Niemniej jednak, wszędzie tam, gdzie pracownicy korzystają ze wspólnych nośników fizycznych, takich jak ci podróżujący międzynarodowo, pozostają oni w zwiększonym ryzyku.

 

Ciągła ewolucja taktyk złośliwego oprogramowania

 

Przeglądy kryminalistyczne próbek STONEDRIVE ujawniają oś czasu iteracyjnych ulepszeń rozciągających się na wiele miesięcy. Początkowo naznaczone błędami i problemami z kompatybilnością z nowszymi wersjami Windows, kolejne aktualizacje odzwierciedlają zwiększoną stabilność i rozszerzony zakres celów. Ta ewolucja podkreśla zaangażowanie operatorów w doskonalenie swoich narzędzi, w tym okresowe dostosowania konfiguracji Tor, aby ominąć listy blokad i zapewnić nieprzerwane operacje.

 

Wykrywanie i zapobieganie: Walka z STONEDRIVE

 

Systemy wykrywania i reagowania na punkty końcowe mogą wykrywać STONEDRIVE, identyfikując specyficzne wzorce zachowań, takie jak niezwykle szybki dostęp do wielu ścieżek plików związanych z portfelami i nieoczekiwana aktywność klienta Tor z procesów innych niż przeglądarki internetowe. Microsoft zaleca włączenie zaawansowanych funkcji bezpieczeństwa, takich jak ochrona przed manipulacją w Windows Defender, oraz utrzymywanie aktualnych poprawek bezpieczeństwa, aby przeciwdziałać wykorzystaniu przez złośliwe oprogramowanie luk w starszych wersjach.

 

Znaczenie czujności w bezpieczeństwie kryptowalut

 

Pojawienie się STONEDRIVE podkreśla ciągłe napięcie między cyfrową wygodą a bezpieczeństwem, z wieloma użytkownikami preferującymi łatwy dostęp do plików portfela. Jednak konieczność zachowania niezawodnego bezpieczeństwa nie może być przeceniona, zwłaszcza gdy portfele sprzętowe i interfejsy programowe są potencjalnymi celami. Eksperci ds. bezpieczeństwa zalecają ostrożne podejście do każdego urządzenia USB i kompleksową ocenę na odizolowanych maszynach przed połączeniem z systemami operacyjnymi w celu zminimalizowania ryzyka.

 

Implikacje dla szerszej gospodarki cyfrowej

 

Potencjalny efekt domina takiego złośliwego oprogramowania rozciąga się na podatności łańcucha dostaw w domenie kryptowalut. Deweloperzy nieumyślnie otrzymujący zainfekowane dyski USB od stron trzecich mogą nieświadomie wprowadzić złośliwe oprogramowanie do środowisk deweloperskich, ryzykując dalekosiężne skutki, zwłaszcza jeśli kluczowe klucze podpisywania lub frazy seed zostaną skompromitowane. W odpowiedzi na takie zagrożenia, niektóre projekty blockchain ponownie oceniają swoje polityki dotyczące wykorzystania USB po ujawnieniach Microsoftu.

 

Przyszłościowe podejście do adaptacyjnych aktorów zagrożeń

 

W miarę jak badacze nadal monitorują rozwój sytuacji, jest oczywiste, że aktorzy stojący za STONEDRIVE dostosują się do nowo zebranych informacji i poziomów czujności. Ich modułowe złośliwe oprogramowanie może włączać nowe cele i taktyki, potencjalnie obejmujące integrację ransomware i botnetów. Dlatego organizacje powinny dążyć do rygorystycznego zarządzania USB, być może z wykorzystaniem walidacji kryptograficznej, oraz wdrożyć segmentację sieci, aby skutecznie ograniczyć potencjalne naruszenia.

 

Ochrona użytkowników w ewoluującym krajobrazie cyfrowym

 

Dla indywidualnych użytkowników podstawowe środki ostrożności pozostają kluczowe, takie jak stosowanie renomowanego oprogramowania antywirusowego z proaktywnym skanowaniem USB. Unikanie używania nieznanych dysków USB z krytycznymi systemami i izolowanie działań związanych z kryptowalutami na wyznaczonych maszynach to praktyczne kroki w celu zmniejszenia narażenia. Praca Microsoftu rzuca światło na trwałą istotność technik infekcji z przeszłości w współczesnych kontekstach, podkreślając ciągłe znaczenie edukacji użytkowników w zakresie praktyk higieny cybernetycznej.

 

Patrząc w przyszłość: Adaptacja i odporność

 

Kampania STONEDRIVE podkreśla dynamikę między starymi mechanizmami zagrożeń a nowoczesnymi wyzwaniami bezpieczeństwa. Poleganie na nośnikach USB okazuje się dziś tak samo skuteczne, jak w przeszłości, przypominając nam, że historyczne zrozumienie propagacji złośliwego oprogramowania może dostarczyć cennych wglądów w obecne strategie obronne. Proaktywne działania, ciągła edukacja i wspólne wysiłki wśród specjalistów ds. bezpieczeństwa i agencji pozostaną niezbędne w ograniczaniu tych adaptacyjnych zagrożeń cybernetycznych.