Nie ma co się oszukiwać, ale sytuacja z koronawirusem zmieniła rzeczywistość. Codziennie czytamy ostrzeżenia o tym jak przestępcy próbują wykorzystywać bieżące informacje, które wydają się kluczowe dla naszego zdrowia albo finansów. Żeby nadać temu szerszy kontekst może warto wspomnieć, jak nowa rzeczywistość przekłada się na taktyczne działania powiązane z geopolityką. Wszyscy chyba wiemy, że cyberwojny podjazdowe toczą się na wielu frontach: Rosja, USA, Izrael, Iran, Korea Północna, Chiny, to oczywiście główni aktorzy.

Ale nie tylko! Odkryto kolejną kampanię phishingową COVID-19 (Coronavirus) – podobno obsługiwaną przez pakistańską APT36, która, jak się uważa, jest wspierana przez państwo. APT36 działa od 2016 r lub nawet wcześniej, wykonując cyberszpiegostwo głównie skierowane przeciwko indyjskiej obronie i działaniom rządu. Pierwszy raport na temat nowej kampanii został opublikowany w tweecie zespołu RedDrip (chińska firma QiAnXin Technology) z 12 marca 2020 r.: „Złośliwy dokument, udający, że pochodzi od rządu Indii z poradą zdrowotną dotyczącą koronawirusa, wydaje się być dostarczony przez Transparent Tribe”. Przezroczyste plemię (w wolnym tłumaczeniu) to alternatywna nazwa APT36. Pochodzi z wczesnych badań Proofpoint, które opisywały użycie ładunku Crimson RAT (tego samego, jaki jest używany obecnie) w ataku na ambasady Indii w Arabii Saudyjskiej i Kazachstanie.

Malwarebytes przeanalizował dokumenty użyte w najnowszej kampanii. Opisuje wiadomość mailową typu „spear phishing”, podszywającą się pod rząd Indii, z załączonym fałszywym poradnikiem dotyczącym zdrowia i koronawirusa jako przynętą. Załącznik zawiera dwa ukryte makra, które instalują Crimson RAT. Pierwszym krokiem jest utworzenie dwóch katalogów o nazwach „Edlacar” i „Uahaiws”, a następnie sprawdzenie typu systemu operacyjnego. W oparciu o system operacyjny wybiera 32-bitową lub 64-bitową wersję RAT i instaluje ją do spakowanego katalogu Uahaiws. Stąd jest on rozpakowywany za pomocą funkcji „UnAldZip”, a ładunek wrzucany jest do katalogu Edlacar i tam uruchamiany.

Crimson RAT może kraść poświadczenia z przeglądarek, korzysta z niestandardowego protokołu TCP do komunikacji C2. Może również zbierać dane z dysków wymiennych, może zbierać i wyodrębniać wiadomości e-mail z programu Outlook, może wyświetlać listę plików i katalogów oraz wyszukiwać określone rozszerzenia, może wyświetlać listę procesów, może pobierać pliki z serwera C2, może zbierać zrzuty ekranu, może zbierać informacje o wszelkich zainstalowanych produktach anty-malware, może zbierać informacje o maszynie i systemie operacyjnym, a także może zbierać adres MAC i IP LAN.

W tym przypadku, mówi Malwarebytes, „Crimson RAT łączy się ze swoimi zakodowanymi adresami IP C&C i wysyła zebrane informacje o ofierze z powrotem do serwera, w tym listę uruchomionych procesów i ich identyfikatory, nazwę hosta maszyny i nazwę użytkownika”.

Nie podano żadnych informacji na temat konkretnych celów ofiar, więc nie ma jeszcze publicznej wiadomości na temat zasięgu tej kampanii.

Używanie COVID-19 jako przynęty phishingowej jest powszechne. Pojawiły się liczne doniesienia medialne na temat chińskiej APT Vicious Panda. Nawet Malwarebytes rozpoczyna raport na temat tej kampanii phishingowej APT36 od komentarza: „Według doniesień wielu sponsorowanych przez państwa zagrożeń zaczęło już rozpowszechniać przynęty koronawirusowe, w tym chińskie APT: Vicious Panda, Mustang Panda”

Ale, co ciekawe, nie ma takiej grupy jak „Vicious Panda”. Nazwa pochodzi od Check Pointa i jest jednym z tytułów jego raportów. Rzeczywiście grupa ta jest opisana jako „bezimienna”. To prawda, że jest opisany jako „APT”, ale nie jest powiązana w raporcie z chińskim rządem. Uważa się tylko, że jej miejsce rezydencji to Chiny. Dodatkowe argumenty co do „pochodzenia” grupy to użycie RoyalRoad, broni która była szeroko stosowana przez chińskie grupy. Jednak w lipcu 2019 r. badacze doszli do wniosku, że autor RoyalRoad skutecznie rozreklamował swój produkt i teraz sprzedaje go niepaństwowym gangom przestępczym.

Inną wiadomością z poprzedniego tygodnia była informacja, że Amerykański Departament Zdrowia i Opieki Społecznej (HHS) był atakowany w niedzielę atakiem DDoS, ale agencja stwierdziła, że w wyniku tego incydentu nie wystąpiły żadne znaczące zakłócenia.

„HHS ma infrastrukturę informatyczną z ciągłymi monitoringami bezpieczeństwa opartym na ryzyku, w celu wykrywania i eliminowania zagrożeń. W niedzielę zdaliśmy sobie sprawę ze znacznego wzrostu aktywności w infrastrukturze cybernetycznej HHS i jesteśmy w pełni operacyjni, aktywnie badamy tę sprawę”, powiedział Caitlin Oakley, rzecznik HHS.
„Na początku przygotowywania i reagowania na COVID-19, HHS wprowadził dodatkowe zabezpieczenia”, dodał Oakley. „Koordynujemy działania z federalnymi organami ścigania, zachowujemy czujność i koncentrujemy się na zapewnieniu integralności naszej infrastruktury IT”.

Ellen Nakashima, reporterka ds. Bezpieczeństwa narodowego w The Washington Post, dowiedziała się, że strona internetowa HHS nigdy nie uległa awarii w wyniku ataku, który jej źródła opisały jako 2 w skali od 1 do 10.

Jednocześnie Bloomberg, który pierwszy poinformował o incydencie, dowiedział się ze swoich źródeł, że tweet z Rady Bezpieczeństwa Narodowego (NSC) na temat fałszywych wiadomości tekstowych ostrzegających o krajowej kwarantannie był również powiązany z „włamaniem”. Bloomberg początkowo używał również terminu „cyber-intruz”, ale później usunął go z treści artykułu – warto zauważyć, że media czasami mylą ataki DDoS z naruszeniami.

Według niektórych raportów atak mógł zostać przeprowadzony przez zagranicznego aktora, a jego celem było osłabienie reakcji HHS na kryzys COVID-19. Teoria ta nie została jednak potwierdzona, a eksperci ostrzegają, że jest zbyt wcześnie, aby wysunąć takie roszczenia. Jednocześnie zwracają uwagę na fakt, że nawet ataki DDoS mogą mieć poważne konsekwencje i mogą poprzedzać bardziej wyrafinowane ataki.

Ataki DDoS nie są wyrafinowane, ale czas ataku i potencjalny motyw budzą poważne obawy. Celem tych ataków jest uniemożliwienie legalnym użytkownikom dostępu do stron i systemów. Działania takie mogą być również zapowiedzią większego ataku, który może spowodować, na przykład eksfiltrację danych. Inną sprawą są fake newsy i kampanie dezinformacyjne w połączeniu z brakiem dostępu do wiarygodnej informacji.

Widzimy więc dwa pojawiające się trendy w globalnej cyberwojnie. Wykorzystywanie koronowirusa jako lepu, furtki, „spear phishingu” oraz targetowanie ataków na instytucje, które dostarczają społeczeństwu informacji na temat COVID-19. Nie tylko zresztą na nie. Najbardziej zagrożone są organizacje lokalne, stanowe, federalne, agencje rządowe, media, firmy farmaceutyczne i branża opieki zdrowotnej. W najbliższym czasie powinniśmy spodziewać się więcej ataków DDoS na wspomniane instytucje oraz wzrost liczby ataków typu „spear phishing” związanych z koronowirusem.