Egy kínai hacker csoport egy hátsó ajtót rejtett el a Windows logóban, amivel észrevétlenül juthatnak be a felhasználók gépére.
Újabb hacker csoport a láthatáron
A Witchetty (vagy LookingFrog) nevű csoport először idén februárban csapott le kormányzati szereplőkre két közel-keleti országban valamint egy afrikai értéktőzsdén. A csoportot először csak áprilisban sikerült rajtacsípni. A szakértők ekkor fedezték fel, hogy a Witchetty a TA410 nevű szervezet egyik alcsoportja. A TA410 egy globálisan működő hacker szervezet, amely leginkább a számítógépes kémkedésről híresült el. A szervezet mostanra hálózattá nőtte ki magát, és többek között közel-keleti, afrikai, és az Egyesült Államok kormányzati szerveit és a kritikus infrastruktúrát támadja elsősorban.
Az orrunk előtt van a trójai
A hacker csoport egy bevált támadási módszert alkalmazott egy rendkívül ritkán használt titkosítási módszerrel kombinálva. Egy hátsó ajtós trójai programot rejtettek el a Windows logóban egy szteganográfia nevű módszerrel. A szteganográfia a kriptográfia párja, azonban míg a kriptográfia esetében látható a kód, addig ebben az esetben a kódot egy kép fájlba rejtik el. Tehát a rosszindulatú program tulajdonképpen végig “szem előtt” van.
A támadások sikeréhez nagyban hozzájárult, hogy az ártalmatlannak tűnő kép fájlt a csoport ingyenes, megbízható szolgáltatók oldalira töltötte fel. Például egy nyilvános GitHub szerverről letöltött kép esetén sokkal kisebb az esély arra, hogy a számítógépen futó vírusölő program veszélyt jelezzen. Így a régi Microsoft Windows logót ábrázoló kép simán letöltődhetett a megcélzott kormányzati gépekre, és a hackerek már bent is voltak a rendszerben.
Korlátlan hozzáférést ad a program
A kép letöltésével a hackerek egy XOR kulccsal aktiválták a hátsó ajtót és már bent is voltak a gépen. A belépett felhasználó fiókja korlátlan hozzáférést biztosított nekik a gépen és a rendszeren belül szabadon elérhető tartalmakhoz. A rosszindulatú program révén pedig bármilyen parancsot képesek voltak távolról lefuttatni a gépeken. Például szabadon lemásolhattak, törölhettek illetve létrehozhattak fájlokat vagy akár mappákat is. Új parancsokat adhattak ki, de akár a saját állományaikat is futtathatták az elfoglalt gépeken. Sőt lemásolhattak, törölhettek, és akár létre is hozhattak új belépési kulcsokat az adott rendszeren belül.
Nehéz idők jönnek a kormányzati szereplőkre
A hacker csoport nagyon súlyos biztonsági problémát jelent. A kormányok mellett egyes országok kritikus infrastruktúráit működtető vállalatokat is megtámadtak, több millió embert veszélyeztetve ezzel. A kormányzati szereplőkre és a kiberbiztonsági vállalatokra hárul ezeknek a támadásoknak a hatékony kivédése. Ha ez nem sikerül, akkor könnyen lehet, hogy télen egy hacker csoport kapcsolgatja majd a fűtést kedve szerint.
