En nyligt opdaget hacking-gruppe, kaldet UNC1945, har vist sig at bruge en tidligere ukendt nul-dags sårbarhed mod Solaris OS-computere.
Det Oracle-ejede operativsystem bruges overvejende af store virksomheder i komplekse virksomhedsopsætninger. Men, denne nul-dags bug har gjort det muligt for kriminelle at trænge ind i interne netværk. Al tilgængelig information spores i CVE-2020-14871-rådgivningen og overvåges af sikkerhedsfællesskabet.
UNC1945 Hacking Group går imod Solaris Systems med Zero-Day Bug Tracked i CVE-2020-14871
Operativsystemet Solaris er en virksomhedstjeneste, der for det meste er implementeret i komplekse forretningsnetværk. Den er baseret på en traditionel UNIX-lignende struktur og kan som sådan bruges til forskellige formål: udføre komplekse beregninger, styring af netværksindstillinger, eller servering af data.
Hacking-gruppen kendt som UNC1945 har vist sig at udnytte forskellige typer angreb mod Solaris-servere, der ligger bag virksomhedsnetværk. I øjeblikket kendes ikke meget om hackerne, bortset fra det faktum, at de har formået at udnytte en tidligere ukendt sårbarhed, kaldet en nul-dages bug. Sikkerhedsrapporten, der angiver denne farlige overtrædelse, kommer fra forskningsholdet Mandiant. Angreb mod lignende miljøer er stigende. For nylig rapporterede vi det hacking-grupper har målrettet Synology-enheder. Deres operativsystem er et derivat af en Linux-distribution.
Indtrængningspunktet er en omgåelse af godkendelsesproceduren, der bruges af operativsystemet, fejlen blev opdaget af kriminelle og har gjort det muligt for dem at installere et kaldet bagdørsmodul SLAPSTICK ind i systemerne. Det aktiveres automatisk, efter infektionen er startet, og det vil udføre sine egne handlinger. De målrettede computere var dem, der er udsat for det bredere internet.
Men, i stedet for at fortsætte med indtrængen som de fleste andre trusler i denne kategori, hackerne har instrueret malware til at fortsætte på en anden og meget mere skadelig måde.
UNC1945 hackere bruger kompliceret infektionsteknik mod Solaris-værterne
I stedet for at fortsætte med infektionerne ved at udnytte SLAPSTICK-bagdøren til at skabe en vedvarende forbindelse til den hackerstyrede server, hackerne har valgt at gå en anden rute. Hackinggrupperne ser ud til at målrette mod højt profilerede mål, da de har skabt en meget kompleks procedure sikkerhed bypass der er designet til at overvinde de beskyttelsesforanstaltninger, der træffes af systemet og brugerinstallerede programmer: anti-malware scanninger, firewalls, og detektionssystemer til indtrængen. For at undgå at blive opdaget, den ondsindede sekvens downloader og installerer en QEMU virtuel maskine vært. Inde i det, et hacker-oprettet billede af en Linux-distribution køres.
Denne virtuelle maskine vil være tilgængelig for kriminelle, og da den er forudkonfigureret af dem, det giver dem mulighed for at køre alt indeholdt i hjælpeprogrammer. Analysen opdagede, at de er fulde af netværksscannere, programmer til adgangskodebrydning, og andre bedrifter. Den virtuelle maskine udsættes for værtssystemet og giver hackerne mulighed for at udføre kommandoer mod det, såvel som andre computere, der er tilgængelige på det interne netværk. Den farlige faktor er, at angrebene kan være mod alle slags operativsystemer, inklusive Microsoft Windows og andre UNIX-baserede systemer.
Mulige konsekvenser af indbruddet inkluderer følgende ondsindede handlinger:
- Sletning af logfiler — Et specielt malware-program bruges til at slette logfilerne over virushandlingerne.
- Lateral Brute Force — Fra den installerede virtuelle maskine kan hackerne fortsætte videre “revner” andre computere på det interne netværk ved hjælp af de implementerede værktøjer.
- Filer Access — Alle tilgængelige data fra malware kan stjæles af hackerne.
- Kontrol — Hackerne kan overtage kontrollen med værterne og direkte spionere på brugerne.
I øjeblikket menes det, at UNC1945-hackere har købt udnyttelsen fra en hacker-underjordisk markedsplads sælger. Det værktøj, som hackerne brugte (EVILSUN) er sandsynligvis erhvervet fra disse steder, det tillod kriminelle at udføre udnyttelsen og plante bagdøren.
Selvfølgelig, efter nyheder om denne malware-aktivitet, Oracle lappede problemet i oktober 2020 sikkerhedsopdateringsbulletin. I øjeblikket er der ingen oplysninger om antallet af inficerede værter. Alle Solaris-administratorer opfordres til at anvende de seneste opdateringer for at forhindre hackere i at forsøge at udnytte deres systemer.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: