È stato rilevato un gruppo di hacking di grande esperienza che si intromette in reti e firewall utilizzando un malware chiamato Asnarok Trojan, noto anche come Asnarök.
Questo è un attacco coordinato molto recente contrassegnato come altamente distruttivo. Sono stati compiuti molti sforzi per analizzare le capacità e i danni del Trojan sulle reti delle vittime.
Gli attacchi di Troia Asnarok: l'infezione iniziale
La scorsa settimana sono stati compiuti numerosi attacchi ad alto impatto contro l'infrastruttura di rete e i firewall a protezione di vari proprietari di imprese. L'indagine mostra che la fonte iniziale di infezione sembra essere causata da un bug di iniezione SQL sconosciuto. Il risultato di un exploit di successo è il lancio di un attacco al firewall che protegge la rete di destinazione.
Questa tattica fornisce due ipotesi molto importanti legate agli hacker dietro l'operazione Trojan. Il primo è che l'obiettivo è probabilmente ben studiato dal gruppo criminale — sembra che gli hacker abbiano scoperto un bug pericoloso che hanno imparato a sfruttare. Per eseguirlo dovranno verificare se il sistema ha tutti i requisiti: un server di database che esegue la versione software necessaria e un firewall collegato che può essere sfruttato. Tutto ciò può essere fatto avviando scansioni manuali o utilizzando un complicato toolkit di hacking caricato con le variabili e le opzioni necessarie. È anche possibile che tutto ciò sia fatto dallo stesso Asnarok Trojan.
L'analisi delle operazioni Trojan mostra che l'iniezione SQL è in realtà un codice a una riga che viene inserito in uno dei database esistenti. Questo renderà il database serer in grado di recuperare un file da un server controllato dagli hacker che è ospitato su un nome di dominio che sembra molto sicuro e legittimo per gli amministratori mentre impersona un fornitore di firewall. Il file è l'effettivo dropper del payload che è responsabile dell'installazione e del funzionamento del Trojan. Il file viene rilasciato in una cartella temporanea progettata per archiviare file che non sono sempre utilizzati dal sistema, modificato per essere eseguibile da utenti e processi e avviarlo.
Asnarok Trojan Unleashed: Impatto sui sistemi
Non appena lo script di installazione viene attivato sui computer contaminati, la prima azione sarà quella di eseguire una serie di comandi SQL. Sono progettati per modificare o eliminare determinati valori memorizzati nelle tabelle del database, uno di questi è la visualizzazione dell'indirizzo IP amministrativo del dispositivo contaminato. Secondo i ricercatori questo viene fatto per nascondere la presenza dell'infiltrazione.
Lo script del programma di installazione del payload avvierà quindi altri due script separati che verranno scaricati ed eseguiti dalla stessa cartella temporanea. Le loro azioni saranno di modificare la configurazione dei firewall implementati, servizi di avvio e altre applicazioni in esecuzione. Un ulteriore meccanismo gestito dal motore è il installazione persistente di tutto il codice malware. Ogni volta che si avvia il dispositivo, gli script vengono avviati. Alcune delle normali applicazioni e servizi in esecuzione potrebbero essere interrotte o modificate. Uno degli script lo farà stabilire la connessione Trojan che collegherà la macchina dirottata a un server remoto da cui verrà scaricato un programma. Questo eseguirà un firewall malware che sostituirà il software in esecuzione standard.
Le conseguenze delle azioni Trojan includono furto di dati che può includere il contenuto del database e i dati di sistema della macchina. Le informazioni raccolte possono essere utilizzate per creare un ID univoco basato sui dati estratti. L'analisi completa del Trojan Asnarok sembra dirottare i seguenti dati: indirizzo IP pubblico, chiave di licenza firewall, Informazioni sull'account utente SQL, password dell'amministratore, Utenti e criteri VPN. I dati raccolti verranno archiviati utilizzando il file comando tar e quindi crittografato utilizzando OpenSSL. Il file risultante verrà inviato agli hacker tramite la connessione di rete Trojan.
Poco dopo che l'infezione iniziale è stata eseguita, il fornitore ha rilasciato una patch per tutti i dispositivi vulnerabili. Gli aggiornamenti automatici ai firewall devono essere abilitati in modo che il file venga recuperato dalla società e applicato automaticamente. Per maggiori informazioni, consultare la rapporto iniziale.