Er is vastgesteld dat een zeer ervaren hackgroep heeft ingebroken in netwerken en firewalls met behulp van malware genaamd de Asnarok Trojan, ook wel bekend als Asnarök.
Dit is een zeer recente gecoördineerde aanval die is gemarkeerd als zeer destructief. Er is veel moeite gedaan om de mogelijkheden van Trojan en de schade aan slachtoffernetwerken te analyseren.
De Asnarok Trojan-aanvallen: de eerste infectie
Afgelopen week zijn er verschillende high-impact aanvallen uitgevoerd op netwerkinfrastructuur en firewalls die deze bewaakten tegen verschillende ondernemers. Uit het onderzoek blijkt dat de eerste bron van infecties lijkt te zijn veroorzaakt door een onbekende SQL-injectie bug. Het resultaat van een succesvolle exploit is het lanceren van een aanval op de firewall die het doelnetwerk beschermt.
Deze tactiek geeft twee zeer belangrijke aannames weer die verband houden met de hackers achter de Trojaanse operatie. De eerste is dat het doelwit waarschijnlijk goed wordt onderzocht door de criminele groep — het lijkt erop dat de hackers een gevaarlijke bug hebben ontdekt die ze hebben leren gebruiken. Om het uit te voeren, moeten ze controleren of het systeem aan alle vereisten voldoet: een databaseserver met de benodigde softwareversie en een aangesloten firewall die kan worden misbruikt. Dit kan allemaal worden gedaan door handmatige scans te starten of door een ingewikkelde hacktoolkit te gebruiken die is geladen met de nodige variabelen en opties. Het is ook mogelijk dat dit allemaal door de Asnarok Trojan zelf wordt gedaan.
Uit de analyse van de Trojaanse operaties blijkt dat de SQL-injectie eigenlijk een code van één regel is die in een van de bestaande databases wordt geplaatst. Dit zorgt ervoor dat de database-serer een bestand ophaalt van een door een hacker bestuurde server die wordt gehost op een domeinnaam die erg veilig en legitiem klinkt voor beheerders omdat het zich voordoet als een firewall-leverancier. Het bestand is de daadwerkelijke payload-dropper die verantwoordelijk is voor de installatie en werking van de Trojan. Het bestand wordt neergezet in een tijdelijke map die is ontworpen om bestanden op te slaan die niet altijd door het systeem worden gebruikt, aangepast om uitvoerbaar te zijn door gebruikers en processen en start het.
Asnarok Trojan ontketend: Impact op de systemen
Zodra het installatiescript op de besmette computers wordt geactiveerd, is de eerste actie het uitvoeren van een reeks SQL-opdrachten. Ze zijn ontworpen om bepaalde waarden in databasetabellen te wijzigen of te verwijderen, een daarvan is de weergave van het administratieve IP-adres van het besmette apparaat. Dit wordt volgens de onderzoekers gedaan om de aanwezigheid van de infiltratie te verbergen.
Het payload-installatiescript start dan twee andere afzonderlijke scripts die worden gedownload en uitgevoerd vanuit dezelfde tijdelijke map. Hun acties zijn het wijzigen van de configuratie van de ingezette firewalls, opstarttijdservices en andere actieve toepassingen. Een extra mechanisme dat door de motor wordt aangedreven, is de persistent installatie van alle malwarecode. Elke keer dat het apparaat wordt gestart, worden de scripts gestart. Sommige van de gewone actieve applicaties en services kunnen worden gestopt of gewijzigd. Een van de scripts zal dat doen breng de Trojaanse verbinding tot stand waarmee de gekaapte machine wordt verbonden met een externe server vanwaar een programma wordt gedownload. Hiermee wordt een malware-firewall uitgevoerd die de standaard actieve software vervangt.
De gevolgen van de Trojaanse acties zijn onder meer diefstal van gegevens die database-inhoud en computersysteemgegevens kan bevatten. De verzamelde informatie kan worden gebruikt om een unieke ID te maken die is gebaseerd op de geëxtraheerde gegevens. De volledige analyse van Asnarok Trojan lijkt de volgende gegevens te kapen: openbaar IP-adres, firewall-licentiesleutel, Info over SQL-gebruikersaccount, beheerderswachtwoorden, VPN-gebruikers en -beleid. De verzamelde gegevens worden gearchiveerd met behulp van de tar commando en vervolgens versleuteld met OpenSSL. Het resulterende bestand wordt via de Trojan-netwerkverbinding naar de hackers gestuurd.
Kort na de eerste infectie heeft de leverancier een patch uitgebracht voor alle kwetsbare apparaten. Automatische updates voor firewalls moeten worden ingeschakeld, zodat het bestand van het bedrijf wordt opgehaald en automatisch wordt toegepast. Voor meer informatie, verwijs naar de eerste rapport.