Varování: weaponizované open source nástroje
Upozorňujeme na stále častěji se objevující útoky pomocí weaponizace open source nástrojů, které cílí na široké spektrum organizací od médií, přes obranu a letectví, po odvětví IT služeb. Útoky jsou realizovány pomocí sociálního inženýrství, díky kterému se útočníkům daří zlákat uchazeče o práci podvodnými nabídkami práce. Uchazečům, kteří na nabídku reagují je následně zaslán ISO soubor nakažený trojským koněm.
O co jde?
Pojem weaponizace pochází z anglického slova „weapon“ neboli zbraň. Jedná se proces, při kterém je něco původně neškodného přetvořeno v nebezpečnou zbraň. V tomto případě se jedná o open source nástroje, které útočníci nakazí trojským koněm a využívají je ke svému prospěchu.
Jedná se tak o další vývoj kampaně „Operation Dream Job“, jež cílí na uchazeče o práci reagující na podvodné nabídky práce sdílené na pracovní sociální síti LinkedIn. Těmto zájemcům je následně zaslán soubor, který se na první pohled tváří neškodně, nicméně je nakažen škodlivým virem.
Dle společnosti Microsoft za těmito útoky stojí nejpravděpodobněji severokorejská hackerská skupina Zinc, která je někdy označována též jako Labyrinth Chollima anebo Lazarus, operující již od roku 2009. Zinc pro tyto útoky využívá širokou škálu open source nástrojů, mezi kterými jsou: PuTTY, KiTTY, TightVNC, Sumatra PDF Reader, anebo muPDF/Subliminal Recording software installer.
Zmíněné útoky skupiny Zinc jsou motivované klasickou kyberšpionáží, vidinou finančního zisku, pokusem o krádež osobních anebo firemních dat, případně usilují o destrukci sítě zacílené organizace.
Co dělat?
Doporučujeme stahovat aplikace pouze z ověřených zdrojů. Případně doporučujeme ověřovat si kontrolní součty stažených souborů.
Možná si říkáte: „Co to je kontrolní součet staženého souboru?“. Kontrolní součet se dá přirovnat k otisku prstu daného souboru, který slouží k zajištění neporušenosti souboru poté, co byl přenesen z jednoho zařízení na druhé. Vypočítaný kontrolní součet má podobu haše, který vypadá jako dlouhý řetězec znaků (např.: dd17108d6b1030007301fd7957a59e8d695dcbe073c9ade0da84d3b2).
Nejčastěji jsou kontrolní součty ve formátu SHA256 nebo MD5, což jsou hašovací funkce, kterými jsou soubory zakódovány. Na MD5 můžete narazit především u starších souborů.
Jak takový kontrolní součet staženého souboru najít a ověřit? Prvním krokem je otevřít si složku, do které jste si daný soubor uložili. Dále postupujte dle níže uvedených návodů, na základě operačního systému vašeho počítače (Windows/Linux/macOS).
Návod pro Windows
1. V otevřené složce stiskněte kombinaci znaků ALT + D, napište zkratku cmd, zmačkněte ENTER. Otevře se vám černé okno, kterým je příkazový řádek (Command Prompt).
2. Do příkazového řádku zadejte: certUtil -hashfile <název souboru společně s příponou> <algoritmus>
3. Zmačkněte ENTER. Zobrazí se vám kontrolní součet daného souboru.
Příklady:
certUtil -hashfile <stazeny_soubor.exe> md5
certUtil -hashfile <stazeny_soubor.exe> sha56
Návod pro Linux
1. Klikněte do složky pravým tlačítkem myši, ve kterém je soubor uložený, a zvolte „Open in Terminal“.
2. Do Terminálu zadejte: <algoritmussum> <název souboru společně s příponou>
3. Zmačkněte ENTER. Zobrazí se vám kontrolní součet daného souboru.
Příklady:
md5sum <stazeny_soubor.exe>
sha256sum <stazeny_soubor.exe>
Návod pro macOS
1. Otevřete si okno Terminálu: Klikněte na Launchpad na hlavním panelu, vyhledejte slovo Terminál, klikněte na něj. Otevře se vám okno Terminálu.
2. Do Terminálu zadejte md5 nebo shasum -a 256
3. Vybraný soubor přetáhněte do okna Terminálu. Vypíše se vám cesta do složky, ve kterém je soubor uložený, a jeho název společně s příponou.
4. Zmačkněte ENTER. Zobrazí se vám kontrolní součet daného souboru.
Příklady:
md5 <absolutní cesta k souboru> <stazeny_soubor.exe>
shasum -a 256 <absolutní cesta k souboru> <stazeny_soubor.exe>
Poté je potřeba vámi nalezený dlouhý řetězec znaků, porovnat s kontrolním součtem uvedeným na legitimní stránce vydavatele. Například v případě programu Apache OpenOffice naleznete jeho kontrolní součet zveřejněný hned pod tlačítky “stáhnout”:
Po kliknutí na SHA256, se vám zobrazí haš daného souboru, který by měl vypadat stejně jako vámi nalezený haš. V případě, že se kontrolní součty liší, je soubor poškozený nebo modifikovaný a doporučujeme jej odstranit.
Případně, pokud kontrolní součet není zveřejněný na oficiálních stránkách vydavatele, můžete ho pro ověření vložit do vyhledávače na webu VIRUSTOTAL. Pokud program odhalí, že je daný soubor nakažený, rozhodně jej neotevírejte a odstraňte ho ze svého počítače.
Závěr
Nedávné útoky využívající weaponizaci open source nástrojů nám ukazují, že obezřetnosti v kyberprostoru není nikdy dost. Pokud v něm chcete získat větší jistotu, doporučujeme vám si přečíst další rady pro uživatele, které jsme pro vás připravili. Věříme, že po jejich přečtení si na vás žádný podvodník na internetu nepřijde. V případě jakýchkoli dotazů se neváhejte obrátit na naši adresu csirt@muni.cz.