Un expert în securitate semnalează o nouă formă de malware care exploatează 7 vulnerabilităţi NSA

Autor: Aurelian Mihai 24.05.2017
Un expert în securitate semnalează o nouă formă de malware care exploatează 7 vulnerabilităţi NSA

Deşi s-a răspândit în timp record, perturbând activitatea companiilor cu infrastructură IT slab protejată, malware-ul WannaCry nu pare a fi creat de programatori experimentaţi, eficienţa mecanismului de propagare fiind atribuită exploatării a două vulnerabilităţi folosite anterior în campanii de spionaj de către agenţia americană NSA (National Security Agency).

Publicate online în urma unui atac informatic ce a vizat chiar serverele NSA, cele 7 unelte dezvoltate special pentru infiltrarea PC-urilor vulnerabile în scopul facilităţii activităţilor de spionaj nu au fost utilizate până acum la întregul potenţial:

  • EternalBlue — SMBv1 exploit tool
  • EternalRomance — SMBv1 exploit tool
  • EternalChampion — SMBv2 exploit tool
  • EternalSynergy — SMBv3 exploit tool
  • SMBTouch — SMB reconnaissance tool
  • ArchTouch — SMB reconnaissance tool
  • DoublePulsar — Backdoor Trojan

Referit drept un DoomsDayWorm de către cercetătorul ca l-a descoperit, noul malware exploatează nu mai puţin de 6 vulnerabilităţi ale protocolului Windows SMB, obţinând multiple căi de atac pentru compromiterea PC-urilor cu sistem de operare Windows. A şaptea vulnerabilitate este însă un backdoor de tip troian, care permite propagarea automată a infectării către toate PC-urile vulnerabile conectate la reţeaua locală.

Deghizat pentru a semăna cu mult mai cunoscutul ransomware WannaCry, malware-ul numit EternalRocks obţine acces neautorizat asupra PC-urilor compromise şi rămâne în aşteptare, fără a cauza pagube imediate. Reţeaua de tip botnet rezultată poate fi însă activată oricând pentru desfăşurarea altor atacuri informatice de mare amploare, asupra unor ţinte alese de hackeri.

Metoda de infiltrare, destul de complexă, presupune cel puţin două stagii activate la o distanţă de 24 de ore. În prima etapă, EternalRocks descarcă web browserul Tor, folosit pentru a facilita comunicarea cu serverele de comandă şi control găzduite în reţeaua Tor şi Dark Web. 24 de ore mai târziu, malware-ul descarcă fişierele necesare pentru exploatarea celor 7 vulnerabilităţi NSA într-un mod care ocoleşte mecanismele de protecţie tip Sandbox, infectarea trecând astfel neobservată. Procesul este reluat scanând apoi reţeaua locală în căutare de alte PC-uri vulnerabile, propagarea malware-ului EternalRocks crescând în mod exponenţial până la compromiterea întregii reţele.