ALERTA NOUA. Un virus informatic nou descoperit utilizează șapte instrumente furate de la NSA, gata de atac

Un cercetător din domeniul securității cibernetice a identificat un nou virus informatic care se auto-răspândește prin exploatarea vulnerabilităților din protocolul de partajare a fișierelor SMB Windows, dar spre deosebire de WannaCry Ransomware, care utilizează doar două instrumente furate de la Agenția de Securitate Națională din Statele Unite (US National Security Agency – NSA), acesta le exploatează pe toate șapte, conform unui articol publicat luni pe site-ul thehackernews.com.

După atacul cibernetic de tip ransomeware lansat la 12 mai, au fost publicate informații cu privire la faptul că mai multe grupuri de hackeri exploatează unelte furate de la NSA, dar aproape toate foloseau doar două instrumente: EternalBlue și DoublePulsar.

Acum, Miroslav Stampar, cercetător în domeniul securității cibernetice, care a creat instrumentul “sqlmap” și în prezent este membru al Centrului de Răspuns la Incidente de Securitate Cibernetică (CERT) din Croația, a descoperit un nou vierme informatic, numit EternalRocks, care este mai periculos decât WannaCry și nu poate fi oprit.

Spre deosebire de WannaCry, EternalRocks pare a fi proiectat să funcționeze în secret pentru a se asigura că rămâne nedetectabil în sistemul afectat. Cu toate acestea, Stampar a aflat de EternalRocks după ce acesta i-a infectat honeypot-ul SMB (mecanism pentru detectarea sau respingerea încercărilor de utilizare neautorizată a sistemelor).

Uneltele NSA folosite de EternalRocks, pe care Stampar l-a numit “DoomsDayWorm” pe Twitter, includ: EternalBlue; EternalRomance; EternalChampion, EternalSynergy, SMBTouch ; ArchTouch; DoublePulsar (Backdoor Trojan).

În timp ce EternalBlue, EternalChampion, EternalSynergy și EternalRomance sunt exploatări ale unor lacune ale protocolului SMB (Server Message Block), concepute pentru a compromite sistemele de operare Windows vulnerabile, DoublePulsar este folosit apoi pentru a răspândi viermele de la un calculator afectat la alte computere vulnerabile din aceeași rețea.

Stampar a constatat că EternalRocks se ascunde ca WannaCry pentru a păcăli cercetătorii în domeniul securității cibernetice, dar în loc să lanseze virusul de tip ransomware (răscumpărare), câștigă control neautorizat asupra computerului afectat pentru a lansa viitoare atacuri cibernetice.

Instalarea EternalRocks are loc într-un proces în două etape. În prima etapă, EternalRocks descarcă browserul web Tor pe computerele afectate, care este apoi utilizat pentru a se conecta la serverul său de comandă și control (C&C) aflat pe rețeaua Tor din Dark Web.

Potrivit lui Stampar, a doua etapă vine cu o întârziere de 24 de ore, în încercarea de a evita tehnicile sandboxing, ceea ce face ca infectarea cu viermele informatic să nu fie detectabilă. După 24 de ore, EternalRocks răspunde la serverul C&C cu o arhivă ce conține cele șapte exploatări Windows SMB menționate.

Leave a Reply

Your email address will not be published. Required fields are marked *

18 − 11 =