Kľúčové poznatky
- Výskumníci v oblasti kybernetickej bezpečnosti našli nový malvér, no nedokážu odhaliť jeho ciele.
- Porozumenie koncovej hre pomáha, ale nie je dôležité na zamedzenie jej šírenia, navrhnite iných odborníkov.
- Ľuďom sa odporúča, aby do svojich počítačov nepripájali neznáme vymeniteľné jednotky, pretože malvér sa šíri cez infikované USB disky.
Kuruje sa nový malvér Windows, ale nikto si nie je istý jeho zámermi.
Vedci v oblasti kybernetickej bezpečnosti z Red Canary nedávno objavili nový malvér podobný červu, ktorý nazvali Raspberry Robin, ktorý sa šíri prostredníctvom infikovaných jednotiek USB. Aj keď boli schopní pozorovať a študovať fungovanie malvéru, zatiaľ neboli schopní zistiť jeho konečný účel.
"[Raspberry Robin] je zaujímavý príbeh, ktorého konečný profil hrozby ešte nie je určený, " povedal Tim Helming, bezpečnostný evanjelizátor z DomainTools, cez e-mail Lifewire. „Je príliš veľa neznámych na stlačenie tlačidla paniky, ale je to dobrá pripomienka, že budovanie silných detekcií a prijímanie bezpečnostných opatrení so zdravým rozumom nebolo nikdy dôležitejšie.“
Streľba v tme
Porozumenie konečnému cieľu malvéru pomáha ohodnotiť úroveň jeho rizika, vysvetlil Helming.
Napríklad niekedy kompromitované zariadenia, ako napríklad úložné zariadenia pripojené k sieti QNAP v prípade Raspberry Robin, sú regrutované do rozsiahlych botnetov, aby vytvorili kampane distribuovaného odmietnutia služby (DDoS). Alebo by sa kompromitované zariadenia mohli použiť na ťažbu kryptomien.
V oboch prípadoch by bezprostredná hrozba straty údajov na infikovaných zariadeniach neexistovala. Ak však Raspberry Robin pomáha zostaviť ransomvérový botnet, potom úroveň rizika pre akékoľvek infikované zariadenie a lokálnu sieť, ku ktorej je pripojené, môže byť extrémne vysoká, povedal Helming.
Félix Aimé, výskumník v oblasti inteligencie a bezpečnosti v spoločnosti Sekoia, povedal Lifewire prostredníctvom Twitter DMs, že takéto „inteligenčné medzery“v analýze malvéru nie sú v tomto odvetví neslýchané. Znepokojujúco však dodal, že Raspberry Robin je detegovaný niekoľkými ďalšími kyberbezpečnostnými predajňami (Sekoia to sleduje ako červ Qnap), čo mu hovorí, že botnet, ktorý sa malvér pokúša vybudovať, je dosť veľký a mohol by zahŕňať „stotisíc napadnutých hostiteľov.“
Kritickou vecou v ságe Raspberry Robin pre Sai Hudu, generálneho riaditeľa spoločnosti CyberCatch zaoberajúcej sa kybernetickou bezpečnosťou, je používanie jednotiek USB, ktoré skryto inštaluje malvér, ktorý potom vytvorí trvalé pripojenie k internetu na stiahnutie ďalšieho malvéru, ktorý potom komunikuje so servermi útočníka.
„USB sú nebezpečné a nemali by byť povolené,“zdôraznila Dr. Magda Chelly, Chief Information Security Officer, Responsible Cyber. „Poskytujú spôsob, ako sa malvér ľahko šíri z jedného počítača do druhého. Preto je také dôležité mať v počítači nainštalovaný aktuálny bezpečnostný softvér a nikdy nepripájať USB, ktorému nedôverujete.“
V e-mailovej výmene s Lifewire Simon Hartley, CISSP a expert na kybernetickú bezpečnosť z Quantinuum uviedli, že USB disky sú súčasťou obchodu, ktorý protivníci používajú na prelomenie takzvanej „vzduchovej medzery“v systémoch, ktoré nie sú pripojené k verejnosti internet.
„V citlivých prostrediach sú buď priamo zakázané, alebo si vyžadujú špeciálne kontroly a overenia kvôli potenciálu pridávať alebo odstraňovať údaje zjavnými spôsobmi, ako aj zavádzať skrytý malvér,“zdieľa Hartley.
Motív nie je dôležitý
Melissa Bischoping, špecialistka na výskum bezpečnosti koncových bodov zo spoločnosti Tanium, prostredníctvom e-mailu pre Lifewire povedala, že aj keď porozumenie motívu malvéru môže pomôcť, výskumníci majú viacero možností na analyzovanie správania a artefaktov, ktoré malvér za sebou zanecháva, aby vytvorili možnosti detekcie.
„Aj keď pochopenie motívu môže byť cenným nástrojom na modelovanie hrozieb a ďalší výskum, absencia tejto inteligencie neznehodnocuje hodnotu existujúcich artefaktov a detekčných schopností,“vysvetlil Bischoping.
Kumar Saurabh, generálny riaditeľ a spoluzakladateľ spoločnosti LogicHub, súhlasil. Prostredníctvom e-mailu pre Lifewire povedal, že snaha pochopiť cieľ alebo motívy hackerov prináša zaujímavé správy, ale nie je to veľmi užitočné z hľadiska bezpečnosti.
Saurabh dodal, že malvér Raspberry Robin má všetky charakteristiky nebezpečného útoku, vrátane vzdialeného spustenia kódu, pretrvávania a vyhýbania sa, čo je dostatočný dôkaz na to, aby spustil poplach a podnikol agresívne kroky na obmedzenie jeho šírenia.
„Je nevyhnutné, aby tímy kybernetickej bezpečnosti začali konať hneď, ako spozorujú prvé predchodcovia útoku,“zdôraznil Saurabh. „Ak čakáte na pochopenie konečného cieľa alebo motívov, ako je ransomvér, krádež údajov alebo prerušenie služby, pravdepodobne už bude neskoro."
