– Trusselaktøren opererer med sofistikert operasjonell sikkerhet, på et nivå vi bare har sett hos et lite knippe aktører, skriver cybersikkerhetsselskapet Mandiant i et blogginnlegg om gruppa de har valgt å kalle UNC3524.
De kriminelle ser ut til å ha spesialisert seg på å snoke i e-poster, de og bruker noen av de samme metodene som kjente russiske spionasje-grupper. Men Mandiant «kan ikke konkludere med at det er en sammenheng».
Gruppa utnytter tilkoblede dingser, som kameraet i møteromsløsninger, og legitime Windows-funksjoner for å holde seg skjult i nettverket i så mye som halvannet år før de blir oppdaget.
– Når sikkerhetsbrudd først blir oppdaget, kaster ikke gruppa bort noe tid, de re-kompromitterer miljøet ved hjelp av en rekke mekanismer og tar umiddelbart opp igjen data-tyveriet, skriver Mandiant.
Besluttet deltakelse i kabel-initiativ før bruddene i Østersjøen
Trolig motivert av spionasje
– E-post-meldinger med vedlegg er en rik kilde til informasjon om organisasjoner og blir lagret samlet, så det er enkelt for trusselaktører å samle dem opp, skriver Mandiant.
De fleste e-post-systemer, enten de er i skya eller on prem, tilbyr metoder for å søke og få tilgang til e-post på tvers av organisasjonen, slik som Ediscovery og Graph API. Det er nettopp slike verktøy gruppa misbruker.
Når de først er inne i systemet, kan de bruke API-et til Exchange-serverne til å etterspørre og hente e-poster. Etterforskerne fant at gruppa jobbet målrettet mot innboksene til ansatte i ledergruppa, i anskaffelsesavdelingene, økonomiavdelingene og i sikkerhetsteamet.
– På overflaten kan målrettingen mot individer som jobber med bedrifts-transaksjoner tyde på økonomiske motiver, men det at de klarer å holde seg uoppdaget så lenge, tyder på spionasje, mener Mandiant.
Utnytter sårbarheter i IOT
Mandiant har ikke funnet ut hvordan gruppa først får tilgang til nettverket, men når tilgangen først er sikret, deployer gruppa en ny bakdør av den typen Mandiant kaller Quietexit.
Bakdørene settes på deler av nettverket som gjerne ikke støtter sikkerhetsprogramvare, som tilkoblede enheter som kameraet i konferanseløsninger. Denne typen dingser, gjerne referert til med samlebetegnelsen IOT (Internet of Things), kan være i blindsonen til de sikkerhetsansvarlige, mener Mandiant.
Samtidig utnytter de innebygde Windows-protokoller for å få tilgang til e-post og Microsoft Exchange-servere.
– Ved å gå etter pålitelige systemer som ikke støtter noen form for sikkerhetsverktøy, kan UNC3524 holde seg uoppdaget i nettverket til miljøet i minst 18 måneder, skriver Mandiant.
Vanskelig å oppdage
På denne måten etterlater gruppa seg et ganske beskjedent fotavtrykk og er vanskelig å oppdage.
Fortsatt er det beste alternativet nettverksbasert logging, med et spesielt skarpt øye på applikasjonslaget for å se etter unormal SSH-trafikk, mener Mandiant.
– Virksomheter bør sørge for å ha oversikt over enheter som er på nettverket og som ikke støtter monitoreringsverktøy. Hver enhet har antageligvis leverandørspesifikke metoder for å sikre skikkelig logging, skriver Mandiant.
Til våren vil Tung stenge døra for kryptofabrikkene