Kyberzločinci našli chytrý způsob, jak propašovat škodlivý software přes firemní bezpečnostní systémy. Ukryli ho na GitHubu, populární platformě pro sdílení kódu, kterou používají miliony vývojářů po celém světě. Na systém využívající důvěry vývojářů v GitHub upozorňují bezpečnostní výzkumníci z týmu Talos společnosti Cisco.
Útok byl obzvlášť zákeřný, protože mnoho firem svým vývojářům umožňuje ke GitHubu přistupovat bez omezení, často na denní bázi. To bezpečnostním systémům téměř znemožnilo rozlišit mezi legitimními staženími a těmi škodlivými.
„Kromě toho, že se jedná o snadný způsob hostování souborů, může stahování souborů z úložiště GitHub obejít webové filtrování, které není nakonfigurováno tak, aby blokovalo doménu GitHub,“ uvádějí výzkumníci z Talosu Chris Neal a Craig Jackson.
„Zatímco některé organizace mohou ve svém prostředí blokovat GitHub, aby omezily používání útočných nástrojů s otevřeným zdrojovým kódem a dalšího škodlivého softwaru, mnoho organizací s týmy vyvíjejícími software přístup na GitHub v nějakém rozsahu vyžaduje. V takovém prostředí může být obtížné odlišit škodlivé stažení z GitHubu od běžného webového provozu.“
Operace, která probíhala od února do současnosti, využívala modelu malware-jako-služba (MaaS), kdy kyberzločinci prodávají přístup k malwaru a infrastruktuře dalším nekalým aktérům a v podstatě provozují distribuci malwaru jako komerční službu.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Útočníci přitom k prvotní infekci počítačů použili známý malware loader známý jako Emmenhtal nebo též PeakLight. Po proniknutí do systému tento loader stáhl sofistikovanější malware s názvem Amadey. Ten pak z infikovaných zařízení shromažďoval systémové informace na základě konkrétního účelu v nejrůznějších typech kampaní.
Další faktor, který činil tento útok zvlášť nebezpečným, byla jeho flexibilita. Jakmile byl počítač infikován Amadeyem, mohli si útočníci vybrat, který další malware do něj nainstalují.
Výzkumníci také zjistili, že útočníci maskovali malware jako video soubory MP4 a používali na míru vytvořené nástroje, aby se vyhnuli detekci. GitHub už na základě upozornění Talosu tři účty hostující škodlivý obsah promptně odstranil.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU