Piratai taikosi į žaidimų ir azartinių lošimų platformas naudodami „Ice Breaker“ užpakalines duris ir socialinės inžinerijos metodus.
„Ice Breaker“ kenkėjiška programa kelia pavojų žaidimų ir lošimų įmonėms
Kenkėjiška kampanija, besitęsianti iki 2022 m. rugsėjo mėn., skirta žaidimų ir lošimų platformoms naudojant socialinė inžinerija.
2022 m. vasario 1 d. Izraelio kibernetinio saugumo įmonė Security Joes paskelbė įrašą apie „Ice Breaker“ kenkėjišką programą ir jos naudojimą per kelis mėnesius trukusią kampaniją, kuri vyko likus vos keliems mėnesiams iki „ICE 2023“. Šis renginys 2023 m. vasario 7–9 dienomis suburs tūkstančius žaidimų entuziastų. Kaip jau spėjote, kenkėjiška programa gavo pavadinimą dėl paties įvykio.
Per šią socialine inžinerija pagrįstą ataką kenkėjiškas operatorius apsimeta klientu, kad galėtų panaudoti užpakalines duris.
„Ice Breaker“ atakos metodas yra „gudrus ir išmintingas“
Viduje Apsaugos Džo postas, kenkėjiška programa „Ice Breaker“ (vadinama „Ice Breaker APT“) buvo apibūdinta kaip „gudri ir išmintinga“, turinti galimybę nulaužti platformas naudojant užpakalines duris. Tačiau pirmiausia operatorius turi įtikinti taikinį atidaryti LNK arba ZIP failą. Šiuo metu užpuolikas yra „tik žingsniai nuo kredencialų surinkimo, atidaro atvirkštinį apvalkalą ir pradeda 2-ą atakos etapą“.
Yra įvairių rodiklių, kuriuos „Security Joes“ išvardijo apie tokio tipo įsilaužimą, įskaitant lankytoją, kuris neturi paskyros tikslinėje svetainėje, nors teigia, kad jam kyla problemų prisijungiant. Kitas rodiklis yra tai, kad užpuolikas siunčia nuorodą į problemos ekrano kopiją atsisiųsti iš išorinės svetainės, o ne tiesiog siunčia vaizdo priedą.
Kai užpuolikas įdiegia „Ice Breaker“ užpakalines duris, užpuolikas gali padaryti aukos mašinos ekrano kopijas, pavogti kredencialus, slapukai ir savavališki failai, atlikti tinkinimą naudodami papildinius, kad išplėstų grėsmę, paleisti pasirinktinius VBS scenarijus užkrėstame kompiuteryje ir generuoti nuotolines apvalkalo sesijas.
Unikalus ledlaužio metodas gali padėti identifikuoti operatorius
Minėtame saugumo Joes įraše bendrovės vyresnysis grėsmių tyrėjas Felipe Duarte pareiškė kad „Ice Breaker naudoja labai specifinę socialinės inžinerijos techniką, kuri šiek tiek aukoja jų tapatybė“. Saugumo Joes generalinis direktorius ir kenkėjiškų programų tyrinėtojas Ido Naoras taip pat pareiškė, kad „Anksčiau grėsmės veikėjai ir ransomware grupės atsisakė savo vietos identifikatorių, nes padarė gramatikos klaidų, kai bendravo su mūsų ekspertai“.
Taigi, yra būdų, kaip galima atskleisti tikrąją šių kenkėjiškų „Ice Breaker“ operatorių tapatybę. Saugumas Joesas informavo skaitytojus, kad yra suinteresuotas dalytis [turima] informacija su infosec bendruomene ir azartinių lošimų / žaidimų pramonės IT saugumu“, nes greitai artėja ICE 2023.
Apsauga Joes toliau tiria ledlaužį
Apsauga Joes jau sustabdė keletą „Ice Breaker“ atakų ir toliau tiria kampaniją, siekdama nustatyti operatorius ir visiškai sustabdyti kenkėjišką verslą. Tikimės, kad įmonei pavyks įveikti „Ice Breaker“ problemą, o ICE 2023 vyks be jokių kibernetinio saugumo incidentų.