Τo Dropbox αξιοποιείται από κρατικά επιχορηγούμενους hackers ως μέσο για την πραγματοποίηση επιθέσεων hacking.
Ένα επικίνδυνο malware που στοχεύει οργανισμούς και επιχειρήσεις ΜΜΕ στο Χονγκ Κονγκ, ανακαλύφθηκε πρόσφατα από ερευνητές ασφάλειας της FireEye. Το λογισμικό πρόκειται στην πραγματικότητα για ένα backdoor, το οποίο κρύβει τους διακομιστές διαχείρισης και ελέγχου (C & C servers) μέσα σε λογαριασμούς Dropbox.
Σύμφωνα με τους ερευνητές, oι επιθέσεις που έχουν σημειωθεί μέχρι στιγμής φαίνεται να είναι μέρος μιας κρατικά επιχορηγούμενης εκστρατείας, η οποία διεξάγεται από μια ομάδα hacking γνωστή και ως admin @ 338.
Στο παρελθόν, η συγκεκριμένη ομάδα έχει στοχοποιήσει διεθνείς οργανισμούς του χρηματοπιστωτικού, οικονομικού, αλλά και εμπορικού τομέα, αξιοποιώντας εκστρατείες spear phishing για τη διανομή επικίνδυνων Remote Access Trojans (Rats), όπως to Poison Ivy.
Στην πιο πρόσφατη εκστρατεία τους, oι hackers χρησιμοπoίησαν τις ίδιες τεχνικές phishing, στοχεύοντας μόνο ένα μικρό αριθμό οργανισμών ΜΜΕ του Χονγκ Κονγκ. Μεταξύ των στόχων συμπεριλαμβάνονται εφημερίδες, ραδιοφωνικοί και τηλεοπτικοί σταθμοί.
Πως δρούν οι hackers
Όπως επισημαίνουν οι ερευνητές, η ομάδα hacking χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν παγιδευμένα έγγραφα του Word, τα οποία αξιοποιούν γεγονότα της επικαιρότητας που σχετίζονται με αντι-κυβερνητικές δράσεις, εξαπατώντας τα υποψήφια θύματα προκειμένου να ανοίξουν ένα κακόβουλο συνημμένο.
Το αρχείο Word περιέχει την ευπάθεια CVE-2012-0158 του Microsoft Office, επιτρέποντας στους επιτιθέμενους να εγκαταστήσουν το κακόβουλο λογισμικό Lowball στον υπολογιστή του θύματος.
Το Lowball είναι ένα πανίσχυρο backdoor, ικανό να κλέβει δεδομένα και να τα αναρτά σε έναν απομακρυσμένο server. To κακόβουλο λογισμικό φέρει επίσης δυνατότητα για λήψη νέων αρχείων και εκτέλεση shell commands.
To Lowball χρησιμοποιεί το Dropbox ως C & C εξυπηρετητή
Aυτό που κάνει το κακόβουλο λογισμικό να ξεχωρίζει είναι το γεγονός ότι ο C & C server δεν φιλοξενείται σε κάποιον web διακομιστή κάπου στο διαδίκτυο, αλλά βρίσκεται μέσα σε ένα λογαριασμό Dropbox.
To backdoor στέλνει δεδομένα μέσω κρυπτογραφημένων αιτήσεων HTTPS στη θύρα 443, σε έναν καθορισμένο λογαριασμό Dropbox, χρησιμοποιώντας το επίσημο API του Dropbox.
Στο διακομιστή, για κάθε μολυσμένο υπολογιστή δημιουργείται ένα αντίστοιχο BAT αρχείο, το οποίο οι επιτιθέμενοι μπορούν να ενημερώνουν με διάφορες εντολές shell commands.
