I en nyligen publicerad artikel i TechWorld beskrevs hur datortillverkaren Asus utsattes för ett angrepp där angriparna lyckades manipulera koden i de uppdateringar som Asus signerar med sitt certifikat och lägger upp eller skickar ut till sina användare genom sin tjänst Asus Live Update. Angreppet mot Asus är en i raden av liknande angrepp, och likheterna mellan angreppen pekar alla i samma riktning, mot en mycket speciell hackergrupp.
Denna typ av angrepp är bland det mest lömska en datoranvändare eller systemadministratör kan råka ut för – den skadliga koden hämtas ned och exekveras på datorerna genom betrodda kanaler, från betrodda källor och den är till och med signerad med ett validerat betrott certifikat.
Det speciella med den hackergrupp som tros ligga bakom angreppen är att de inte bryr sig om pengar, vilket brukar peka på att gruppen är statsfinansierad, men det än mer anmärkningsvärda är att trots att de lyckats placera sin skadliga kod på miljontals datorer väljer de bara ut några tiotal datorer för den andra vågen av skadlig kod, den kod som egentligen utför något av värde för angriparna. Detta mönster gör att flera säkerhetsexperter känner sig säkra på att gruppens incitament bara kan handla om en sak: spionage.
Går under olika namn
Hackergruppen tycks specialiserad på denna typ av angrepp och har lyckats utföra angreppen flera gånger de senaste tre åren. Gruppen går under olika namn – Barium, Shadowhammer, Shadowpad eller Wicked Panda – beroende på vilket it-säkerhetsföretag man frågar, men här kan vi kalla dem Barium. Gruppen består med all sannolikhet av kinesisktalande personer, och den kan på olika sätt knytas till Kina.
Bariums modus operandi stör säkerhetsforskare något alldeles extra. Det är inte bara det att Barium är otroligt skickliga på att infektera ett stort antal datorer, utan det är framför allt att de ger sig på den kanske mest betrodda säkerhetsmodellen normala internetanvändare har att tillgå, nämligen den som ska se till att de kör säker kod på sina maskiner.
– De förgiftar betrodda mekanismer, säger chefen för it-säkerhetsföretaget Kasperskys forskningsteam i Asien, Vitaly Kamluk.
– När det kommer till angrepp mot distributionskedjan av mjukvara är Barium mästare på inom sitt område. Med tanke på antalet företag de lyckats angripa tror jag inte det finns någon annan grupp som går att jämföra med dessa killar, säger Vitaly Kamluk till tidningen Wired.
I åtminstone två fall – ett där Barium lyckades angripa Asus, och ett annat där de angrep pc-städverktyget Ccleaner – har gruppens skadliga kod hamnat på hundratusentals datorer runt om i världen. I dessa fall och i andra hade gruppen kunnat ställa till med hittills oanade skador om de hade velat.
Silas Cutler är forskare startup-företaget Chronicle, som ägs av Googles moderbolag Alphabet. Han har följt Barium i flera år och jämför Bariums attacker med det angrepp mot en distributionskanal som under namnet Notpetya drabbade framför allt Ukraina under 2017. I det fallet lyckades ryska hackare få in sin skadliga kod i en bokföringsapplikation som används av många företag och organisationer inom landet. Men den gången innehöll den skadliga koden en mask med gisslanprogram som tros ha orsakat skador för tio miljarder dollar världen över, och var allt annat än diskret.
– Om Barium hade sjösatt en mask av samma typ som i Notpetya-attacken hade skadorna blivit betydligt värre, säger Silas Cutler till Wired.
Angriper kärnan av tillit
Hittills tycks alltså Barium mer fokuserade på spionage än på att bara förstöra, men deras metodik kan få avsevärt mer djupgående konsekvenser än de normala angreppen vi ser, som attacker mot sårbarheter, nätfiske och liknande. Barium angriper kärnan av tillit; precis de system som vi använder för att se till att våra datorer är säkra. I värsta kan användarna sluta lita på legitima säkerhetsuppdateringar och de källor de kommer från.
Det var Kaspersky som i juli 2017 först fick ögonen på Bariums angrepp mot distributionskanaler för uppdateringar. En av Kasperskys klienter hade upptäckt mystiska nätverksaktiviteter och när Kaspersky undersökte saken hittade de en bakdörr som skickade signaler till sin kommandoserver och gömde kommunikationen i dns-protokollet. Kaspersky kom fram till att signalerna kom från en hackad version av det koreanska fjärradministrationsverktyget Netsarang.
Det som var riktigt konstigt var att även denna hackade version av Netsarang var signerad med leverantörens certifikat. Det kom senare fram att hackare hade gjort intrång i Netsarangs nätverk och planterat in sin skadliga kod i deras produkt innan den signerats, lite som att få in gift i barnmatsburkar innan de manipuleringssäkra locken skruvas på.
Två månader senare bekräftade antivirusföretaget Avast att deras dotterbolag Piriform råkat ut för ett intrång, och att Piriforms populära uppstädningsverktyg Ccleaner infekterats med en bakdörr innan uppdateringar laddats ned och installerats på över 700 000 datorer. Trots att hackarna gjort sitt bästa för att dölja tilltaget lyckades Kaspersky få fram att koden för bakdörren var mycket lik den i fallet Netsarang.
I januari i år kom så nyheten att den taiwanesiska datortillverkaren Asus hade distribuerat smittade uppdateringar till sina kunder under fem månaders tid innan hacket upptäcktes. Över 600 000 datorer hade då redan blivit infekterade. Denna gång såg koden annorlunda ut, men den delade en unik hashningsfunktion med Ccleaner och den skadliga koden hade injicerats på ett liknande ställe i mjukvarans exekveringsfunktion. Det finns ett närmast oändligt stort antal sätt att göra detta på, men Barium håller fast vid en speciell metod.
Kaspersky har sedan dess skannat igenom sina kunders datorer för att hitta kod som liknar den i de attacker de sett hittills. De fann då att tre i Asien populära spel blivit infekterade, något även säkerhetsföretaget Eset upptäckt. Två av spelen har namngivits – Infestation (sic!) och Point Blank – men det tredje vill varken Kaspersky eller Eset avslöja namnet på. Även i dessa fall pekar de flesta indikatorer på Barium, som sammanlagt har sin skadliga kog inplanterad i miljontals datorer, en skala som skrämmer säkerhetsforskarna.
Det speciella med Barium är dock att de utnyttjar endast en mycket liten del av sin "installationsbas”. I fallet Asus sökte den skadliga koden efter specifika förutbestämda mac-adresser (unika ethernet-adresser på nätverkskorten) för endast 600 av 600 000 infekterade datorer, och i fallet Ccleaner installerades det ”andra steget” av skadlig kod på endast 40 av 700 000 infekterade datorer.
Faktum är att på grund av Bariums smala målgrupp har säkerhetsforskarna i de flesta fall inte lyckats komma över det andra stegets skadliga kod – de försvinner i mängden. I fallet Asus är det dessutom på sin plats att undra hur Barium kan veta exakt vilka mac-adresser, av alla de datorer Asus har sålt över världen de senaste åren, man ska leta efter. Allt detta tyder på att Barium är ute efter att spionera och varken förstöra eller tjäna pengar.
Länkade angrepp
Säkerhetsforskarna är inte helt säkra på hur Barium lyckas göra intrång och placera in sin kod i mjukvaran hos de företag de angriper. Kaspersky gissar att i vissa fall ger det ena lyckade intrånget det andra. Angreppet mot Ccleaner, till exempel, riktade sig mot Asus, vilket kan ha givit Barium det de behövde för att sedan angripa just Asus och deras mjukvaruuppdateringar. Det tyder på att angreppen kan vara länkade mellan varandra även i andra fall.
Exakt vilka Barium är är höljt i dunkel. Men säkerhetsforskarna noterar att utvecklarna av deras kod verkar tala kinesiska, att de sannolikt håller till i Kina, och att de flesta av deras offer är företag och organisationer i asiatiska länder som Sydkorea, Taiwan och Japan. Kaspersky har hittar ”artefakter” av förenklad kinesiska (simplified chinese) i Bariums kod, och i ett fall har gruppen använt Google Docs som en slags kommandomekanism och råkat tappa garden för ett ögonblick.
Dokumentet innehöll ett formulär där landskoden för telefonnumret var satt till +86, alltså Kina. I de tre spelangreppen designades bakdörren så att den inte skulle aktiveras om operativsystemets språk var satt till förenklad kinesiska eller, märkligt nog, ryska. Även Bariums kod och diverse verktyg ser ut att ha ett arv från andra, troligen kinesiska, hackergrupper, som de famösa APT17.
Oavsett nationalitet är det Bariums framtid som oroar säkerhetsforskarna. Gruppen blir allt mer skicklig på att dölja sina spår. I fallet Asus inkluderade koden en lista med mac-adresser så att bakdörren inte skulle behöva kommunicera med en kommandoserver, vilket rycker viktiga verktyg ur händerna på dem som försöker upptäcka de misstänkta beteenden i nätverket som gjorde att Kaspersky kunde upptäcka NetSarang. I fallet med spelen gick Barium så långt som att först infektera den version av kompilatorn och utvecklingsverktyget Microsoft Visual Studio som utvecklarna av spelen använder, och därmed dölja en distributions-attack inom en annan.
– De blir allt mer sofistikerade. Ju mer tiden går och de förfinar sina metoder, ju svårare kommer det bli att få tag på dem, säger Vitaly Kamluk på Kaspersky.
Läs också:
Så gick det till när Visma hackades – det började med två stulna Citrix-konton
NSA:s supervapen för riktade attacker – så funkar man-på-sidan-attacker
