Mi lenne, ha a következő “vállalati szoftver”, amit az IT-os kolléga jóváhagy, valójában a támadó teljes belépőkártyája lenne a rendszerbe?
Pontosan ez történt a TrustConnect nevű, első ránézésre teljesen legitim vállalati távmenedzsment (RMM) eszközzel – amelyről most kiderült: egy gondosan felépített fedősztori egy Remote Access Trojan (RAT) számára.
A Proofpoint biztonsági szakértői szerint a támadók nem a megszokott módszert választották. Nem egy már létező RMM-eszközt éltek vissza. Nem egy ismert adminisztrációs szoftvert használtak fedésként. Hanem nulláról felépítettek egy teljesen új „vállalatot”.
Egy RAT, ami vállalati SaaS-nak álcázza magát
A TrustConnect nem egy gyorsan összedobott phishing oldal volt.
A kiberbűnözők:
- .com domaint regisztráltak
- profi kinézetű weboldalt készítettek
- több ezer dollárt fizettek egy hivatalos digitális tanúsítványért
- végigmentek a domain validációs ellenőrzéseken
Ez különösen fontos: a malware fájlok érvényes, hivatalos tanúsítvánnyal voltak aláírva, így sok védelmi rendszer eleve megbízhatónak tekinthette őket – legalábbis a tanúsítvány visszavonásáig.
A szakértők szerint ilyet eddig nem láttak ezen a szinten: teljesen új, „legitimnek tűnő” termék kifejlesztése kizárólag támadási célra.
A csali: havi 300 dolláros „előfizetés”
A TrustConnect üzleti modellje szinte groteszk módon hiteles volt. A cégek, akik nem vették észre a csalást, havi 300 dollárt fizettek a szoftver használatáért.
Amit kaptak:
- Teljes egér- és billentyűzet-hozzáférés a gépeikhez
- Képernyőfelvétel és streamelés lehetősége
- Fájlmozgatás és parancsvégrehajtás
- Jogosultsági korlátozások megkerülése
Magyarul: teljes rendszerkontroll a támadók kezében.
A szoftver funkcionalitás szintjén tényleg úgy nézett ki, mint egy professzionális Remote Monitoring and Management (RMM) eszköz. Csakhogy a háttérben nem IT-szolgáltató, hanem támadó infrastruktúra állt.
Kapcsolat a Redline infostealerrel
A Proofpoint „közepesen nagy magabiztossággal” úgy véli, hogy a TrustConnect mögött álló fejlesztők kapcsolatban állhatnak a Redline infostealer egyik VIP ügyfelével.
A Redline egy ismert adatlopó malware, amely jelszavakat, böngészési adatokat és pénzügyi információkat gyűjt. Ha a feltételezés igaz, akkor a TrustConnect nem egy elszigetelt projekt, hanem egy nagyobb bűnözői ökoszisztéma része lehet.
Miért különösen veszélyes ez a modell?
A kiberbiztonsági támadások evolúciója láthatóan új szintre lépett.
Korábban:
- phishing e-mailek
- fertőzött mellékletek
- kalózszoftverek
Most:
- teljes SaaS-szintű áltermék
- hivatalos tanúsítvány
- fizetős előfizetéses modell
Ez már nem „garázsbandás” malware-gyártás. Ez üzletszerű, professzionális támadás.
A legaggasztóbb rész pedig az, hogy a támadó nem bejut a rendszerbe – hanem a vállalat maga telepíti be számára a hátsó ajtót.
Mit jelent ez a vállalatok számára?
Ez az eset újra rámutat:
- Nem minden aláírt szoftver megbízható.
- Nem minden professzionális weboldal legitim.
- Az RMM-eszközök különösen érzékeny kategóriát jelentenek.
A szoftverbeszerzési folyamatokat szigorítani kell.
A tanúsítvány megléte önmagában nem jelent garanciát.
És minden új adminisztrációs eszközt sandbox-környezetben kell ellenőrizni bevezetés előtt.
Ki figyel kit?
A történet ironikus fordulata, hogy egy távoli felügyeleti szoftvernek álcázott malware figyelte a vállalatokat.
A címbeli kérdés – „Ki figyel kit?” – ebben az esetben nem költői.
A digitális térben ma már nem elég védekezni.
Gyanakodni kell a túl tökéletesre.
És tudni kell, hogy a modern kibertámadások nem rombolással kezdődnek – hanem bizalomépítéssel.
