Česká výzkumná pobočka slovenské společnosti ESET se podílela na mezinárodní Operaci Endgame, v rámci níž byl proveden zásah proti botnetu Amadey a infostealeru Stealc. Cílem bylo narušit jejich aktivity a infrastrukturu včetně známých kontrolních a řídících serverů (C&C). Orgány činné v trestním řízení díky tomu mohly s vysokou mírou jistoty identifikovat a podniknout kroky vůči útočníkům.
Češi z ESETu, kteří se soustředí na kybernetickou kriminalitu, poskytli technickou analýzu, statistická data, seznam kontrolních serverů, šifrovací klíče, identifikátory kampaní a další informace. Akci vedl Microsoft (sekce Digital Crimes Unit), zapojily se také firmy BitSight, Lumen a Mitsui Bussan Secure Directions.
Amadey a Stealc jsou malware nabízený jako služba (MaaS). Autoři tyto nástroje nabízí na darknetu za poplatek. Útočníci pak zakoupené technologie používají k útokům na vybrané cíle, kterým kradou informace a šifrují data za výpalné. ESET aktivity sledoval tři roky a bude v tom pokračovat.
Jakub Tománek a Tomáš Procházka z českého ESETu k Operaci Endgame napsali článek plný technických detailů. Základní shrnutí vypadá takto:
Amadey je modulární malware typu loader. Jeho hlavním účelem je distribuovat další škodlivý kód do kompromitovaných systémů, přičemž nabízí také moduly pro exfiltraci dat a získání vzdáleného přístupu. Stealc je naopak typickým infostealerem, který jeho autoři nabízejí v podobě služby dalším útočníkům. Zaměřuje se na přihlašovací údaje, soubory cookies, kryptoměnové peněženky, rozšíření prohlížečů a další soubory, které si útočníci určí.
Autoři obou rodin malwaru je nabízejí jako službu a propagují na darknetových fórech. V obou ekosystémech získávají jejich zájemci (partneři) administrativní panel, který si mají nasadit v rámci vlastní serverové infrastruktury. To od nich vyžaduje určitou míru technických dovedností, a zároveň jim to poskytuje přímou kontrolu nad daty obětí a distribucí malwaru.
O tom, jakou metodou budou malware šířit, rozhodují jednotliví partneři. Data společnosti ESET konzistentně poukazují na to, že oba škodlivé kódy byly distribuovány přes široký výběr kanálů. Nejčastějšími způsoby šíření byly falešné aktualizace softwaru, instalátory cracknutých programů a škodlivé loadery třetích stran.
Botnet Amadey fungoval tak, že si partneři zakoupili licenci a následně platili další poplatek při každém vytvoření nové verze malwaru (například při přechodu na nový kontrolní server). Jeho provozovatelé tedy neposkytovali partnerům nástroj pro tvorbu nových verzí malwaru. Vzorky škodlivého kódu byly na vyžádání kompilovány zvlášť pro každého partnera.
Služba nabízí tři moduly pro další exfiltraci dat a získání přístupu: modul pro sledování schránky (clipboardu), modul pro krádež přihlašovacích údajů a modul vzdáleného přístupu. Cena služby činí 600 dolarů v bitcoinech za jednu licenci, přičemž za každou novou verzi malwaru se účtuje dalších 50 dolarů.
Provozovatelé infostealeru Stealc zvolili k partnerům přívětivější přístup a v rámci předplatného nabízeli neomezené generování verzí malwaru. To snižovalo provozní náklady spojené s obměnou infrastruktury a usnadňovalo partnerům vytváření nových vzorků podle potřeby.
Infostealer se zaměřuje na širokou škálu zdrojů dat, včetně přihlašovacích údajů uložených ve webových prohlížečích, e-mailových klientech, FTP klientech, herních platformách, souborů kryptoměnových peněženek a rozšíření prohlížečů. Stealc se prodává ve formě předplatného, přičemž nejlevnější varianta stojí tisíc dolarů na šest měsíců.