Slučaj jedne phishing poruke

Pripremajući tekst koji je nedavno objavljen na portalu ideje.hr, uočio sam objavu AZOP-a od 11.7.2024. o pokretanju nadzora nad HZZO-om povodom sumnjivog phishing maila o kojem se tog dana pričalo (napominjem da sam ovu objavu AZOP-a primijetio tek prije nekoliko dana, a ne s danom objave na njihovim stranicama):

Sumnjivi mail koji je predmet nadzora, stigao je i do mojeg mailbox-a kao i do mailbox-a nekih mojih klijenata, pa sam već idućeg dana (12.7.2024.) napravio analizu maila.

Ako inkriminiranu poruku niste još vidjeli, prikazujem je u nastavku:

Sama poruka ima nekoliko očitih površno sastavljenih elemenata, prije svega čudan naziv pošiljatelja, bez obzira što, naizgled, dolazi s domene hzzo.hr. Zapravo, sama poruka ne bi ni trebala izazivati poseban interes jer bi i umjereno osviješćen korisnik trebao prepoznati krivotvorinu, no pokazalo sa da je mail poruka uspješno dospjela do brojnih primatelja, tako da smo već isti dan na radiju slušali upozorenje HZZO-a primateljima da ne otvaraju taj mail, a i neki programi elektroničke pošte su prikazali upozorenje o sumnjivom pošiljatelju.

Glavni razlog za provedbu analize je dobra praksa da se u slučaju propuštanja maila sa sumnjivim ili nedvojbeno malicioznim sadržajem do računala korisnika, dakle u situaciji kada takav mail nije zaustavljen na filteru mail servera, provede analiza maila te pokuša utvrditi tko je sve od korisnika dobio taj mail i je li možda netko otvorio sumnjivi privitak (odnosno neoprezno postupio na neki drugi način, ovisno od scenarije phishing maila, npr. je li na računalu pohranjena maliciozna datoteka). Dodatni doprinos takve analize je i pribavljanje dodatnih informacija koje će pomoći unaprijediti sigurnosne mjere ili pak dobiti dodatne informacije o potencijalnim napadačima.

Ukratko ću navesti osnovne zaključke analize, bez detaljnog opisivanja postupka.

Pokazalo se da je mail poruka pristigla sa mail servera Medicinskog  fakulteta u Beogradu, odnosno ishodište maila je bilo jednom računalu (vidi se njegova privatna IP adresa) koje je poruku proslijedilo mail serveru. Naravno, to nipošto ne znači da je fakultet ili netko sa fakulteta namjerno poslao ovaj mail, a ovaj zaključak je dobio još veće uporište nakon što sam napravio i sljedeće korake u analizi. U svakom slučaju, ili je računalo nekog korisnika – nastavnog osoblja ili možda studenta bilo zaraženo i poslužilo za slanje poruke ili je možda sam mail server bio kompromitiran. Zaključak se ne može donijeti bez forenzičke analize samog servera i računala pošiljatelja, no to je naravno izvan obuhvata ove analize. Ja sam jedino još mogao prikupiti javno dostupne dodatne podatke o samom mail serveru i pokazalo se da ima jako puno ranjivosti koje se mogu eksploatirati ali i da već ima povijest sličnih kompromitacija, pa ovaj server ostaje glavni osumnjičeni.

Sama mail poruka koja je došla do primatelja ima izrazito nespretno sastavljeno ime pošiljatelja („Hrvatskog zavoda za zdravstveno osiguranje <podataka.zastita <pri> hzzo [.] hr“). Znamo, naravno, da adresa pošiljatelja u tijelu poruke nije nužno relevantna informacija, ali njegova nespretna konstrukcija u ovom slučaju bi trebala biti dodatni indikator prevare. No, ja sam nastavio analizu i fokusirao se na privitak poruke.

Privitak je sadržavao komprimiranu datoteku potvrda.tar (dakle u komprimiranom tar formatu). Datoteku sam raspakirao u izoliranoj i kontroliranoj okolini i pokazalo se da u sebi sadrži izvršnu datoteku potvrda.cmd. Napadač je, pretpostavljam, ciljao na korisnike koji imaju instaliran program WinRAR i to njegovu raniju verziju iz 2023. uz koju je registrirana ranjivost CVE-2023-38831. Ovo je bila veoma opaka ranjivost koja je omogućila da se, nakon što korisnik klikne na poruku, benigno izgledajućoj datoteci iz arhive doda sufiks exe, nakon čega se datoteka izvodi. Ponavljam, ovo je moja pretpostavka zato što nisam testirao izvedbu na ranjivoj verziji WinRAR, ali svi indikatori ukazuju na ovu tehniku.

Nakon izvođenja, datoteka otvara komunikaciju prema Command&Control serveru koji se nalazi na Amazon Cloudu. Analiza je izdvojila IP adresu i ime servera kojem izvedeni program pristupa – www[.]sukhiclothing[.]com. Sama domena je kreirana na GoDaddy pružatelju registracijskih usluga i to putem proxy registranta tako da podaci o stvarnom vlasniku nisu vidljivi bez sudskog naloga ili posebnog „prijateljskog“ uvjeravanja za koje konzultant koji nije i consigliere nema osobite argumente.

Analiza raspakiranog programa na Virustotal i analiza mrežnog prometa koji se izvodio iz malicioznog programa prema kontrolnom serveru je pokazala da se radi o malwareu iz porodice FORMBOOK čija je osnovna namjena krađa podataka, no ovdje sam zastao s daljnjom analizom koja bi detaljnije opisala način rada ovog malicioznog programa. Zaključaka već sada imamo dovoljno.

Što se tiče samog malware, vidjeli smo iskorištavanje ranjivosti u paketu WinRAR. Ova je ranjivost zakrpana u kolovozu 2023. a postoje podaci da je aktivno iskorištavana kao zero-day ranjivost od travnja do kolovoza 2023. Uvjeren sam da i danas ima veliki broj nezakrpanih WinRAR instalacija.

Vjerujem da nije puno ljudi nasjelo na ovu izvedbu s HZZO predmetom, no uz pažljivije kreiranje phishing poruke, ova ranjivost ima veoma zgodan mehanizam za automatsko izvođenje (automatsko kreiranje i izvođenje exe datototeke).

Kada se sagleda cijela slika, još više smo uvjereni da je Medicinski fakultet u Beogradu imao ulogu korisne žrtve. Vrlo moguće da je netko iz Initial Access Broker djelatnosti prodao account za pristup ovom serveru najboljem ponuđaču ili najboljim ponuđačima.

Vraćam se sad na AZOP, s početa teksta, a ovo je i jedan od zaključaka teksta s portala ideje.hr. Umjesto prvoloptaške reakcije i upiranja prsta u krivu stranu, a i pojačanja panike koja je tada još vladala, bilo bi dobro da smo dobili analizu s ovakvim ili još dubljim detaljima. Možda AZOP i nije najpozvaniji ili najspremniji za ovakvu analizu, ali očekujem da netko ipak postoji. Minimalno što se moglo postići bila bi uputa prema kojoj bi tvrtke s manjom tolerancijom na rizike stavile kompromitirani mail server na crnu listu, a dobro bi došla i obavijest o opasnosti nezakrpanog programa WinRAR.

Za kraj, još djelić Only Murders in the Building / True Crime podcast zanosa. Imati ustanovu profila spomenutog fakulteta kao legitimnog pošiljatelja malicioznog maila, napadaču daje velike prilike za kreiranje dobrog preteksta tj. izgovora za scenarije socijalnog inženjeringa. Npr. upravo s ove adrese može doći dobro skrojeni i uvjerljiv mail s malicioznim sadržajem na neki drugi fakultet ili možda u bolnicu, čak i u Hrvatskoj. Recimo, dva tjedna ranije…

Školski primjer socijalnog inžinjeringa

Još uvijek se nije stišala polemika vezana za slučaj intervjua virtualnog Sanadera u Jutarnjem listu. Nemam namjeru opredijeliti se oko toga je li posrijedi pomno planirana namještaljka ili profesionalni previd, no s obzirom da je izvedba samog scenarija povezana s primjenom informacijskih tehnologija (tj. elektroničke pošte) uz sve elemente socijalnog inžinjeringa, iznosim svoj pogled na taj slučaj.

Dakle, ostavimo po strani teorije zavjera i konkretna imena. Analizirajmo slučaj prema slijedećem modelu u kojem postoje dvije glavne komponente: s jedne strane imamo medije, koje ćemo za potrebe analize reducirati na Novine, a s druge strane imamo Javnost - korisnika sadržaja kojeg generiraju Novine. Odnos Javnosti i Novina postoji nekoliko stoljeća i podrazumijeva se da Novine nastupaju kao objektivni posrednik događaja, a da Javnost vjeruje novinama. Taj odnos je baziran na principu povjerenja Javnosti i odgovornom ponašanju Novina (elektronički mediji, uključujući i Internet, veoma će teško dosegnuti razinu povjerenje koja je tradicionalno označavala odnos Javnosti i Novina). Opisati ću ovaj odnos na još apstraktnijoj razini: Novine možemo predstaviti kao informacijski sustav a Javnost je korisnik ovog informacijskog sustava. Štoviše, Javnost je "vlasnik" podataka koje generira informacijski sustav Novine. Pri tome smatram da je princip javnog interesa za podatke koji se opisuju u Novinama jači od eventualnog tržišnog karaktera Novina i interesa njihovih vlasnika. Naravno, Novine mogu imati i određene sadržaje koji nisu u funkciji informiranja javnosti i za koje je vlasništvo definirano na drugi način, no u ovom slučaju nas ne zanima takav aspekt. Dakle, slučaj virtualnog premijera možemo protumačiti kao testiranje informacijskog sustava Novina. Vlasnik podataka - Javnost - odlučio je provjeriti postoje li manjkavosti informacijskog sustava Novine, a predmet provjere je način prikupljanja informacija.

Scenarij testiranja slijedi. Javnosti je poznata je praksa da Novine rade intervjue korištenjem elektroničke pošte. Elektronička pošta je poznata kao jedan od najmanje sigurnih načina komunikacije, kako zbog mogućnosti lažne identifikacije korisnika tako i zbog mogućnosti modifikacije sadržaja. Dobra praksa informacijske sigurnosti preporuča korisnicima da e-mail ne koriste za izmjenu povjerljivih informacija ili sadržaja. Javnost je napravila jednu vrstu penetracijskog testa (dobro, ne baš klasični tehnički penetracijski test, nego onaj u kojem se provjerava mogućnost socijalnog inžinjeringa) kako bi provjerila hoće li Novine objaviti informaciju iz neautentičnog izvora. Test je pomno pripremljen, a naglasak je bio na modifikaciji izvora poruke, a ne na falsificiranju sadržaja (da je kojim slučajem ponuđen senzacionalistički ili neuvjerljiv sadržaj, Novine bi, vjerujem, provjerile njihovu vjerodostojnost čime test ne bi uspio). Rezultat smo vidjeli. Novine su povjerovale elektroničkom mailu i objavili nevjerodostojnu informaciju (to što je svima zvučila uvjerljivo, druga je priča). Informacijski sustav Novine mora, dakle, proraditi na vlastitim sigurnosnim mjerama.

Je li javnost imala pravo na takav test? Ako prihvatimo da je Javnost "vlasnik" podataka koje Novine objavljuju, onda ima pravo na takav test. Pored toga, moramo znati da Novine često objavljuju pogrešne informacije, da Javnost nema mogućnosti ispravka takvih informacija na proporcionalan način, te da Javnost često ima i direktne materijalne posljedice zbog objave pogrešnih informacija.

Ovo je, naravno, jedan pozitivan pogled na cijeli slučaj bez namjere glorifikacije pokretača ovog scenarija i bez namjere omalovažavanja novinara koji je nasjeo ovim scenariju. Moje simpatije za ovaj slučaj biti će znatno umanjene ako se pokaže da je cijeli scenarij rezultat nečije zavjere - konkurencije, tajnih službi, zlobnih kolega, ili možda, vlasnika restorana kojeg je Davor Butković negativno ocjenio.