Сучасні атаки на ланцюг постачання ПЗ дедалі частіше спрямовані не на самих розробників, а на інфраструктуру доставки та оновлення програм. Кампанія PlushDaemon, проаналізована дослідниками ESET, демонструє, наскільки небезпечним може бути перехоплення оновлень через зламані маршрутизатори та контроль DNS-трафіку.
Міжнародна кіберкампанія PlushDaemon: цілі, географія та можлива атрибуція
За даними ESET, активність групування PlushDaemon простежується щонайменше з 2018 року. Кампанія має чітко виражений кібершпигунський характер і спрямована як на окремих користувачів, так і на організації у США, Китаї, Тайвані, Гонконзі, Південній Кореї та Новій Зеландії.
Серед задокументованих жертв — виробники електроніки, університети, а також завод великого японського автовиробника в Камбоджі. Такий профіль цілей свідчить про інтерес до промислового шпигунства та доступу до інтелектуальної власності, а не про масові фінансово мотивовані операції.
Аналітики пов’язують PlushDaemon із Китаєм за сукупністю ознак: вибір регіонів, використана інфраструктура, тактики та інструменти, типові для APT-груп, пов’язаних з КНР. Водночас офіційної державної атрибуції наразі немає, що є звичним для складних шпигунських операцій.
Як працює атака: від зламаного маршрутизатора до повного контролю над системою
Компрометація маршрутизаторів і модель adversary-in-the-middle
Основою кампанії є захоплення мережевої периферії. Зловмисники отримують доступ до роутерів через експлуатацію відомих вразливостей прошивки або підбір слабких / дефолтних паролів. Після успішного злому на пристрій завантажується спеціалізований компонент EdgeStepper.
EdgeStepper, написаний мовою Go та розповсюджуваний у форматі ELF-бінарника, реалізує модель adversary-in-the-middle. Він перехоплює DNS-запити, аналізує цільовий домен та, за необхідності, перенаправляє їх на контрольований зловмисниками DNS-резолвер. У результаті запити, пов’язані з оновленням певного програмного забезпечення, потрапляють під повний контроль PlushDaemon.
Зловживання механізмами оновлення програмного забезпечення
Ключова особливість кампанії — удар саме по механізмах оновлення ПЗ. Починаючи з 2019 року, PlushDaemon майже повністю перейшла на модель зараження через підміну оновлень, що за ефектом нагадує supply-chain інциденти на кшталт SolarWinds чи CCleaner, хоча технічна реалізація відрізняється.
EdgeStepper фільтрує DNS-трафік і перенаправляє лише запити до доменів, пов’язаних з оновленнями. Дослідники зафіксували, зокрема, підміну оновлень популярного в Китаї методу вводу Sogou Pinyin, а також інших програмних продуктів, назви яких не розголошуються. Для користувача процес виглядає як штатне оновлення, однак замість легітимного пакета завантажується шкідливий код.
Багаторівневе зараження: LittleDaemon, DaemonicLogistics та бекдор SlowStepper
Ланцюжок початкового зараження
Після того, як жертва запускає «оновлення», їй підсовується не легітимний модуль, а завантажувач першої стадії LittleDaemon, замаскований під DLL-файл popup_4.2.0.2246.dll. Цей компонент встановлює зв’язок із сервером зловмисників і завантажує наступний елемент — DaemonicLogistics.
DaemonicLogistics розшифровується та виконується безпосередньо в оперативній пам’яті, що ускладнює виявлення статичними антивірусними методами. Його основне завдання — доставити та активувати головну корисну нагрузку: спеціалізований бекдор SlowStepper, який використовується PlushDaemon як інструмент довготривалого прихованого доступу.
Функціонал бекдора SlowStepper та шпигунські модулі
SlowStepper надає зловмисникам широкий спектр можливостей: збір детальної інформації про систему, керування файлами, віддалене виконання команд та розгортання додаткових модулів. Окремі модулі, написані на Python, призначені для крадіжки даних з браузерів, перехоплення натискань клавіш та отримання облікових даних.
ESET вказує, що SlowStepper вже використовувався раніше в атаках на користувачів південнокорейського VPN-сервісу IPany, де був скомпрометований офіційний сайт провайдера, а жертви завантажували інфікований інсталятор безпосередньо з легітимного ресурсу. Поточна кампанія з EdgeStepper розвиває цю ідею, роблячи її універсальнішою завдяки перехопленню мережевого трафіку оновлень.
Чому атаки через оновлення ПЗ становлять глобальну загрозу
Можливості PlushDaemon щодо adversary-in-the-middle-атак достатньо розвинені, щоб потенційно вражати цілі в будь-якій країні та галузі. Перехоплення оновлень дозволяє обходити класичні механізми захисту периметра, не покладаючись на фішинг чи експлуатацію робочих станцій напряму.
Зловмисники зловживають довірою до легітимних каналів оновлень, зберігають тривалу присутність у мережі, маскуючись під нормальний трафік, і можуть впливати як на офісну, так і на промислову інфраструктуру, якщо вона залежить від скомпрометованого ПЗ. Таким чином, інфраструктура оновлень фактично перетворюється на критичний елемент кібербезпеки.
Практичні кроки захисту від перехоплення оновлень програмного забезпечення
Протидія подібним кампаніям вимагає поєднання захисту мережевої периферії, контролю DNS та перевірки цілісності оновлень. Організаціям доцільно впровадити такі заходи:
1. Захист маршрутизаторів та мережевих пристроїв. Регулярно оновлювати прошивки, вимикати непотрібне віддалене адміністрування, використовувати складні унікальні паролі, вчасно виводити з експлуатації застарілі моделі.
2. Контроль DNS і трафіку оновлень. Моніторити аномальні DNS-запити, застосовувати захищені резолвери, жорстко фіксувати домени та IP-адреси, з яких дозволені оновлення критичних систем.
3. Перевірка цілісності оновлень ПЗ. Валідувати цифрові підписи, використовувати лише офіційні репозиторії, застосовувати allowlist-доступ до оновлень на рівні фаєрволів та проксі-серверів.
4. Системи виявлення загроз та EDR. Використовувати рішення, здатні фіксувати аномальну поведінку процесів, запуск невідомих бінарників та підозрілі вихідні з’єднання, навіть якщо файл формально виглядає як легітимне оновлення.
Кампанія PlushDaemon чітко показує: периметр безпеки більше не обмежується серверами та робочими станціями. Домашні та периферійні пристрої, маршрутизатори й механізми оновлення програмного забезпечення стають ключовими точками атаки. Чим раніше організації переглянуть свої процеси оновлення, запровадять технічні та організаційні контрзаходи й отримають кращу видимість мережевого трафіку, тим нижчим буде ризик стати наступною мішенню високорівневих кібершпигунських операцій.
