Sagerunex
A Securite360 elemzése a Lotus Panda (Lotus Blossom) kiberkémkedéssel foglalkozó csoport által használt Sagerunex káros programcsaláddal foglalkozik. A Sagerunex nem csak egy átlagos back door, egy rendkívül hatékony, diszkrét kémprogram, amelyet elsősorban célzott támadásokban, főként kormányzati, telekommunikációs, médium- és gyártási szektorokban alkalmaznak Ázsiában, különösen a Fülöp-szigetek, Vietnam, Hongkong és Tajvan területén.
A Sagerunex legfőbb jellemzője, hogy mindenáron elkerüli a felfedezést. Ezt többek között token-utánozás, alapértelmezett proxy-beállítások vagy konfigurált proxik használata, valamint egyéni működési időablakok beállítása segítségével éri el. Emellett a káros program nem hagy mag után könnyen észrevehető nyomokat: konfigurációját nem kódolja be a programkódba, hanem futás közben, argumentumként kapja meg, és csak a célgépen tárolja el. Ez a megközelítés nehezíti a statikus elemzést és a hagyományos biztonsági megoldások által végzett detektálást.
A Sagerunex különösen érdekes és veszélyes azért is, mert nem hagyatkozik hagyományos C2. Helyettük legitim, mindennapi felhőszolgáltatásokon, mint például a Dropbox, az X és a Zimbra nyílt forráskódú webmail-rendszer, keresztül kommunikál. Ez a taktika nemcsak nehezíti a forgalom észlelését, hanem lehetővé teszi a támadóknak, hogy a normális hálózati forgalomba beolvadva, észrevétlenül exfiltálják az adatokat és kapjanak parancsokat. A Cisco Talos kutatói is megerősítik, hogy a Sagerunex különböző változatai ezekben a szolgáltatásokban rejtik el kommunikációs csatornáikat, így még nehezebb a védők számára kiszűrni a káros tevékenységet a legitim forgalomból.
A Lotus Panda csoport folyamatosan fejleszti és frissíti a káros programot, új változatokat hozva létre, amelyek még jobban elkerülik a detektálást és hosszabb távon is fennmaradnak a fertőzött rendszerekben. A Sagerunex regisztrálja magát Windows szolgáltatásként, így minden rendszerindításkor automatikusan elindul, és a támadók hosszú távon is hozzáférhetnek a célgépekhez. Emellett a Sagerunex használ obfuscálási technikákat, mint például a VMProtect, amely a kódot komplex, virtualizált utasításokká alakítja, így még nehezebbé téve a biztonsági eszközök számára a felismerést.
A Sagerunex nem csak egy technikai kihívás, hanem egy stratégiai fenyegetés is, a Lotus Panda csoport célzott, hosszú távú kémkedési kampányokat folytat, és a Sagerunex csak egy eszköze ebben. A változatai nemcsak adatlopásra, hanem parancsvégrehajtásra is képesek, és a támadók folyamatosan alkalmazkodnak a védelmi mechanizmusokhoz, hogy minél hosszabb ideig észrevétlenül maradhassanak a célrendszerekben.
