Cyberbrottslingar tar hjälp av expertverktyg för att undgå upptäckt
Experternas vassaste verktyg för att testa IT-säkerheten utgör i sig en allvarlig säkerhetsrisk. Sådan programvara kan även missbrukas för att genomföra intrång och plantera skadlig kod. Ett nytt hjälpmedel för penetrationstest, BRc4, har visat sig extremt svårt att upptäcka och har redan hamnat i händerna på brottslingar.
Av Fredrik Johansson, teknikchef på Palo Alto Networks i Sverige
Vårt team Unit 42 som löpande studerar IT-attacker upptäcker ständigt nya kreativa grepp som hackare tar till för att genomföra intrång och installera fientlig kod för sina syften.
Nyligen avslöjade Unit42 en sådan ”innovation” vid ett rutinmässigt test med VirusTotal, ett webbaserat verktyg som gör det möjligt att i ett steg låta testa programvara med samtliga de antivirusverktyg och säkerhetslösningar för klienter som finns på marknaden – totalt 56 stycken.
Inte ett enda av dessa varnade för att någon säkerhetslucka kunde finnas i det testade programmet. Det aktuella testobjektet som fick entydigt grönt ljus av VirusTotal heter Brute Ratel, ett verktyg som används för att ”stresstesta” IT-säkerheten hos företag och myndigheter.
Brute Ratel började som ett sidoprojekt för dess utvecklare, IT-säkerhetsexperten Chetan Nayak (på nätet känd som Paranoid Ninja). Han har lång erfarenhet från konsultuppdrag där simulerade cyberattacker genomförs i syfte att testa kundernas säkerhet – en metodik som är känd som penetrationstest eller ”red teaming”.
I januari 2022 slutade Nayak på sitt ordinarie arbete för att på heltid ägna sig åt Brute Ratel, som blivit alltmer populärt bland experterna. Han började även ta betalt för programvaran – en licens för en användare kostar omkring 25 000 kronor per år.
Testverktyg som utnyttjas för brott
Ett välkänt kommersiellt verktyg i samma kategori är Cobalt Strike, som blivit populärt bland penetrationstestare och ”etiska hackare”. Men tyvärr finns åtskilliga exempel på att även detta har utnyttjats av hotaktörer.
Brute Ratel är jämförelsevis minst lika sofistikerat och potentiellt ännu farligare än Cobalt Strike då det medvetet konstruerats för att undgå upptäckt med antivirus och andra säkerhetsverktyg, något som understryks av testet med VirusTotal.
Unit 42 har redan studerat flera fall där Brute Ratel har utnyttjats som brottsverktyg och identifierat företag och organisationer som har drabbats. Vi har bland annat sett att Brute Ratel används med ett falskt Microsoft-certifikat via en IP-adress hos molntjänsten AWS, vilket gör att det ser pålitligt ut. Det är uppenbart att verktyget nu används av cyberbrottslingar för att sprida skadlig programvara och ransomware.
Spår av statsstödda hackare
Det finns tydliga likheter mellan attackerna där Brute Ratel har utnyttjats och de metoder som använts av hackargruppen APT29. APT29 verkar i nära samarbete med den ryska underrättelsetjänsten SVR och har sedan 2008 regelbundet angripit offentliga organisationer i EU- och Nato-länder. Det var till exempel APT29 som 2015 tog sig in i en e-postserver hos det demokratiska partiet i USA och läckte tiotusentals meddelanden som sedan publicerades av Wikileaks.
APT29 var också inblandade i den globala SolarWinds-attacken 2021, som även det handlade om en tredjepartsattack, där ransomware-kod planterades i ett välkänt kommersiellt IT-administrationsverktyg och attacker sedan riktades mot dess användare.
Hemläxan
Förmågan att krypa under radarn hos alla vanliga virusskydd och verktyg för att säkra klienter är en skrämmande upptäckt, som borde ge säkerhetsleverantörerna en tankeställare. De måste se till att Brute Ratel går att upptäcka. Det IT-och säkerhetsansvariga kan göra på egen hand är att bekanta sig med metodiken bakom denna typ av attacker, för att lättare kunna möta dessa.
För den som vill dyka in i alla tekniska detaljer om tillvägagångssättet finns Unit42:s rapport om Brute Ratel att läsa här.
