Kai 2019-ųjų žiemą kibernetinio saugumo ekspertai pirmą kartą susidūrė su Baldr – nei viena ugniasienė ar antivirusinė programa negalėjo identifikuoti programos kaip kenkėjiškos, mat Baldr programos paketas savo identitetą išmaniai maskavo, rašoma pranešime spaudai.
Kol saugumo specialistai laužė galvas bandydami nulaužti šią maskuotę, Baldr įgavo pagreitį ir sparčiai plito globaliai: Indonezijoje ir Pietinėje Azijoje buvo nustatyta virš 20 proc. visų duomenų vagysčių atvejų, Brazilijoje – daugiau nei 14 proc., Rusijoje – beveik 14 proc., JAV – 11 proc. Vokietijoje ir Prancūzijoje – apie 5 proc. atvejų.
„Esant tokio masto globaliam duomenų vagysčių paplėtimui – buvo aišku, kad reikia veikti greitai, tačiau sumaniai. „Sophos” saugumo ekspertams pavyko įsilieti į potencialių klientų gretas tamsiajame Internete, kur jie galėjo sekti kiekvieną Baldr žingsnį, analizuoti klientų ratą bei tirti, kokiose erdvėse Baldr platino savo paslaugas ir kokios tų paslaugų vykdymo schemos“, – dalinasi Justinas Valentukevičius, tyrimą atlikusios kibernetinio saugumo bendrovės „Sophos” atstovas Baltijos šalyse.
Tokiu atveju pavyko greitai nustatyti, kad Baldr kūrėjai savo kenkėjišką programą platina ne patys, o per platintojus. Šie gi klientų ieško tarp jaunų, nepatyrusių, daug įgūdžių neturinčių piktavalių, todėl savo kenkėjišką produktą platina ne el. paštu ar kitais šiuolaikiškais kanalais, o per kompiuterinių žaidimų entuziastų puslapius bei forumus.
Buvo aišku, kad programos, įdiegiančios piratines žaidimų kopijas, raktų generavimo programas ar specialius kodus, užtikrinančius perėjimą į kitą žaidimo lygį – tai pagrindinis kelias, kai nieko neįtariantis žaidėjas kartu su piratine programa įdiegia ir Baldr.
„Būtent šie nepatyrę piktavaliai, norintys būti kibernetiniais nusikaltėliais, padėjo „Sophos“ saugumo ekspertams perprasti Baldr veiklos schemą. Neapdairūs naujieji programišiai dažnu atveju tiesiog dalinosi pasiekimais tamsiajame Internete viešai skelbdami C2 (angl. Command and Control) prieigos taškus, kur ir buvo siunčiami konkretaus užsakymo aukų duomenys“, - sako J. Valentukevičius.
Prieiga prie šių duomenų leido saugumo ekspertams perprasti Baldr veiklos schemą aukos kompiuteryje, atskirais atvejais - stebėti C2 serverio eiliškumo užpildymą aukų duomenimis. Kaip kurie klientai buvo tiek nepatyrę ir neatsargūs, kad C2 mašinoje paliko prieinamus serverio programos paketus, o pastarieji kartu su Baldr leido sėkmingai įveikti užmaskuotą duomenų vagystės schemą.
„Nors pradžioje ir buvo manoma, kad Baldr tėra viso labo internetinių paskyrų slaptažodžių vagis, vėliau paaiškėjo, kad turime reikalą su neišrankiu duomenų vagiu, beatodairiškai renkančiu bet kokią įrenginyje prieinamą informaciją. Vaizdžiai tariant, Baldr galėtų nuimti laikrodį nuo mūsų rankos mums to nepastebint“ – toliau tęsia pašnekovas.
Laimei, SophosLabs kibernetinio saugumo ekspertams pavyko detaliai atkurti Baldr veikimo schemą. Paaiškėjo, kad ši kenkėjiška programa nuosekliai ir sistemingai siurbia ne tik internetinių paskyrų vartotojų prisijungimo duomenis, tačiau viską, kas identifikuojama kaip vertės turinti informacija ir prie ko įmanoma prieiti atakuojamame įrenginyje.
Iš pradžių sukuriamas įrenginio profilis, į kurį įtraukiama informacija apie įrenginio gamintoją, procesorių, atmintį, operacinę sistemą, atnaujinimų reguliarumą, sistemoje naudojamą kalbą, ekrano rezoliuciją, kitus nustatymus ir įdiegtas programas. Tada informacija surenkama iš visų įdiegtų Interneto naršyklių - paskyrų prisijungimo duomenys, automatinio formų laukų užpildymo nustatymai, internetinių mokėjimų, banko kortelių duomenys. Toliau renkami duomenys apie naudojamas tinklo programas ir jų prisijungimus, įskaitant populiarias FTP, VPN ir žinučių programas.
Tačiau tai dar ne viskas. Neįtikėtina, koks Baldr išmanus ir godus informacijai. Ši kenkėjiška programa žino, kaip, aukai nieko neįtariant, apiplėšti kriptovaliutų piniginę, jeigu kartais tokią įrenginyje aptinka. Pabaigai padaro įrenginio darbastalio nuotrauką. Tiesiog šiaip sau, nes Baldr tai gali. Be abejo, visa surinkta informacija, priklausomai nuo kiekio, dalimis arba iš karto šifruotais paketais akimirksniu persiunčiama į kliento C2 tarnybinę stotį.
Šiuo metu Baldr tamsiajame Internete neaktyvus. Panašu, kad kenkėjiškos programinės įrangos kūrėjai susikivirčijo su platintojais, o gal pasklido žinios apie veiklos schemų demaskavimą. Bet kuriuo atveju, „Sophos“ kibernetinio saugumo ekspertai rekomenduoja būti atsargiems, kadangi, remiantis praeities patirtimi, greitu laiku Baldr galimai reinkarnuosis naujais pavidalais.
Pasak ekspertų, rekomenduojama vengti piratinės programinės įrangos diegimų, nesusigundyti nuolaidų kodų ir įvairių prieigos raktų generatoriais. Tokio tipo programose kenkėjiški komponentai gali būti taip gerai užmaskuoti, kad net pačios moderniausios ugniasienės ir antivirusinės programos nesugeba jų atpažinti.