Kai 2019-ųjų žiemą kibernetinio saugumo ekspertai pirmą kartą susidūrė su „Baldr“, nė viena ugniasienė ar antivirusinė programa negalėjo identifikuoti programos kaip kenkėjiškos, mat „Baldr“ programos paketas savo identitetą išmaniai maskavo.
Kol saugumo specialistai laužė galvas bandydami nulaužti šią maskuotę, „Baldr“ įgavo pagreitį ir sparčiai plito globaliai: Indonezijoje ir Pietinėje Azijoje buvo nustatyta virš 20 proc. visų duomenų vagysčių atvejų, Brazilijoje – daugiau nei 14 proc., Rusijoje – beveik 14 proc., JAV – 11 proc., Vokietijoje ir Prancūzijoje – apie 5 proc. atvejų.
„Esant tokio masto globaliam duomenų vagysčių paplėtimui – buvo aišku, kad reikia veikti greitai, tačiau sumaniai. „Sophos” saugumo ekspertams pavyko įsilieti į potencialių klientų gretas tamsiajame Internete, kur jie galėjo sekti kiekvieną „Baldr“ žingsnį, analizuoti klientų ratą bei tirti, kokiose erdvėse „Baldr“ platino savo paslaugas ir kokios tų paslaugų vykdymo schemos“, – dalinasi Justinas Valentukevičius, tyrimą atlikusios kibernetinio saugumo bendrovės „Sophos” atstovas Baltijos šalyse.
Tokiu atveju pavyko greitai nustatyti, kad „Baldr“ kūrėjai savo kenkėjišką programą platina ne patys, o per tarpininkus. Šie gi klientų ieško tarp jaunų, nepatyrusių, daug įgūdžių neturinčių piktavalių, todėl savo kenkėjišką produktą platina ne el. paštu ar kitais šiuolaikiškais kanalais, o per kompiuterinių žaidimų entuziastų puslapius bei forumus.
Buvo aišku, kad programos, įdiegiančios piratines žaidimų kopijas, raktų generavimo programas ar specialius kodus, užtikrinančius perėjimą į kitą žaidimo lygį – tai pagrindinis kelias, kai nieko neįtariantis žaidėjas kartu su piratine programa įdiegia ir „Baldr“.
„Būtent šie nepatyrę piktavaliai, norintys būti kibernetiniais nusikaltėliais, padėjo „Sophos“ saugumo ekspertams perprasti „Baldr“ veiklos schemą. Neapdairūs naujieji programišiai dažnu atveju tiesiog dalinosi pasiekimais tamsiajame Internete viešai skelbdami C2 (angl. Command and Control) prieigos taškus, kur ir buvo siunčiami konkretaus užsakymo aukų duomenys“, – sako J.Valentukevičius.
Prieiga prie šių duomenų leido saugumo ekspertams perprasti „Baldr“ veiklos schemą aukos kompiuteryje, atskirais atvejais – stebėti C2 serverio eiliškumo užpildymą aukų duomenimis. Kaip kurie klientai buvo tiek nepatyrę ir neatsargūs, kad C2 mašinoje paliko prieinamus serverio programos paketus, o pastarieji kartu su „Baldr“ leido sėkmingai įveikti užmaskuotą duomenų vagystės schemą.
„Nors pradžioje ir buvo manoma, kad „Baldr“ tėra viso labo internetinių paskyrų slaptažodžių vagis, vėliau paaiškėjo, kad turime reikalą su neišrankiu duomenų vagimi, beatodairiškai renkančiu bet kokią įrenginyje prieinamą informaciją. Vaizdžiai tariant, „Baldr“ galėtų nuimti laikrodį nuo mūsų rankos mums to nepastebint“ – toliau tęsia „Sophos” atstovas.
Laimei, „SophosLabs“ kibernetinio saugumo ekspertams pavyko detaliai atkurti „Baldr“ veikimo schemą. Paaiškėjo, kad ši kenkėjiška programa nuosekliai ir sistemingai siurbia ne tik internetinių paskyrų vartotojų prisijungimo duomenis, tačiau viską, kas identifikuojama kaip vertės turinti informacija ir prie ko įmanoma prieiti atakuojamame įrenginyje.
Iš pradžių sukuriamas įrenginio profilis, į kurį įtraukiama informacija apie įrenginio gamintoją, procesorių, atmintį, operacinę sistemą, atnaujinimų reguliarumą, sistemoje naudojamą kalbą, ekrano raišką, kitus nustatymus ir įdiegtas programas. Tada informacija surenkama iš visų įdiegtų Interneto naršyklių – pavagiami paskyrų prisijungimo duomenys, automatinio formų laukų užpildymo nustatymai, internetinių mokėjimų, banko kortelių duomenys. Toliau renkami duomenys apie naudojamas tinklo programas ir jų prisijungimus, įskaitant populiarias FTP, VPN ir žinučių programas.
Tačiau tai dar ne viskas. Neįtikėtina, koks „Baldr“ išmanus ir godus informacijai. Ši kenkėjiška programa žino, kaip, aukai nieko neįtariant, apiplėšti kriptovaliutų piniginę, jeigu kartais tokią įrenginyje aptinka. Pabaigai padaro įrenginio darbastalio nuotrauką. Tiesiog šiaip sau, nes „Baldr“ tai gali. Be abejo, visa surinkta informacija, priklausomai nuo kiekio, dalimis arba iš karto šifruotais paketais akimirksniu persiunčiama į kliento C2 tarnybinę stotį.
Šiuo metu „Baldr“ tamsiajame Internete neaktyvus. Panašu, kad kenkėjiškos programinės įrangos kūrėjai susikivirčijo su platintojais, o gal pasklido žinios apie veiklos schemų demaskavimą. Bet kuriuo atveju, „Sophos“ kibernetinio saugumo ekspertai rekomenduoja būti atsargiems, kadangi, remiantis praeities patirtimi, greitu laiku „Baldr“ galimai reinkarnuosis naujais pavidalais.
Pasak ekspertų, rekomenduojama vengti piratinės programinės įrangos diegimų, nesusigundyti nuolaidų kodų ir įvairių prieigos raktų generatoriais. Tokio tipo programose kenkėjiški komponentai gali būti taip gerai užmaskuoti, kad net pačios moderniausios ugniasienės ir antivirusinės programos nesugeba jų atpažinti.