Σε μια προσπάθεια να μειώσει την έκθεση και να ενεργοποιήσει την ασφάλεια του δικτύου, το Υπουργείο Εσωτερικής Ασφάλειας DHS (Department of Homeland Security) των ΗΠΑ σε συνεργασία με το FBI, δημοσίευσε μια έκθεση που αναλύει ένα βορειοκορεατικό εργαλείο malware, το οποίο ονομάζεται ELECTRICFISH. Το DHS και το FBI έχουν εντοπίσει μια παραλλαγή κακόβουλου λογισμικού που χρησιμοποιείται από τη βορειοκορεατική κυβέρνηση και αποτελεί μια ακόμα ένδειξη της συνεχιζόμενης απειλής από τους εθνικούς φορείς, η οποία είναι γνωστή και ως HIDDEN COBRA. Όπως δήλωσε ο  ανώτερος διευθυντής κυβερνοασφάλειας της εταιρίας Moss Adams κος Nathan Wenzler, «αυτή η ειδοποίηση της ομάδας ετοιμότητας έκτακτης ανάγκης για υπολογιστές US-CERT (Computer Emergency Readiness Team) του DHS, αποκαλύπτει ένα απλό κομμάτι κακόβουλου λογισμικού που δημιουργεί ένα backdoor, παρέχοντας στον εισβολέα άμεση πρόσβαση στο επηρεαζόμενο σύστημα. Χρησιμοποιώντας ένα προσαρμοσμένο πρωτόκολλο που μπορεί να αποφύγει την ανίχνευση από τα τυπικά εργαλεία παρακολούθησης του δικτύου, το ELECTRICFISH μπορεί να μεταβιβάσει δεδομένα, ή να δεχθεί μια εισερχόμενη σύνδεση που παρακάμπτει τον έλεγχο ταυτότητας του συστήματος». Σύμφωνα με την ανάλυση, το ELECTRICFISH είναι ένα εργαλείο γραμμής εντολών για τη διαμόρφωση proxy server/port, ονόματος χρήστη και κωδικού πρόσβασης που κάνει εφικτή τη σύνδεση σε ένα σύστημα που βρίσκεται μέσα σε ένα διακομιστή μεσολάβησης, παρακάμπτοντας έτσι τον έλεγχο ταυτότητας του μολυσμένου συστήματος. Πρωταρχικός σκοπός του κακόβουλου λογισμικού είναι η διακίνηση κυκλοφορίας μεταξύ μιας πηγής και μιας απομακρυσμένης διεύθυνσης IP. Σύμφωνα με τον αρχηγό ανάλυσης ασφάλειας της εταιρίας Vectra κο Chris Morales, «αυτός ο τύπος σύνδεσης χρησιμοποιεί ένα προσαρμοσμένο πρωτόκολλο, διαφορετικό από τα υπάρχοντα (όπως το HTTP), ενώ είναι αυτό που αποκαλείται στη γλώσσα των προγραμματιστών ως κρυφή υπόγεια διάβαση, η οποία χρησιμοποιείται για τον έλεγχο απομακρυσμένων συστημάτων. Αυτές οι κρυφές διαβάσεις αποτελούν μέρος μιας στοχευμένης επίθεσης και είναι έτσι φτιαγμένες ώστε να αποφεύγουν τους ελέγχους. Οι κατασκευαστές τέτοιων κακόβουλων λογισμικών χρησιμοποιούν ειδικές κρυφές υπόγειες διαβάσεις σε διάφορες επιχειρηματικές εφαρμογές, όπως συναλλαγές σε εταιρίες χρηματοπιστωτικών υπηρεσιών, ή υπηρεσίες πρόσβασης σε cloud.

Οι αναφορές ανάλυσης κακόβουλου λογισμικού εκδίδονται από το DHS μέσω της US-CERT για να παρέχουν στους οργανισμούς λεπτομερέστερη ανάλυση κακόβουλων λογισμικών που αποκτήθηκαν μέσω χειροκίνητης μηχανικής αναστροφής.

του Χάρη Ματθαίου