Ukryty Backdoor – poważne zagrożenie dla firm i instytucji

Tor (The Onion Router) to sieć anonimizująca, która pozwala użytkownikom na ukrywanie swojej tożsamości i lokalizacji w Internecie. Działa poprzez przekierowywanie ruchu sieciowego przez serię węzłów (serwerów) rozproszonych na całym świecie, szyfrując dane na każdym etapie. Dzięki temu trudno jest ustalić, skąd pochodzi dany ruch oraz kto jest jego nadawcą i odbiorcą.

Tor nie zawsze służy legalnym celom – jego anonimowość sprawia, że bywa wykorzystywany również przez cyberprzestępców do nielegalnych działań, takich jak handel na dark webie, przeprowadzanie złośliwych kampanii phishingowych czy ukrywanie infrastruktury C2 (Command and Control) w atakach cybernetycznych.

Charakterystyka Tornet Backdoor

W lipcu 2024 roku Polska była celem nowego, zaawansowanego zagrożenia cybernetycznego – Tornet Backdoor. To specyficzny rodzaj złośliwego oprogramowania, który po zainfekowaniu systemu nawiązuje połączenie z siecią Tor, tworząc ukryty serwis (tzw. Onion Service). Dzięki temu cyberprzestępcy mogą zdalnie kontrolować zainfekowane urządzenie, omijając tradycyjne mechanizmy zabezpieczeń oraz systemy monitorowania ruchu sieciowego.

Ukryty Backdoor – poważne zagrożenie dla firm i instytucji - image 1

PRZEBIEG ATAKTU

Atak rozpoczyna się od wysłania wiadomości phishingowej, w której adwersarz podszywa się pod instytucje finansowe lub firmy logistyczne, załączając plik w formacie .tgz. Po jego otwarciu, uruchamiany jest loader .NET, który pobiera i uruchamia złośliwe oprogramowanie PureCrypter. PureCrypter następnie instaluje Tornet Backdoor, który łączy się z serwerem C2 za pośrednictwem sieci Tor, umożliwiając atakującym zdalny dostęp do systemu.

Zdalny dostęp uzyskany przez cyberprzestępców może prowadzić do:

Kradzieży poufnych danych i informacji handlowych.
Instalacji dodatkowego złośliwego oprogramowania.
Przeprowadzania dalszych ataków na inne systemy w sieci.
Sabotażu działania firmy poprzez modyfikację lub usuwanie istotnych plików.
Trudności wykrycia ataku przez tradycyjne systemy bezpieczeństwa.

SPOSOBY OCHRONY PRZED ATAKIEM

Ataki tego typu wymagają zaawansowanych mechanizmów ochronnych. Podstawowe środki ostrożności obejmują:

Aktualizację oprogramowania – Regularne aktualizowanie systemów operacyjnych i aplikacji pozwala eliminować znane luki w bezpieczeństwie, które mogą zostać wykorzystane przez cyberprzestępców.
Monitorowanie ruchu sieciowego – Wdrożenie nowoczesnych systemów monitorowania i analizy ruchu sieciowego, które potrafią wykrywać nietypowe wzorce komunikacji, w tym połączenia z siecią Tor.
Szkolenia pracowników – Edukacja personelu w zakresie rozpoznawania prób phishingu i innych technik inżynierii społecznej, które często są wykorzystywane do infekowania systemów.
Ograniczenie dostępu – Wdrożenie zasady najmniejszych uprawnień oraz segmentacja sieci mogą znacząco ograniczyć potencjalne szkody wynikające z cyberataku.
Wykorzystanie zaawansowanych rozwiązań bezpieczeństwa – Nowoczesne technologie, takie jak platforma SoCRadar XTI, zapewniają wszechstronną ochronę przed cyberzagrożeniami. SoCRadar oferuje m.in.:

monitorowanie Dark Webu w poszukiwaniu wycieków danych,
analizę zagrożeń w czasie rzeczywistym,
wczesne ostrzeganie o nowych kampaniach cyberprzestępczych,
inteligentne powiadomienia o potencjalnych incydentach bezpieczeństwa.

Dzięki takim rozwiązaniom organizacje mogą lepiej przewidywać, identyfikować i neutralizować zagrożenia, zanim spowodują one poważne straty.

Tornet Backdoor jest kolejnym przykładem zagrożenia, które wykorzystuje zaawansowane techniki maskowania aktywności. Współczesne organizacje nie mogą polegać wyłącznie na tradycyjnych zabezpieczeniach – kluczowe jest wdrażanie wielowarstwowych strategii obronnych oraz korzystanie z nowoczesnych rozwiązań takich jak SoCRadar. Tylko w ten sposób możliwa jest skuteczna ochrona danych i infrastruktury przed zaawansowanymi cyberatakami.

AKTUALNOŚCI