Cybercriminele organisaties hebben dezelfde ambitie om te groeien als hun legitieme tegenhangers. Het Sysdig Threat Research Team (TRT) heeft een snel groeiende dreiging in de smiezen: CrystalRay, een groep die dankbaar gebruikmaakt van open-source software om slachtoffers te raken.
CrystalRay heeft welbekende doelen voor ogen met de aanvallen. Naast het stelen van credentials en het installeren van cryptominers verkoopt de groep toegang aan haar slachtoffers via het dark web. Sinds het Sysdig-team CrystalRay voor het eerst opmerkte in februari, heeft de groep het aantal getroffen organisaties vertienvoudigd naar 1.500 wereldwijd.
De groep is wereldwijd actief, maar organisaties in de VS (30 procent) en China (18 procent) worden het meest geraakt. CrystalRay heeft ook netwerken getroffen in onder andere Duitsland, het Verenigd Koninkrijk, Frankrijk, Nederland, Japan en Rusland.
Geen packets verstuurd
Het aanvalspad van CrystalRay loopt via workspace-oplossing Atlassian Confluence, dat meermaals met kwetsbaarheden te maken heeft. De groep maakt hiervoor gebruik van de pentesting-tool SSH-Snake, die volgens de GitHub-onderhouder “bedoeld is voor hacking-doeleinden” maar ook ingezet kan worden door sysadmins om de eigen infrastructuur en het eigen netwerk te controleren. Het is een zichzelf verspreidende “worm” die dankzij configuratiefouten en kwetsbaarheden diep in een bedrijfsnetwerk kan komen.
Het uitkiezen van slachtoffers is minder precies dan bij een ransomware-aanval of zoals een staatsgroep te werk zou gaan, stelt Sysdig. Echter is de tactiek preciezer dan een botnet door een reeks IP-adressen voor specifieke landen uit te kiezen. Zodra een netwerk is geraakt, maakt CrystalRay gebruik van ASN. Opnieuw is dit een open-source tool beschikbaar op GitHub. Het maakt open-source intelligence (OSINT) eenvoudig en herkenbaar door als command-line tool te functioneren voor netwerkdata. Het bevraagt Shodan naar zaken als URL’s, een set aan IP-adressen of hostnames. Hiermee vindt CrystalRay de benodigde kwetsbaarheden, indien deze aanwezig zijn. Sysdig haalt aan dat dit alles plaatsvindt zonder ooit een packet te versturen naar het slachtoffer.
Best of breed
Uit de bredere keuze van open-source tools blijkt dat CrystalRay de meest effectieve opties gevonden heeft. Zo maakt het gebruik van zmap dat specifieke poorten voor kwetsbare diensten detecteert, dat minder vaak vals alarm slaat dan nmap en daardoor geschikt is voor grootschalige scans. Ook de scanner Nuclei helpt de aanvallers om exploiteerbare kwetsbaarheden te vinden. In feite doet CrystalRay wat organisaties zelf eerder hadden willen doen: het in detail opsporen van cybergevaren.
Een voorbeeld van een veel voorkomende CrystalRay-payload is Sliver, bedoeld voor Red Teaming/securitytests. Met andere woorden: de groep zet precies de tools in die legitieme onderzoekers tot hun beschikking hebben.
Voorbij exploitatie
Zoals gezegd maakt CrystalRay dankbaar gebruik van SSH-Snake, een open-source tool die sinds januari beschikbaar is. Het helpt de groep om gevoelige data te exfiltreren en om tussen servers te bewegen. In een handig overzicht is uit te lezen welke gebruikers, hosts en/of bestemmingen gedetecteerd zijn. Het opvragen van oude bash commands versnelt dit proces, mede dankzij de GitHub-repo’s all-bash-history en linux-smart-enumeration.
De impact van deze cybercriminelen stopt echter niet hierbij. Sysdig TRT zag dat CrystalRay eveneens probeerde zich te verplaatsen naar andere platformen, waaronder cloudproviders. Dit alles verloopt automatisch, waarna de groep de bemachtigde credentials doorverkoopt aan anderen. Verkopen kan niet alleen via het dark web maar ook met Telegram.
Ook verdient CrystalRay wat bij in de vorm van cryptomunten. Dat is echter geen vetpot: dankzij twee verschillende mining-programma’s haalt de groep zo’n 200 dollar per maand binnen. Wel verwijdert het automatisch andere cryptominers die zich wellicht al op het bedrijfsnetwerk bevinden, dus concurrerende cybercriminelen hebben pech.
Test voordat je wordt gepakt
Sysdig merkt op dat het veelal nodig is om met het internet verbonden te zijn. Tevens komen kwetsbaarheden nu eenmaal regelmatig voor. Naast patching is het dus zaak om deze geautomatiseerde aanvallen voor te zijn of op zijn minst inzichtelijk te krijgen. Het moet voor organisaties op elk moment mogelijk zijn om via cameras/runtime-detectie te zien of ze zijn gecompromitteerd.
Daarnaast ligt het voor de hand om (waar mogelijk) het “goede voorbeeld” van CrystalRay te volgen: test je eigen omgevingen via open-source tools. Dezelfde configuratiefouten en kwetsbaarheden die deze groep exploiteert, zijn met online beschikbaar gereedschap op te sporen.