Művelet a káosz és a hírnévrombolás jegyében
A támadók ezúttal nem is próbáltak tárgyalni az áldozattal, inkább az okozott leállásra és a nyilvánosságra került botrányra helyezték a hangsúlyt, ami tipikus az államilag támogatott hekkercsoportoknál. Az izraeli kibervédelmi szervek Irán államilag finanszírozott APT-támadóival hozták összefüggésbe az incidenst, akik rendszeresen hajtanak végre kiberkémkedési akciókat.
Hogyan törték fel a DarkBit-et?
A Profero szakemberei, mivel akkor még nem létezett működő visszafejtő program, maguk kezdtek el dolgozni a zsarolóvírus elemzésén. A DarkBit minden fájlhoz egyedi, futás közben generált AES-128-CBC kulcsot használt, amelyet RSA-2048 algoritmussal titkosítva tárolt a fájl végén. Kiderült azonban, hogy maga a kulcsgenerálás nagyon alacsony variációval működik, különösen, ha hozzáveszik a titkosítás időpontját, amit a fájl módosítási idejéből ki lehet következtetni. Így a lehetséges kulcsok száma csak néhány milliárd volt.
A VMDK (virtuális szerver) fájlok jól ismertek voltak a szakemberek előtt, mivel ezek fejléce mindig ugyanazokat a bájtokat tartalmazza. Ennek köszönhetően elég volt a lehetséges kulcsokkal ezt a 16 bájtot végigpróbálni, nem kellett az egész fájlt brute force módszerrel feltörni. Így egy nagy teljesítményű számítógépes környezetben sikerült visszafejtő kulcsokat találni.
Az üres helyek mentették meg az adatokat
A Profero csapat közben rájött, hogy a VMDK fájlok többsége „ritka”, vagyis tele vannak üres helyekkel – így a DarkBit által titkosított fájldarabok is főleg értéktelen, üres részeket fedtek le. Mivel a titkosítás csak véletlenszerű blokkokat érintett, és a rendszerfájlok jelentős része változatlan maradt, az értékes adatok nagy részét titkosítás nélkül, egyszerűen ki lehetett nyerni. Így a kulcsok visszafejtése nélkül is sikerült visszaállítani a fontos fájlokat.
A szakértők szerint a támadók jobban jártak volna, ha az adatok teljes megsemmisítését választják (adatmegsemmisítő – data wiper), mint zsarolóvírust használnak, hiszen a taktikájuk, hogy nem egyezkednek a váltságdíjról, végül a támadás kudarcához vezetett. Bár a DarkBit-hez készült visszafejtőt nem teszik nyilvánosan elérhetővé, a jövőbeni áldozatok segítséget kérhetnek a Proferótól.
