Корпорация Microsoft успешно провела операцию по нейтрализации вредоносного сервиса Fox Tempest, который предоставлял хакерам услуги «вредоносного ПО как сервиса» (MSaaS). Злоумышленники использовали легитимную облачную инфраструктуру для создания цифровых подписей, позволявших вирусам беспрепятственно проникать на устройства пользователей.
Механизм обхода систем безопасности
Согласно отчету подразделения Microsoft по борьбе с цифровыми преступлениями (DCU), группировка Fox Tempest эксплуатировала инструмент Azure Artifact Signing для создания временных сертификатов подписи кода. Эти сертификаты служат цифровым подтверждением того, что программа выпущена доверенным разработчиком и не подвергалась изменениям. Наличие такой подписи позволяет вредоносному ПО обходить защитные фильтры Windows, которые в ином случае заблокировали бы подозрительный файл.
Для реализации своей схемы преступники использовали следующие ресурсы и методы:
- выпуск более 1 000 поддельных сертификатов подписи кода;
- создание сотен учетных записей (тенантов) и подписок в облачной среде Azure;
- использование украденных личных данных граждан США и Канады для регистрации аккаунтов.
Чтобы минимизировать риск обнаружения автоматизированными системами мониторинга, злоумышленники выпускали сертификаты с коротким сроком действия — всего 72 часа. Несмотря на это, высокая интенсивность работы позволила Fox Tempest поддерживать масштабные хакерские кампании по всему миру.
Связи с вирусами-вымогателями и блокировка инфраструктуры
В ходе расследования выяснилось, что услугами Fox Tempest пользовались операторы крупнейших семейств вирусов-вымогателей и программ для кражи данных, включая LummaStealer, Vidar, Qilin, BlackByte и Akira. Соучастником в судебном иске также указана группировка Vanilla Tempest, которая занималась непосредственным распространением вредоносного ПО.
Злоумышленники часто маскировали опасные файлы под инсталляторы популярных корпоративных сервисов:
- Microsoft Teams;
- AnyDesk;
- Webex.
При запуске пользователем такого «обновления» или «установщика» в систему внедрялся загрузчик Oyster, который затем развертывал вирус-вымогатель Rhysida. Поскольку файлы имели легитимную цифровую подпись от сервисов Microsoft, операционная система изначально воспринимала их как безопасные.
В рамках ликвидации сервиса Microsoft захватила домен signspace.com и заблокировала доступ к хостинговой инфраструктуре, включая сотни виртуальных машин. Юридические действия корпорации направлены на полное прекращение деятельности лиц, ответственных за работу Fox Tempest и Vanilla Tempest.
