Развитие информационных угроз в третьем квартале 2016 года

 Скачать PDF-версию отчета

 Статистика

Обзор ситуации

Целевые атаки и вредоносные кампании

Dropping Elephant

Чтобы увенчаться успехом, целевым атакам не обязательно быть технически сложными. В июле 2016 года мы сообщили о группировке Dropping Elephant (известной также под названиями Chinastrats и Patchwork). Используя социальную инженерию в сочетании со старым кодом эксплойтов и несколькими вредоносными программами на базе PowerShell, группировка успешно крала у своих жертв конфиденциальные данные.

Мишенями группировки, которая активно действовала с ноября 2015 года, стали влиятельные организации, работающие в дипломатической и экономической сфере и связанные с внешнеполитическими отношениями Китая. Эта направленность очевидна из выбора тем, которыми злоумышленники завлекали своих жертв.

При проведении атак использовалось сочетание целевого фишинга и атак типа watering hole. Первый подразумевает отправку документа, часть содержимого которого находится на удаленном сервере. При открытии документа на командный сервер атакующих оправляется ping-запрос. Затем жертва получает второе целевое фишинговое сообщение, содержащее документ Word или файл PowerPoint (при этом эксплуатируются старые уязвимости – CVE-2012-0158 и CVE-2014-6352 соответственно). После выполнения вредоносной нагрузки в систему загружается исполняемый AutoIT-файл. Будучи запущен на выполнение, он загружает другие компоненты с командного сервера, и начинается кража данных с компьютера жертвы.

По итогам Q3 2016 решения «Лаборатории Касперского» отразили 171,8 млн. веб-атак #KLreport

Tweet

Злоумышленники также создали сайт для проведения атак типа watering hole, который привлекает посетителей реальными новостными статьями с легитимных веб-ресурсов. Если пользователь хочет полностью просмотреть представленную на сайте статью, ему предлагается загрузить файл PowerPoint. Это позволяет получить доступ к оставшейся части документа и одновременно приводит к загрузке вредоносного объекта. Злоумышленники иногда рассылают ссылки на свой сайт, созданный для атак типа watering hole, по электронной почте. Кроме того, группировка использует учетные записи в социальных сетях Google+, Facebook и Twitter, чтобы оптимизировать выдачу поисковых систем (SEO) и расширить охват потенциальных жертв.

В успехе группировки Dropping Elephant примечательно то, что ей удавалось взламывать системы влиятельных жертв без использования эксплойтов нулевого дня или сложных технических приемов. Очевидно, что подобным атакам можно эффективно противостоять, своевременно устанавливая обновления безопасности и повышая осведомленность сотрудников в области информационной безопасности. В начале года мы прогнозировали, что APT-группировки будут тратить меньше усилий на разработку сложных инструментов и более широко использовать готовое вредоносное ПО. Dropping Elephant – это еще один пример того, что применение готового инструментария при низком уровне инвестиций может быть чрезвычайно эффективным в сочетании с отработанной социальной инженерией.

ProjectSauron

В сентябре наша платформа для защиты от целевых атак Kaspersky Anti-Targeted Attack Platform обнаружила аномалию в сети клиента. Проведенное расследование привело к обнаружению ProjectSauron – группировки, занимавшейся кражей конфиденциальных данных у организаций в России, Иране, Руанде и, возможно, в других странах с июня 2011 года. Нам удалось идентифицировать более 30 жертв. Все эти организации выполняют ключевые государственные функции и относятся к правительственным и финансовым структурам, вооруженным силам, научно-исследовательской сфере и телекоммуникациям.

Группировка ProjectSauron была особенно заинтересована в получении доступа к зашифрованным коммуникациям. Для этой цели она использует сложную модульную платформу кибершпионажа, включающую в себя уникальный инструментарий и методы. Затратность проекта, его сложность, упорство злоумышленников и конечная цель (кража секретных данных у близких к государству организаций) свидетельствуют о том, что ProjectSauron – кампания, поддерживаемая на государственном уровне. ProjectSauron производит впечатление опытной группировки злоумышленников, которая целенаправленно перенимает опыт других сложных атак, включая Duqu, Flame, Equation и Regin, берет на вооружение их наиболее инновационные методы и совершенствует их тактику, чтобы избежать обнаружения.

Одна из наиболее интересных черт ProjectSauron – это намеренное избегание шаблонов: импланты, применяемые группировкой, создаются индивидуально для каждой жертвы и никогда не используются повторно. Это делает традиционные индикаторы заражения (Indicators of Compromise, IoC) почти бесполезными. Такой подход в сочетании с использованием нескольких методов вывода украденных данных (включая легитимную электронную почту и DNS) позволяет ProjectSauron проводить хорошо законспирированные долгосрочные кампании шпионажа в сетях интересующих их организаций.

Ключевые особенности ProjectSauron:

• уникальность основных имплантов, создаваемых индивидуально для каждой жертвы;
• использование легитимных скриптов обновления ПО;
• использование бэкдоров, загружающих новые модули или выполняющих команды прямо в оперативной памяти;
• заинтересованность в информации о нестандартном ПО для шифрования сетевого трафика;
• применение низкоуровневых инструментов, управляемых скриптами высокого уровня, написанными на языке LUA (применение компонентов LUA во вредоносном ПО встречается крайне редко – до сих пор они были обнаружены лишь в атаках Flame и Animal Farm);
• использование с целью проникновения в изолированные сети специально подготовленных USB-носителей, имеющих скрытые области для хранения украденных данных;
• использование нескольких механизмов для вывода украденных данных, позволяющих скрыть передаваемые данные в легитимном трафике.

Метод, использованный для первоначального проникновения в сети жертв, остается неизвестным.

Однократное использование уникальных ресурсов, таких как командный сервер, ключи шифрования и т.д., в сочетании с самыми современными методами, перенятыми у других крупнейших киберпреступных группировок, – такого раньше не было. Единственный эффективный способ противостоять подобным угрозам – создать многоуровневую систему безопасности с сенсорами, способными обнаружить малейшие аномалии в цифровом документообороте организации, в сочетании с оперативным получением сведений об актуальных угрозах и проведением криминалистического анализа. Дополнительную информацию о методах, с помощью которых можно противостоять подобным угрозам, можно найти здесь.

ShadowBrokers

В августе отдельная личность или группа лиц, известная как ShadowBrokers, заявила, что в ее распоряжении находятся файлы, принадлежащие группировке Equation, и опубликовала ссылки на два архива, зашифрованные с помощью PGP. Ключ к первому архиву был доступен бесплатно, а ключ ко второму – выставлен на «аукцион» по цене 1 миллион BTC (это 1/15 часть всех биткойнов, находящихся в обращении).

Поскольку мы обнаружили группировку Equation в феврале 2015 года, нам было интересно проанализировать первый архив. Он содержит почти 300 МБ эксплойтов для сетевых экранов, а также инструментов и скриптов, под такими кодовыми названиями, как BANANAUSURPER, BLATSTING и BUZZDIRECTION. Большинству файлов не менее трех лет – последние записи об изменениях датируются августом 2013 года, а новейшая временная метка относится к октябрю 2013 года.

Группировка Equation широко использует алгоритмы шифрования RC5 и RC6, созданные Роналдом Ривестом (Ronald Rivest) в 1994 и 1998 годах соответственно. Бесплатный материал, опубликованный ShadowBrokers, содержит 347 различных примеров реализации алгоритмов RC5 и RC6. Реализация функционально идентична той, что применена во вредоносном коде Equation, и больше нигде не встречается.

Сходство кода позволяет нам говорить с высокой степенью уверенности о существовании связи между инструментами из утечки, организованной ShadowBrokers, и вредоносным ПО группировки Equation.

Operation Ghoul

В июне мы столкнулись с потоком целевых фишинговых сообщений с вредоносными вложениями. Сообщения, которые были разосланы преимущественно руководителям и менеджерам среднего звена из множества компаний, выглядели так, как будто они были отправлены банком из ОАЭ. В сообщение, которое якобы содержало платежное извещение банка, был вложен документ SWIFT. Однако в действительности архив содержал вредоносное ПО. Проведенное расследование показало, что июньские атаки были последней по времени операцией группировки, активность которой эксперты отслеживали уже более года, и которой «Лаборатория Касперского» дала имя Operation Ghoul.

По итогам Q3 2016 защитные решения «Лаборатории Касперского» отразили 171,8 млн. веб-атак #KLreport

Tweet

Группировка успешно атаковала более 130 организаций из 30 стран, включая Испанию, Пакистан, ОАЭ, Индию, Египет, Великобританию, Германию и Саудовскую Аравию. По информации, полученной с sinkhole-серверов, на которые были переключены некоторые из командных серверов группировки, большинство этих организаций работают в сфере промышленного производства и машиностроения. Кроме того, среди жертв были судоходные, фармацевтические, производственные, торговые и образовательные организации.

Вредоносное ПО, применяемое группировкой Operation Ghoul, основано на коммерческом пакете шпионского ПО Hawkeye, которое открыто продается на подпольных сайтах (Dark Web). После установки вредоносное ПО собирает с компьютеров жертв интересующие злоумышленников данные, включая клавиатурные нажатия, содержимое буфера обмена, учетные данные аккаунтов на FTP-серверах, данные учетных записей из браузеров, систем обмена сообщениями и почтовых клиентов, а также информацию об установленных приложениях. Эти данные затем отправляются на командные серверы группировки.

По-видимому, целью кампании является финансовая выгода: все атакованные организации владеют ценной информацией, которую можно продать на черном рынке.

Тот факт, что социальная инженерия по-прежнему успешно применяется злоумышленниками для проникновения в сети атакуемых организаций, означает, что компаниям необходимо сделать образование сотрудников и повышение их осведомленности об угрозах центральным элементом своей стратегии обеспечения безопасности.

Вредоносные программы

Lurk

В июне 2016 года мы писали о банковском троянце Lurk, с помощью которого киберпреступники систематически похищали средства со счетов российских коммерческих организаций, в том числе нескольких банков. По оценкам полиции, ущерб, нанесенный троянцем, составил около 45 миллионов долларов.

В процессе изучения троянца мы выяснили, что жертвы Lurk устанавливали также программу удаленного администрирования Ammyy Admin. Сначала мы не придали этому значения, но затем стало понятно, что официальный сайт Ammyy Admin был взломан и использовался группировкой Lurk для проведения атак типа watering-hole: троянец загружался на компьютеры жертв вместе с легитимным ПО.

Начиная с 1 июня 2016 года, когда были арестованы предположительные создатели троянца Lurk, дроппер на сайте Ammyy Admin начал распространять другую троянскую программу – Trojan-PSW.Win32.Fareit. Видимо, те, кто стоял за взломом сайта Ammyy Admin, были готовы продать свой дроппер любому желающему распространять вредоносное ПО через взломанный сайт.

Банковский троянец – не единственное «достижение» группировки Lurk. Она также создала набор эксплойтов Angler – комплекс вредоносных программ, предназначенных для эксплуатации уязвимостей в распространенных приложениях с целью установки вредоносного ПО. Первоначально этот набор эксплойтов был создан, чтобы обеспечить надежный и эффективный канал доставки для собственного вредоносного ПО группировки. Однако в 2013 году группировка начала сдавать набор в аренду всем, кто был готов за него платить, – вероятно, чтобы финансировать содержание обширной сетевой инфраструктуры и многочисленных «сотрудников» группировки. Набор эксплойтов Angler стал одним из наиболее мощных инструментов, доступных на подпольных киберкриминальных ресурсах. В отличие от банковского троянца Lurk, который был ориентирован прежде всего на жертв в России, Angler применялся для проведения атак во всем мире, в том числе группировками, стоящими за программами-вымогателями CryptXXX и TeslaCrypt и банковским троянцем Neverquest (последний был использован для атак почти на 100 банков). Использование Angler сошло на нет после ареста предполагаемых членов группировки Lurk.

В Q3 2016 веб-антивирус «Лаборатории Касперского» сработал на 45,2 млн. уникальных URL #KLreport

Tweet

Группировка отметилась и другой побочной деятельностью. Ее представители более пяти лет занимались созданием чрезвычайно мощного вредоносного ПО для автоматизированной кражи денежных средств из систем удаленного банкинга. Кроме того, на счету группировки кража средств с использованием сложных мошеннических схем с подменой SIM-карт. Представители Lurk также стали специалистами по взлому банковских систем, требующему знания внутренней банковской инфраструктуры.

«Лаборатория Касперского» сотрудничала с российской полицией в ходе расследования деятельности группировки, стоящей за троянской программой Lurk. Аресты стали кульминацией шестилетней работы нашего отдела расследования компьютерных инцидентов. Вы можете прочитать о расследовании здесь.

Программы-вымогатели

Редкий месяц проходит без появления в СМИ новостей об атаках программ-вымогателей. Например, недавно появилось сообщение о том, что за последние 12 месяцев жертвами программ-вымогателей стали 28 отделений Национальной службы здравоохранения Великобритании (NHS trusts). Большинство атак с применением программ-вымогателей нацелено на частных лиц, однако на компании также проводится большое число атак (около 13% в 2015-16 гг.). В отчете «Лаборатории Касперского» об информационной безопасности бизнеса за 2016 год указывалось, что около 42% предприятий малого и среднего бизнеса стали жертвами программ-вымогателей в течение года (с сентября 2015 г. по август 2016 г.).

В ходе недавней атаки с применением программы-вымогателя киберпреступники требовали в качестве выкупа значительную сумму – 2 биткойна (около 1 300 долларов США). Программа-вымогатель Ded Cryptor заменяет фон экрана на компьютере жертвы на изображение злого Санта-Клауса.

Работа этой программы сама по себе (т.е. шифрование файлов, страшная картинка и требование выкупа) ничем не примечательна, но предыстория атаки представляет определенный интерес. Программа основана на открытом исходном коде троянца-вымогателя EDA2, созданном Utku Sen в ходе неудачного эксперимента. Utku Sen, эксперт по безопасности из Турции, создал программу-вымогатель и опубликовал ее исходный код. Он понимал, что киберпреступники будут использовать его код для создания собственных шифровальщиков, но рассчитывал, что своими действиями он поможет экспертам по безопасности понять, как киберпреступники мыслят и пишут код, и это позволит повысить эффективность мер по защите от программ-вымогателей.

Ded Cryptor – лишь одна из множества программ-вымогателей, созданных на основе EDA2. Еще одна недавно обнаруженная программа называется Fantom. Она интересна не только своей связью с EDA2, но и тем, что выглядит как настоящий экран обновления Windows.

Этот экран демонстрируется, пока Fantom шифрует в фоновом режиме файлы жертвы. Фальшивая программа обновления работает в полноэкранном режиме, визуально блокируя другие программы и отвлекая внимание жертвы от того, что в действительности происходит на компьютере. Когда шифрование файлов завершено, Fantom выводит более характерное сообщение.

Нет сомнений, что в целом осведомленность общественности об этой проблеме растет, однако очевидно, что ни отдельные пользователи, ни организации не предпринимают достаточных усилий, чтобы противостоять ей, и киберпреступники этим пользуются. Об этом ясно свидетельствует рост числа атак с применением программ-вымогателей.

Необходимо снизить риск возможного заражения программами-вымогателями (о важных шагах, которые вы можете предпринять, мы писали здесь). Тем не менее, 100%-ной защиты не существует, поэтому необходимо свести к минимуму потенциальный ущерб. В частности, крайне важно сохранять резервные копии данных, чтобы не попасть в ситуацию, когда нужно выбирать между перечислением средств киберпреступникам и потерей данных. Платить выкуп – всегда плохая идея.

Если вы все же оказались в ситуации, когда ваши данные зашифрованы, а резервной копии нет, узнайте у производителя вашего антивирусного решения, не может ли он помочь, и посетите сайт No More Ransom, чтобы проверить, нет ли на нем ключей для расшифровки ваших данных. Этот сайт – результат совместных усилий Национального подразделения полиции Нидерландов по борьбе с высокотехнологичными преступлениями, европейского центра Европола по борьбе с киберпреступностью, «Лаборатории Касперского» и компании Intel Security. Его цель – помочь жертвам программ-вымогателей восстановить свои данные без уплаты выкупа киберпреступникам.

В недавней статье из серии «Спроси эксперта» Йорнт ван дер Виль, эксперт глобального центра анализа угроз «Лаборатории Касперского», поделился полезными сведениями о программах-вымогателях.

Утечка данных

Личные данные – ценный товар, поэтому неудивительно, что киберпреступники атакуют провайдеров онлайн-сервисов с целью украсть сразу большой объем данных. Мы уже привыкли к постоянному потоку сообщений в СМИ о крупных инцидентах с утечками данных. Прошедший квартал не стал исключением: утечки произошли с официального форума DotA 2, из сети Yahoo и с ресурсов других компаний.

В результате некоторых из этих атак были украдены огромные объемы данных. Это говорит о том, что многие компании не применяют адекватные меры безопасности. Долг каждой организации, которая хранит личные данные пользователей, – позаботиться об их эффективной защите. Меры безопасности должны включать хранение пользовательских паролей в виде посоленных хешей и шифрование остальных секретных данных.

Каждый пользователь способен уменьшить ущерб от взлома ресурсов провайдера онлайн-сервисов, выбирая уникальный и сложный пароль для каждого ресурса. Идеальный пароль должен быть длиной не менее 15 символов и состоять из букв, цифр и служебных символов, разбросанных по всей клавиатуре. В качестве альтернативы можно использовать программу – менеджер паролей, которая будет выполнять эту функцию автоматически.

В Q3 2016 веб-антивирус «Лаборатории Касперского» 45,2 млн. раз предупредил пользователей об опасной ссылке #KLreport

Tweet

Кроме того, следует использовать двухфакторную аутентификацию там, где провайдеры предоставляют такую возможность. В этом случае для доступа на сайт или, как минимум, для внесения изменений в настройки учетной записи пользователь должен ввести код, сгенерированный аппаратным ключом или отправленный провайдером на мобильное устройство.

Учитывая потенциальный ущерб, который может нанести взлом систем провайдера, неудивительно, что регулирующие органы уделяют этой проблеме все больше внимания. Управление Комиссара по информации Великобритании (UK Information Commissioner’s Office, ICO) недавно наложило рекордный штраф размером 400 000 фунтов стерлингов на компанию TalkTalk за «отсутствие элементарных мер по обеспечению кибербезопасности» в связи с атакой на компанию, имевшей место в октябре 2015 года. По мнению ICO, рекордный штраф – это «предупреждение остальным, что кибербезопасность – это не прерогатива IT-департамента, а сфера ответственности совета директоров».

Принятые в ЕС Общие правила защиты данных (General Data Protection Regulation, GDPR), которые вступят в силу в мае 2018 года, требуют, чтобы компании сообщали об утечке данных регулирующему органу, и предусматривают серьезные штрафы за отсутствие надлежащей защиты личных данных. Общую информацию о Правилах можно найти здесь.

Мы проанализировали ущерб, нанесенный взломом сайта Ashley Madison, через год после атаки, которая привела к утечке пользовательских данных, и предложили ряд полезных советов для всех, кто собирается искать приключений в Сети, а также рекомендации по мерам безопасности при управлении любым онлайн-аккаунтом.