Целевые атаки и вредоносные кампании
Возвращение дракона
В июле мы сообщили о специализирующейся на целевых атаках группировке Spring Dragon, также известной как LotusBlossom. Еще в 2012 году SpringDragon попали в поле зрения экспертов ИБ как специалисты по спирфишингу и атакам типа watering hole. В числе их мишеней — значимые госструктуры, политические партии, учебные заведения и телекоммуникационные компании в странах Юго-Восточной Азии: на Тайване, в Индонезии, Вьетнаме, на Филиппинах, в Гонконге, Малайзии и Таиланде.
За годы, в течение которых эксперты ИБ наблюдали за деятельностью Spring Dragon, эта группировка продемонстрировала владение богатым арсеналом бэкдоров для кражи данных, запуска дополнительных вредоносных компонентов и исполнения системных команд на зараженных компьютерах. После активации бэкдоры позволяют злоумышленникам выполнять на компьютере жертвы широкий спектр вредоносных действий. Группа поддерживает большую сеть командных серверов, куда входит более 200 уникальных IP-адресов и доменов.
Злоумышленники хорошо умеют запутывать следы: во многих собранных нами образцах вредоносного кода содержатся данные индивидуальной конфигурации, различные наборы адресов командных серверов с новыми идентификаторами вредоносных кампаний, а также данные индивидуальной конфигурации для создания вредоносного сервиса в системе-жертве.
Мы считаем, что, как и многие кампании целевых атак, Spring Dragon еще не раз заявит о себе в том же регионе. Чтобы противостоять нападениям, организациям важно максимально эффективно использовать правила YARA, сигнатуры систем обнаружения вторжения (IDS) и другие механизмы детектирования.
Отчет «Лаборатории Касперского» по Spring Dragon можно прочесть здесь.
Самое слабое звено
В конце первого полугодия прокатилась волна атак троянца-вымогателя ExPetr, интересная главным образом вектором нападения. Сперва под удар попала украинская компания, поставляющая ПО для бухучета, затем зараза распространилась на ее клиентов — в основном другие компании из Украины, хотя, как выяснилось недавно, серьезно пострадало и несколько организаций международного уровня. Среди них Maersk — мировой лидер в области контейнерных перевозок. В своей финансовой отчетности Maersk указала, что ожидает убытков в размере 200–300 миллионов долл. США из-за «значительного перерыва» в деятельности компании по причине атак ExPetr. Также пострадала компания FedEx Express, международный лидер в области экспресс-перевозок: ее европейское подразделение TNT Express было вынуждено приостановить работу, упущенный доход оценивается в размере около 300 миллионов долл. США.
Мы наблюдали несколько похожих случаев и в последующие месяцы: киберпреступники использовали поставщиков ПО как первоначальные цели, через которые заражались интересующие их жертвы.
В июле мы обнаружили подозрительные DNS-запросы в сети клиента, работающего в области финансовых сервисов. Запросы появлялись в системах, используемых для обработки транзакций, и исходили от популярного пакета ПО для управления серверами, разработанного NetSarang — компании с филиалами в Южной Корее и США. Клиенты NetSarang работают в области финансовых сервисов, энергетики, розничной торговли, технологий и СМИ. Злоумышленники «усовершенствовали» одно из обновлений к ПО, включив в него бэкдор. NetSarang быстро убрала зараженное обновление, но его все же успели использовать по крайней мере один раз: мы смогли подтвердить активацию на компьютере, расположенном в Гонконге.
Злоумышленники замаскировали вредоносную «закладку» несколькими слоями зашифрованного кода. Такая ярусная архитектура означает, что основные функции бэкдора активируются только при получении специального пакета с командного сервера первого уровня. До момента активации зловред каждые восемь часов передавал базовую информацию, в том числе имя компьютера, домен и имя пользователя. Вредоносные функции начинали исполняться только при получении специальной записи dns.txt для конкретного домена. Это позволяло злоумышленникам собрать данные о системе и выслать ключ расшифровки для начала следующего этапа атаки, то есть для активации самого бэкдора.
В схеме использовался бэкдор под названием ShadowPad — модульная платформа, которая позволяет загружать и исполнять произвольный код, создавать процессы и поддерживать виртуальную файловую систему в реестре, шифруя все это и сохраняя в местах, уникальных для каждой жертвы.
Прочитать подробнее о ShadowPad можно здесь.
В сентябре была зафиксирована еще одна атака на цепочку поставки ПО: злоумышленники взломали обновление к CCleaner — утилиты для очистки Windows, о чем сообщила компания Avast. Исследователи Cisco Systems Talos Group обнаружили, что преступники изменили инсталлятор CCleaner 5.3, чтобы он загружал вредоносную программу при установке утилиты. Зловред был подписан действительным сертификатом, активно действовал в течение месяца и заразил около 700 000 компьютеров. Злоумышленники использовали двухэтапный алгоритм атаки: на первом этапе на командные серверы загружалась информация о жертве, а второй этап запускался только для выбранных мишеней. Подробные результаты анализа опубликованы здесь.
Некоторые компании склонны небрежно относиться к защите, поскольку не верят, что ими кто-то заинтересуется, — например, из-за небольших размеров или отсутствия привлекательных для злоумышленников ресурсов. Однако даже без учета интеллектуальной собственности и персональных данных клиентов практически любая фирма представляет ценность как звено в цепи заражения своих контрагентов.
Факты о медведе
В августе мы опубликовали новости об интересной APT-кампании, получившей название WhiteBear и имевшей отношение к группировке Turla. Как и в случае с Turla, для построения C&C-инфраструктуры использовались скомпрометированные веб-сайтов и перехваченные спутниковые соединения. WhiteBear пересекалась и с другими кампаниями группы Turla — Skipper Turla (или WhiteAtlas) и Kopiluwak, — которые были подробно описаны в доступных по подписке аналитических отчетах «Лаборатории Касперского». Более того, мы обнаружили компоненты WhiteBear на некоторых системах, ранее ставших жертвами WhiteAtlas, причем совпадали пути и имена файлов. Несмотря на это, однозначно связать доставку WhiteBear с конкретными компонентами WhiteAtlas не удалось. По всей видимости, WhiteAtlas — отдельный проект со своими задачами и целями.
На протяжении почти всего 2016 г. WhiteBear имела узкую, четко очерченную «целевую аудиторию»: посольства, консульства и прочие организации, связанные с дипломатией и международными отношениями. В середине 2017 г. под прицел попали еще и оборонные учреждения.
Пока мы не можем точно сказать, как доставляются компоненты WhiteBear, но подозреваем, что группировка рассылает жертвам целевые фишинговые письма с зараженными PDF-вложениями.
Особенно интересен алгоритм шифрования, реализованный в основном модуле WhiteBear, который управляет работой всего зловреда. Злоумышленники шифруют/расшифровывают и упаковывают/распаковывают раздел ресурсов при помощи сочетания RSA+3DES+BZIP2. Этот уникальный метод основан на формате приватного ключа, который хранится в разделе ресурсов. 3DES присутствует также в компонентах Sofacy и Duqu 2.0, но в них нет такого метода RSA-шифрования. Пока только эта группировка использует такой формат приватного ключа и сочетает RSA с 3DES.
Большая часть образцов WhiteBear подписана действительным сертификатом, выданным британской компании под названием Solid Loop Ltd. Скорее всего, это подставная или уже несуществующая организация, чьим именем злоумышленники решили воспользоваться для создания фальшивых цифровых сертификатов.
Полное техническое описание WhiteBear можно прочесть здесь.
(Не)документированная лазейка в Word
При подготовке целевой атаки злоумышленники сначала проводят разведку — ищут выходы на предполагаемых жертв и собирают о них информацию. В частности, выясняют версию операционной системы и некоторых приложений на компьютере жертвы, чтобы затем отправить соответствующий эксплойт.
В процессе исследования целевой атаки мы обнаружили рассылку фишинговых писем с интересными вложенными документами Microsoft Word. На первый взгляд, они не представляли собой ничего особенного: не содержали ни макросов, ни эксплойтов, ни какого-либо другого активного контента.
Однако при детальном рассмотрении в файлах обнаружилось несколько ссылок на PHP-скрипты со сторонних ресурсов. При попытке открыть вложения в Microsoft Word оказалось, что приложение обращается по одной из этих ссылок, тем самым давая злоумышленникам информацию об установленном на компьютере ПО. Формат исследуемых документов — OLE2 (Object Linking and Embedding), позволяющий внедрять в документ Word объекты и ссылки на несколько объектов и ресурсов. Например, вместо того, чтобы внедрять в документ изображение, можно создать поле, указывающее на нужный графический файл.
Одно из полей под названием INCLUDEPICTURE содержало ссылку в кодировке Unicode — вместо ASCII, как положено. В документации Microsoft поле INCLUDEPICTURE фактически не описывается, что не помешало злоумышленникам, манипулируя фреймворком Unicode, инициировать через него GET-запрос к вредоносным и обфусцированным URL-ссылкам, содержащимся в базовом коде документа Word. Эти ссылки в свою очередь вели к PHP-скриптам, расположенным на сторонних сайтах. В результате обращения злоумышленники получали информацию об установленном на компьютере ПО.
Кроме Word для Windows эта уязвимость присутствует еще и в Microsoft Office для iOS и в Microsoft Office для Android.
Подробнее о нашем исследовании этого случая можно почитать здесь.
Инциденты информационной безопасности и как на них реагировать
Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся все изощреннее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети. К сожалению, службам ИБ часто не хватает квалификации: их сотрудники недооценивают скорость и скрытность современных кибератак, не отдают себе отчета в неэффективности старых подходов к обеспечению безопасности. Даже если классические средства предотвращения атак, такие как антивирусные продукты, IDS/IPS и сканеры безопасности, дополнены детектирующими решениями вроде SIEM и Anti-APT, весь этот дорогостоящий комплекс может не использоваться на полную мощность.
Чтобы надежно защищаться, нужно знать степень угрозы. Нельзя эффективно отреагировать на целевую атаку, не понимая природы инцидента.
В августе наша группа реагирования на инциденты на примере некого банка продемонстрировала основные этапы целевой атаки и шаги, которые необходимо предпринять для организации эффективного процесса нейтрализации атак. Отчет доступен здесь, а ниже мы вкратце изложим основные выводы.
В основе любой целевой атаки лежат тщательная подготовка и поэтапное стратегическое планирование. Рассмотрим последовательность этапов целевой атаки (которая известна как kill chain):
- РАЗВЕДКА И СБОР ДАННЫХ (изучение будущей жертвы)
- ВЫБОР МЕТОДА АТАКИ
- ДОСТАВКА (выбор метода атаки)
- ЭКСПЛУАТАЦИЯ уязвимости для создания плацдарма для атаки
- УСТАНОВКА (установка вредоносной программы)
- ИСПОЛНЕНИЕ КОМАНД (соединение с сервером злоумышленников для получения дальнейших команд)
- ДОСТИЖЕНИЕ ЦЕЛИ
В основе работы специалистов ИБ лежат те же принципы: тщательная подготовка и поэтапное стратегическое планирование. Но цели перед сотрудниками ИБ стоят принципиально иные: предотвращение инцидентов, а в случае, если инцидент уже произошел, — максимально быстрое восстановление исходного состояния системы.
Реагирование на инцидент включает два основных этапа — расследование инцидента и восстановление системы. При расследовании требуется определить:
- начальный вектор атаки;
- вредоносное ПО, эксплойты и другие средства, используемые атакующими;
- цель атаки (затронутые сети, системы и данные);
- размер нанесенного организации ущерба (в том числе репутационного);
- этап атаки (завершена ли атака или нет, достигнуты ли цели);
- временные рамки (начало и конец атаки, время ее обнаружения и время реагирования службы ИБ).
После завершения расследования необходимо разработать — или при необходимости доработать, если он уже существует, —и внедрить план восстановления системы, используя полученную информацию.
В общем виде стратегия реагирования на инциденты выглядит следующим образом:
- ПОДГОТОВКА (подбор инструментария, формирование политик и процессов, необходимых для защиты организации)
- ОБНАРУЖЕНИЕ (выявление инцидента по заранее определенным триггерам)
- СДЕРЖИВАНИЕ (недопущение дальнейшей эскалации инцидента, поддержание нормальной работы)
- УДАЛЕНИЕ (приведение системы к состоянию, в котором она находилась до атаки)
- ВОССТАНОВЛЕНИЕ (подключение ранее скомпрометированных систем обратно в сеть)
- ВЫВОДЫ (насколько хорошо группа ИБ справилась с инцидентом, какие изменения следует внести в стратегию безопасности)
Иногда сотрудники службы ИБ вынуждены реагировать на несколько инцидентов одновременно. В такой ситуации важно правильно расставить приоритеты и сосредоточиться в первую очередь на самых опасных угрозах. Определить степень важности инцидента помогут следующие факторы:
- Сегмент сети, где находится взломанный ПК;
- Ценность данных, хранимых на взломанном компьютере;
- Тип и количество других инцидентов, затронувших тот же ПК;
- Достоверность индикаторов заражения, соответствующих данному инциденту.
Выбор того, какой компьютер, сервер или сегмент сети спасать первым, зависит от специфики организации.
Зловредные истории
Скрытая рекламная угроза
Наряду с банковскими троянцами, вымогателями и прочими угрозами, которые можно без тени сомнения отнести к вредоносному ПО, пользователям приходится иметь дело с многочисленными пограничными приложениями: рекламными ботами и модулями, партнерскими программами и прочим — всем тем, что обычно включают в понятие PUA/PUP (Potentially Unwanted Adware/Potentially Unwanted Program). Иногда непросто определить, что перед нами: честная реклама, злостный троянец или рекламный зловред. Пример такой программы — троянец Magala, относящийся к разряду троянцев-прокликивателей.
Этот тип программ осуществляет накрутку рекламы за счет имитации клика на заданной странице. Magala не наносит вреда пользователям, разве что «съедает» ресурсы зараженного компьютера. Его настоящими жертвами становятся заказчики рекламы — как правило, владельцы малого бизнеса, доверившиеся неблагонадежным рекламодателям.
На первом этапе троянец определяет версию Internet Explorer и путь к нему в системе. Если версия браузера ниже восьмой, троянец работать не будет. В ином случае инициализируется рабочий стол, с помощью которого выполняются все дальнейшие действия. Далее следует ряд утилитарных операций, типичных для данного семейства, — установка автозагрузки, отправка отчета об установке на «зашитый» адрес и установка необходимого рекламного ПО. Magala взаимодействует с содержимым открытой страницы через стандартный интерфейс Windows IHTMLDocument2, позволяющий удобно использовать DOM-дерево. С его помощью троянец выгружает Maps Galaxy Toolbar, устанавливает его в систему и прописывает в реестре сайт hxxp://hp.myway.com, также относящийся к Maps Galaxy, делая его домашней страницей браузера.
Затем троянец связывается с командным сервером и запрашивает список поисковых запросов, для которых необходимо поднять количество кликов. Сервер отправляет список в виде простого текстового файла. Magala начинает последовательно вводить указанные запросы и кликать по десяти первым ссылкам в каждой выдаче с интервалом в десять секунд.
Стоимость одного клика (Cost-Per-Click) в подобной кампании в среднем равна $0,07 . Имея ботнет в тысячу машин, «прокликивая» выдачу из десяти сайтов и делая порядка пятисот запросов при полном отсутствии пересечений по выдаче, злоумышленник может заработать до 350 долларов с зараженной машины. Впрочем, это очень приблизительная оценка: затраты зависят от конкретной ситуации.
Согласно статистике, на период с марта по начало июня 2017 г., большинство заражений троянцем Magala происходило в США и Германии.
Программы этой категории, как правило, не так опасны для конечного пользователя, как, например, шифровальщики или банковские троянцы. Однако необходимо учитывать два ключевых свойства, осложняющих работу с ними. Первое: «пограничная» функциональность на стыке между легитимным и вредоносным ПО не всегда позволяет определить, в каком случае файл является компонентом безопасной, легальной рекламной кампании, а в каком — зловредом, выполняющим схожие функции. А из-за второго свойства данного типа ПО — многочисленности — к их анализу требуется качественно иной подход.
Подробнее о троянце Magala можно прочитать здесь.
Все началось со ссылки
Киберпреступники постоянно ищут способы завлечь ничего не подозревающих жертв и обманом перехватить их личные данные. В августе Дэвид Якоби из «Лаборатории Касперского» и Франс Розен из Detectify описали вредоносную кампанию, в которой жертвы заражались при помощи Facebook Messenger.
Кампания началась с рассылки ссылки на видеоролик в YouTube. Злоумышленники побуждали жертв открыть ее, пользуясь приемами социальной инженерии: перед самой ссылкой, сокращенной при помощи сервиса bit.ly, в сообщении содержалось имя получателя со словом Video (например, «David Video»).
Ссылка вела на Google Drive, где жертва видела будто бы настоящий фильм — рамку видеоролика со стоп-кадром на фотографии пользователя и кнопкой воспроизведения.
Если пользователь пытался открыть видео в Google Chrome, браузер перенаправлял его на поддельную страницу YouTube и предлагал установить расширение Chrome (на самом деле зловред). После установки зловред ожидал, пока пользователь зайдет в свою учетную запись Facebook, и крал его учетные данные. Он также копировал список контактов пользователя, а его друзьям рассылал вредоносные ссылки, таким образом распространяясь дальше по списку контактов.
Пользователям других расширений назойливо предлагалось установить обновление Adobe Flash Player, под видом которого скачивался файл с рекламной программой, — злоумышленники зарабатывали деньги и при помощи рекламы.
Эта вредоносная кампания была обязана успехом трем факторам: реалистичной имитации взаимодействий в соцсетях, динамическому пользовательскому контенту и легитимным промежуточным доменам. Главным звеном в цепочке распространения зловреда была установка расширения Chrome. Чтобы не стать жертвой подобной атаки, рекомендуется тщательно проверять расширения, которые запрашивают контроль над взаимодействиями браузера. Также важно знать, какие именно расширения к браузеру работают на вашем компьютере. Получить список активных расширений можно, набрав в адресной строке Chrome «chrome://extensions/». И естественно, не стоить бездумно щелкать ссылки. Если у вас есть сомнения насчет легитимности ссылки, полученной в письме или сообщении, лучше лишний раз переспросите отправителя, он ли вам это прислал.
Биткойны против безопасности
В этом году заметно выросла популярность майнеров криптовалюты. В 2013 г. продукты «Лаборатории Касперского» заблокировали попытки установки майнеров на 205 000 компьютеров. В 2014 г. это число выросло до 701 000, а за 8 месяцев 2017 г. достигло 1,65 млн.
Сам процесс майнинга нельзя назвать незаконным, однако некоторые злоумышленники устанавливают программы-майнеры на компьютеры ничего не подозревающих пользователей обманом или используя уязвимости в ПО. В результате преступники получают криптовалюту, а работа системы жертвы значительно замедляется. В последнее время мы обнаружили несколько крупных бот-сетей для скрытого майнинга; отмечается и рост количества попыток установки майнеров на серверы организаций. В случае успеха страдают бизнес-процессы предприятия, так как значительно падает скорость обработки данных.
Как правило, майнеры устанавливаются через инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. Встречаются и более изощренные варианты, например, распространение при помощи EternalBlue — эксплойта, выпущенного в апреле 2017 г. группой Shadow Brokers. В данном случае жертвой становится сервер, что особенно выгодно злоумышленникам за счет его более высокой производительности.
Недавно нами была обнаружена сеть, состоящая, по приблизительным подсчетам, из более чем пяти тысяч машин, на которых был скрытно установлен легальный консольный майнер Minergate. Жертвы скачивали инсталлятор с файлообменного ресурса под видом бесплатного ПО или ключей для активации лицензионных продуктов. Инсталлятор загружал на машину жертвы дроппер майнера, чтобы Minergate автоматически запускался после каждой загрузки, а в случае удаления восстанавливался.
Майнеры нередко идут в комплекте с дополнительными сервисами, обеспечивающими автозапуск при перезагрузке компьютера и скрытность их работы. Такие сервисы могут, например, пытаться отключить защитное ПО, вести мониторинг операционной системы или обеспечивать непрерывное присутствие майнера на компьютере, восстанавливая его при удалении файлов.
Специфика и принцип работы этих приложений сильно усложняют детектирование скрытых майнеров: любой пользователь может самостоятельно установить себе такую программу и легально использовать ее для добычи криптовалюты.
Самыми распространенными криптовалютами для скрытого майнинга являются monero (XMR) и zcash. Транзакции этих криптовалют анонимны, что очень на руку злоумышленникам. По самым скромным оценкам, майнинговая сеть приносит своим владельцам до 30 000 долларов США в месяц.
На скриншоте выше показан кошелек, который был «зашит» в настройки майнера. На момент написания статьи с него в общей сложности было выведено 2289 XMR, что по текущему курсу эквивалентно 208 299 долл. США.
Подробнее о майнерах можно почитать здесь.
Подключенная медицина
Сегодня информационные технологии проникают в отрасли, которые раньше даже не задумывались о кибербезопасности. Яркий пример тому здравоохранение. Медицинские данные медленно, но верно мигрируют с бумажных носителей в цифровую инфраструктуру медицинских учреждений — базы данных, порталы, диагностическое оборудование и т. п.
Проблема безопасности данных в медицине стоит острее, чем может показаться на первый взгляд. Не так страшна кража и перепродажа личных данных пациентов на черном рынке, как изменение злоумышленниками данных диагностики. Вне зависимости от целей преступников, будь то вымогательство денег у владельцев клиники или целевая атака на конкретных пациентов, больным грозит серьезная опасность: получив неправильные данные, врачи могут назначить неверный курс лечения (согласно отчету Centers for Disease Control and Prevention [CDC], медицинские ошибки стоят на третьем месте среди причин смерти в США). Даже если подмена данных обнаружена вовремя, нормальная работа медучреждения нарушается: приходится перепроверять всю информацию на скомпрометированном оборудовании — ведь постановка правильного диагноза зависит не только от квалификации врача, но и от корректности данных, поступающих с медицинских устройств и хранящихся на больничных серверах.
«Подключенная медицина» представляет повышенный интерес для злоумышленников. К сожалению, бывают случаи, когда безопасностью сетевой инфраструктуры в медучреждениях пренебрегают и ресурсы, на которых происходит обработка медицинской информации, становятся доступны извне.
Термин «подключенная медицина» обозначает совокупность рабочих станций, серверов и специализированного медицинского оборудования, подключенных к сети медицинского учреждения (упрощенная модель изображена на рисунке ниже).
Диагностические устройства могут подключаться к локальной сети организации напрямую, либо они могут быть подключены к рабочим станциям с помощью USB или другого соединения. Довольно часто медицинское оборудование обрабатывает данные (например, снимки пациента) в DICOM-формате, который является отраслевым стандартом для изображений и документов. Для их хранения и обеспечения доступа извне используются PACS-системы (Picture Archiving and Communication System), которые также могут представлять интерес для злоумышленника.
Мы разработали рекомендации по обеспечению безопасности медицинской инфраструктуры. Узнать подробности можно здесь, но самые важные приведены ниже:
- закрыть публичный доступ ко всем узлам, обрабатывающим медицинские данные;
- назначать ресурсам неочевидные имена;
- регулярно обновлять ПО и удалять ненужные приложения;
- не подключать дорогостоящее оборудование к основной локальной сети;
- постоянно проверять локальную сеть на вирусы и другие вредоносные программы.
Развитие информационных угроз в третьем квартале 2017 года