Kaspersky Security Bulletin 2018. Важные события года


#1

Введение

Интернет прочно вошел в нашу жизнь: онлайн-банкинг, онлайн-шоппинг, общение в Сети стали обычным делом для множества людей. Для коммерческих организаций интернет стал источником жизненной силы. Зависимость государств, бизнеса и потребителей от интернет-технологий предоставляет киберпреступникам широкие возможности для проведения атак, с какими бы то ни было целями – кража денег или данных, нарушение работы, нанесение ущерба, в том числе репутационного, или просто «для лулзов». В результате мы имеем ландшафт угроз, в котором высокотехнологичные целевые атаки соседствуют со спонтанной ситуативной киберпреступностью. Нередко и в том, и в другом случае применяются технологии манипулирования человеческой психологией как способ скомпрометировать целые системы или отдельные компьютеры. Все чаще среди атакуемых устройств оказываются те, которые мы не считаем компьютерами – от детских игрушек до камер наблюдения. Представляем вам наш ежегодный обзор крупных инцидентов и ключевых тенденций 2018 года.

Целевые атаки

Одним из наиболее интересных докладов наших исследователей на конференции Kaspersky Security Analyst Summit в этом году стал отчет о Slingshot — крайне изощренной шпионской кампании, действующей с 2012 года на Ближнем Востоке и в Африке. Мы обнаружили эту угрозу, которая по своей сложности может посоперничать с Regin и ProjectSauron, в процессе расследования инцидента. Slingshot использует необычный (и насколько мы знаем, уникальный) вектор атаки: своих жертв преступники атаковали через скомпрометированные роутеры MikroTik. Точный способ компрометации устройств не до конца понятен, но киберпреступники нашли способ добавить свой вредоносный DLL. Библиотека подгружала целый букет вредоносных файлов, которые затем хранились на роутере. Когда системный администратор входит в систему для настройки маршрутизатора, программное обеспечение управления маршрутизатором загружает и запускает вредоносный модуль на его компьютере. Slingshot загружает на компьютер жертвы несколько модулей, в том числе два огромных и мощных — Cahnadr, работающий в режиме ядра, и GollumApp, работающий в режиме пользователя. Эти два модуля реализуют большинство процедур для закрепления в системе, управления файловой системой, фильтрации данных и взаимодействия с C&C-сервером. Образцы, которые мы изучали, имели маркировку «версия 6.x», т.е. можно предположить, что угроза существует уже достаточно долго. Время, навыки и стоимость, затраченные на создание Slingshot, говорят о том, что стоящая за ним группировка скорее всего является высокоорганизованной и профессиональной, и, вероятно, спонсируется государством.

Вскоре после церемонии открытия Зимней олимпиады в Пхенчхане мы стали получать сообщения об атаках на инфраструктуру Игр. Тогда Olympic Destroyer парализовал работу IT-систем: были отключены экраны, не было сети Wi-Fi, не работал официальный веб-сайт Олимпиады, из-за чего болельщики не могли распечатать билеты. Атака также затронула другие организации в регионе, например, на нескольких горнолыжных курортах Южной Кореи была нарушена работа горнолыжных подъемников. Olympic Destroyer – это сетевой червь, целью которого является уничтожение файлов, найденных в сетевых папках доступных текущему пользователю. Сразу после атаки международные исследовательские группы и медиа-компании стали называть в качестве ее автора Россию, Китай и Северную Корею, основываясь на ряде функций зловреда, которые ранее использовали в своей деятельности кибершпионские группировки, якобы расположенные в этих странах или работавшие на правительства этих стран. Наши исследователи тоже попытались выяснить, какая группировка стоит за этой атакой. На одном из этапов исследования мы увидели признаки, указывавшие на группировку Lazarus. Мы обнаружили оставленный злоумышленниками уникальный след, который полностью соответствовал ранее известному вредоносному компоненту Lazarus. Однако отсутствие очевидных мотивов и выявленные нами во время исследования на зараженном объекте в Южной Корее несовпадения с почерком и методами Lazarus, заставили нас вернуться к рассмотрению данного артефакта. После тщательного изучения оказалось, что набор функций не соответствует коду: стало ясно, что мы имеем дело с подделкой, которая точно имитировала почерк Lazarus. Из этого мы сделали вывод, что «почерк» был очень сложным «ложным флагом», намеренно добавленным во вредоносную программу, чтобы создать у аналитиков впечатление, будто они нашли неоспоримое доказательство участия группировки Lazarus, и помешать точной атрибуции угрозы.

Взаимосвязи между компонентами OlympicDestroyer

Мы продолжили отслеживать деятельность данной APT-группировки и в июне заметили, что она начала новую кампанию с новой географией жертв и с использованием новых тем. По данным нашей телеметрии и судя по характеристикам проанализированных нами спирфишинговых документов, атаки Olympic Destroyer теперь нацелены на финансовые и биотехнологические организации, расположенные в Европе, а именно в России, Нидерландах, Германии, Швейцарии и Украине. Ранее описанные атаки Olympic Destroyer были направлены на уничтожение и вывод из строя инфраструктуры Зимних Олимпийских Игр, обслуживающих организаций, партнеров Олимпиады и мест проведения мероприятий. Им предшествовал этап разведки. Возможно, новые действия злоумышленников опять являются разведкой, за которой последует волна деструктивных атак с новыми мотивами. Целью новых атак стала разнообразная группа как финансовых, так и нефинансовых организаций; это может указывать на то, что зловред используется несколькими группировками с различными интересами. Другой причиной может быть аутсорсинг, что не редкость при проведении кибератак в интересах конкретных государств. Наконец, возможно также, что финансовый мотив служит лишь прикрытием для кибератак; в прошлой кампании данная кибергруппировка уже показала свое мастерство в проведении операций под ложным флагом.

В апреле мы рассказывали о том, как «работает» Operation Parliament – кампания по кибершпионажу, целями которой являются крупнейшие законодательные, исполнительные и судебные организации по всему миру, причем основное внимание уделяется Ближнему Востоку и Северной Африке, особенно Палестине. В списке мишеней атак, начавшихся в первые месяцы 2017 года, парламенты, сенаты, высшие государственные чиновники и должностные лица, ученые-политологи, военные и разведывательные структуры, министерства, средства массовой информации, исследовательские центры, избирательные комиссии, олимпийские организации, крупные торговые компании и прочие. Выбор жертв отличается от предыдущих кампаний на Ближнем Востоке, организованных группами Gaza Cybergang и Desert Falcons, и указывает на то, что атаки предварял тщательный сбор информации (физической и цифровой). Чтобы защитить свои командные серверы от обнаружения, киберпреступники особенно внимательно проверяли устройства-жертвы, прежде чем приступить к заражению. Похоже на то, что с начала 2018 года количество атак уменьшилось, вероятно, после того, как нападавшие достигли своих целей.

Мы продолжили наблюдать за деятельностью Energetic Bear/Crouching Yeti – широко известной APT-группы, действующей по крайней мере с 2010 года. Как правило, участники группы атакуют различные компании с явным фокусом на энергетику и промышленность. Атакованные организации разбросаны по всему миру с заметным преобладанием Европы и США. В 2016 – 2017 годах значительно выросло количество атак на компании в Турции. Основная тактика группы включает рассылку фишинговых писем с вредоносными документами, заражение серверов с различными целями, в т.ч. для размещения на них различных инструментов и логов, а также для проведения атак watering hole. О недавней активности этой группировки, направленной против целей в США, говорится в опубликованном US-CERT документе, а также в бюллетене Национального центра кибербезопасности Великобритании (National Cyber Security Centre). В апреле Kaspersky Lab ICS CERT опубликовала отчет, в котором представлены сведения об обнаруженных серверах, зараженных и используемых группировкой, а также приведены результаты анализа нескольких веб-серверов, скомпрометированных группой Energetic Bear в течение 2016 – в начале 2017 года. Полностью отчет можно прочитать здесь, а ниже приведены краткие результаты анализа скомпрометированных серверов и действий на них атакующих:

  1. За исключением редких случаев, участники группы довольствуются публично доступным инструментарием. Это делает задачу атрибуции атак без дополнительных «маркеров» группы весьма сложной.
  2. Потенциально любой уязвимый сервер в интернете представляет для атакующих интерес в качестве «плацдарма» для развития дальнейших атак на целевые объекты.
  3. В большинстве наблюдаемых нами случаев группа выполняла задачи по поиску уязвимостей, закреплению на различных узлах, краже аутентификационных данных.
  4. Разнообразие жертв может говорить о разнообразии интересов атакующих.
  5. С некоторой долей уверенности можно предположить, что группа работает в интересах или по заданиям от внешних по отношению к ней заказчиков, выполняя первоначальный сбор данных, кражу данных аутентификации и закрепление на подходящих ресурсах для обеспечения возможности дальнейшего развития атаки.

В мае аналитики Cisco Talos опубликовали результаты своего исследования VPNFilter – вредоносного ПО, используемому для заражения маршрутизаторов различных производителей в 54 странах мира, но в первую очередь на Украине. Вы можете прочить их отчеты здесь и здесь. Первоначально они считали, что вредоносная программа заразила порядка 500 000 маршрутизаторов Linksys, MikroTik, Netgear и TP-Link компаний малого бизнеса, а также сетевые накопители QNAP. Однако позже выяснилось, что список производителей зараженных маршрутизаторов намного длиннее — всего 75, включая ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE. Вредоносная программа способна вывести зараженное устройство из строя, выполнять shell-команды для совершения дальнейших манипуляций, создать конфигурацию TOR для анонимного доступа к устройству, сконфигурировать порт и URL-адрес прокси-сервера на маршрутизаторе для манипулирования сеансами браузера. Дальнейшие исследования показали, что вредоносное ПО может распространяться по сети через подключенные устройства, тем самым расширяя область атаки. Специалисты Центра глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT) проанализировали механизм обработки данных, используемый VPNFilter. Еще один интересный вопрос — кто стоит за этим вредоносным ПО. Cisco Talos считает, что ответственность за него несет киберпреступная группа с государственной поддержкой. В своем письменном заявлении о развертывании sinkhole-маршрутизатора на домене командного сервера ФБР называет предположительным виновником «преступления» группу Sofacy (она же APT28, Pawn Storm, Sednit, STRONTIUM и Tsar Team). Есть небольшое совпадение кода с вредоносным ПО BlackEnergy, использованным в предыдущих атаках на Украине (в заявлении ФБР указывает, что оно рассматривает BlackEnergy (также известна как Sandworm) как подгруппу Sofacy).

Sofacy — очень активная и плодовитая кибершпионская группа, за которой «Лаборатория Касперского» наблюдает на протяжении нескольких лет. В феврале мы опубликовали отчет о деятельности Sofacy, в котором говорится, что с начала 2017 года интерес группировки постепенно смещался от целей, связанных с НАТО, в сторону целей на Ближнем Востоке, в Центральной Азии и за ее пределами. Для кражи информации — учетных данных, конфиденциальных сообщений, документов и пр. — Sofacy использует целевой фишинг и атаки типа watering hole, а для развертывания своего вредоносного ПО — уязвимости нулевого дня. Для целей разного профиля Sofacy использует разные инструменты. В начале 2017 года для атак на военные и дипломатические организации (в основном в странах НАТО и Украине) группировка запустила кампанию группы «Dealer’s Choice». Позже в этом году группа использовала и другие инструменты из своего арсенала — Zebrocy и SPLM — для охвата более широкого круга организаций, включая научно-технические центры и пресс-службы, и все в большей степени ориентируясь на Центральную и Восточную Азию. Опытные кибергруппировки, такие как Sofacy, постоянно разрабатывают новые инструменты для использования в атаках. Группа поддерживает высокий уровень скрытности своих действий и уделяет много внимания тому, чтобы ее вредоносное ПО было трудно обнаружить. В случае с такими группами как Sofacy при обнаружении любых признаков их активности в сети необходимо срочно проверить все факты аутентификации и странные случаи администраторского доступа к системе, тщательно проверять и помещать в «песочницу» входящие вложения, а также поддерживать двухфакторную аутентификацию для таких сервисов, как электронная почта и доступ к VPN. Использование отчетов об АРТ-угрозах, инструментов для поиска и выявления угроз, таких как правила YARA, и новейших решений для защиты от целенаправленных атак, таких как KATA (Kaspersky Anti Targeted Attack Platform), поможет выявить цели этих атак и предоставит мощные способы обнаружения вредоносных действий.

Наши исследования показывают, что Sofacy – не единственная действующая в Азии кибергруппировка, и это иногда приводит к тому, что в поле зрения разных групп оказывается одна цель. Мы наблюдали случаи, когда вредоносное ПО Zebrocy от Sofacy конкурировало за доступ к компьютерам жертвы с русскоязычными кластерами Mosquito Turla, а его бэкдор SPLM — с традиционными атаками Turla и китайскоязычной Danti. В числе целей, представляющих общий интерес, были правительственная администрация, технологические, научные и военные организации из Центральной Азии. Наверное, самое интригующее «совпадение интересов» произошло между Sofacy и англоговорящей кибергруппировкой, стоящей за The Lamberts. Связь была обнаружена после того, как исследователи обнаружили присутствие Sofacy на сервере, который ранее был идентифицирован сервисами информирования об угрозах, как зараженный вредоносным ПО Grey Lambert. Сервер принадлежит китайскому конгломерату, который разрабатывает и производит аэрокосмические и противовоздушные технологии. Однако в этом случае исходный вектор доставки SPLM остается неизвестным. Это порождает ряд гипотетических возможностей, например, то, что Sofacy может использовать новый и пока еще не обнаруженный эксплойт или новую разновидность своего бэкдора, или что Sofacy каким-то образом удалось использовать каналы связи Gray Lambert для загрузки своих вредоносных программ. Это может быть даже «ложный флаг», установленный во время предыдущей атаки Lambert. Мы считаем наиболее вероятным ответом то, что для загрузки и исполнения кода SPLM был использован неизвестный новый сценарий PowerShell или легитимное, но уязвимое веб-приложение.

В июне мы сообщали об активной целевой атаке, направленной на национальный центр обработки данных (ЦОД) одной из стран Центральной Азии. Особенной эту атаку делает выбор в качестве мишени именно национального дата-центра: ее операторы получили доступ сразу к целому ряду правительственных ресурсов. Мы считаем, что помимо прочего этот доступ затем использовался для внедрения вредоносного JavaScript на официальные государственные веб-сайты и проведения второго этапа атаки (watering hole). Можно с высокой долей уверенности сказать, что за кампанией против национального дата-центра стоит китаеязычная группа LuckyMouse (также известная как EmissaryPanda и APT27). На это указывают применяемые ею инструменты и тактика, а также то, что раньше LuckyMouse уже использовала для своих командных серверов домен update.iaacstudio[.]com. а госучреждения, в т.ч. стран Центральной Азии, уже становились ее мишенью. Первоначальный вектор заражения, использованный в атаке на ЦОД, остается неясным. Даже в тех случаях, когда мы заметили, что LuckyMouse использует вредоносные документы, эксплуатирующие CVE-2017-118822 (уязвимость в Microsoft Office Equation Editor, широко используемая китаеязычными группами с декабря 2017 г.), нам не удалось доказать, что эти документы были связаны с конкретной атакой. Возможно, злоумышленники заразили сотрудников ЦОД при помощи watering hole.

О еще одной вредоносной кампании, организованной кибергруппировкой LuckyMouse мы писали в сентябре. Начиная с марта 2018 г. мы обнаружили несколько случаев заражения, во время которых в память системного процесса lsass.exe был внедрен ранее неизвестный троянец. Импланты были внедрены посредством 32- и 64-битных версий драйвера NDISProxy. Интересно, что этот драйвер подписан цифровым сертификатом, принадлежащим китайской компании LeagSoft, расположенной в Шэньчжэне и занимающейся разработкой ПО для обеспечения информационной безопасности. Мы сообщили компании о случившемся через китайскую группу реагирования на инциденты CN-CERT. Эта кампания была нацелена на государственные учреждения стран Средней Азии. Мы полагаем, что атака была связана со встречей на высоком уровне, проходившей в регионе. По нашему мнению, за этой новой вредоносной кампанией стоит китаеязычная группа LuckyMouse. В частности, для китаеязычных хакеров типичен выбор инструмента туннелирования Earthworm. Кроме того, одна из используемых злоумышленниками команд («-s rssocks -d 103.75.190[.]28 -e 443») создает туннель к уже известному командному серверу LuckyMouse. Выбор мишеней в данной кампании также соотносится с интересами, которые ранее демонстрировала эта группа. Мы не наблюдали никаких признаков целевого фишинга и watering hole активности. Полагаем, что для распространения зловреда злоумышленники использовали уже зараженные сети.

Lazarus – это давно сложившаяся кибергруппировка, которая занимается кибершпионажем и киберсаботажем как минимум с 2009 г. В последние годы группа проводит кампании против финансовых организаций по всему миру. В августе мы сообщали, что группа успешно взломала сети нескольких банков, внедрилась в несколько глобальных бирж криптовалют и


Это обсуждение публикации https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/92937/