8 lutego 2017

"Niewidoczne" ataki: cyberprzestępcy włamują się do przedsiębiorstw w 40 krajach przy pomocy ukrytego szkodliwego oprogramowania

Eksperci z Kaspersky Lab wykryli serię "niewidocznych" cyberataków ukierunkowanych, w których wykorzystywane jest wyłącznie legalne oprogramowanie: powszechnie dostępne narzędzia do administracji i przeprowadzania testów penetracyjnych, jak również platforma PowerShell do automatyzacji zadań w systemie Windows. Oprogramowanie nie pobiera żadnych szkodliwych plików na dysk twardy, ale ukrywa się w pamięci. To łączone podejście pomaga uniknąć wykrycia przez technologie białej listy i nie pozostawia osobom prowadzącym badania kryminalistyczne niemal żadnych śladów czy próbek szkodliwego oprogramowania, z którymi mogliby pracować. Atakujący pozostają w systemie wystarczająco długo, aby zebrać informacje, po czym ich ślady zostają wymazane wraz z pierwszym ponownym uruchomieniem maszyny.


Pod koniec 2016 roku z ekspertami z Kaspersky Lab skontaktowały się banki ze Wspólnoty Niepodległych Państw, które w pamięci swoich serwerów znalazły oprogramowanie do przeprowadzania testów penetracyjnych, Meterpreter (obecnie często wykorzystywane do szkodliwych celów), którego nie powinno było tam być. Kaspersky Lab odkrył, że kod Meterpretera występował razem z wieloma legalnymi skryptami PowerShell oraz innymi narzędziami. Połączone narzędzia zostały zaadaptowane do szkodliwego kodu, który potrafił ukrywać się w pamięci, gromadząc potajemnie hasła administratorów systemów w celu umożliwienia atakującym przejęcia zdalnej kontroli nad systemami ofiar. Wydaje się, że ostatecznym celem cyberprzestępców był dostęp do procesów finansowych.

Kaspersky Lab ustalił następnie, że takie ataki są przeprowadzane na skalę masową: dotkniętych nimi zostało ponad 140 sieci korporacyjnych z wielu różnych branż, przy czym większość ofiar jest zlokalizowana w Stanach Zjednoczonych, we Francji, w Ekwadorze, Kenii, Wielkiej Brytanii i Rosji. W sumie infekcje zostały odnotowane w 40 krajach.

Nie wiadomo, kto stoi za tymi atakami. Wykorzystywanie szkodliwego kodu, który jest dostępny na cyberprzestępczym czarnym rynku, popularnych narzędzi systemu Windows oraz nieznanych domen sprawia, że zidentyfikowanie ugrupowania odpowiedzialnego za ataki jest niemal niemożliwe - nie można nawet stwierdzić, czy mamy tu do czynienia z jedną grupą, czy kilkoma, które wykorzystują te same narzędzia. Spośród znanych ugrupowań stosujących najbardziej zbliżone metody należy wskazać na GCMAN i Carbanak.

Tego rodzaju narzędzia utrudniają również ustalenie szczegółów dotyczących ataku. Standardowy proces reagowania na incydent polega na tym, że osoba prowadząca dochodzenie bada ślady i próbki pozostawione w sieci przez przestępców. O ile dane znajdujące się na dysku twardym mogą być dostępne jeszcze długi czas po incydencie, ukryte w pamięci ślady są usuwane przy pierwszym ponownym uruchomieniu komputera.


Dążenie cyberprzestępców do ukrywania swojej aktywności oraz utrudniania wykrywania i reagowania na incydenty wpisuje się w najnowszy trend obejmujący techniki antykryminalistyczne oraz szkodliwe oprogramowanie rezydujące w pamięci. Dlatego kryminalistyka pamięci zyskuje zasadnicze znaczenie dla analizy szkodliwego oprogramowania i jego funkcji. W tych konkretnych incydentach atakujący zastosowali wszystkie znane techniki utrudniające prowadzenie cyfrowego śledztwa, dowodząc przy okazji, że aby skutecznie wyprowadzić dane z sieci, nie potrzeba żadnych plików szkodliwego oprogramowania, i że wykorzystanie legalnych oraz ogólnodostępnych narzędzi niemal całkowicie uniemożliwia wskazanie sprawcy - powiedział Sergiej Golowanow, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Cyberprzestępcy stojący za omawianymi działaniami są nadal aktywni, dlatego należy zaznaczyć, że tego rodzaju atak można wykryć tylko w pamięci RAM, sieci i rejestrze, i w takich przypadkach nawet reguły Yara (wykorzystywane do badania i wykrywania zaawansowanych cyberataków) w oparciu o skanowanie szkodliwych plików nie mają zastosowania.

Szczegóły dotyczące drugiej części operacji, pokazujące, w jaki sposób osoby atakujące zaimplementowały unikatowe taktyki umożliwiające wypłatę pieniędzy za pośrednictwem bankomatów, zostaną przedstawione przez Siergieja Golowanowa i Igora Soumenkowa podczas konferencji Security Analyst Summit, które odbędzie się w dniach 2-6 kwietnia 2017 r.

Produkty firmy Kaspersky Lab skutecznie wykrywają operacje wykorzystujące powyższe taktyki, techniki i procedury. Dalsze informacje dotyczące opisywanego przypadku oraz reguł Yara stosowanych w analizie kryminalistycznej znajdują się na stronie https://kas.pr/NaX8. Dane techniczne, w tym oznaki infekcji, zostały dostarczone klientom usługi Kaspersky Intelligence Services.

Zwalczanie ataków przeprowadzanych przez ugrupowania podobne do GCMAN czy Carbanak wymaga określonych umiejętności od specjalisty ds. bezpieczeństwa, który odpowiada za ochronę atakowanej organizacji. Podczas konferencji Security Analyst Summit 2017 czołowi specjaliści z Kaspersky Lab przeprowadzą profesjonalne szkolenia w zakresie bezpieczeństwa, aby pomóc specjalistom w wykrywaniu wyrafinowanych ataków ukierunkowanych. Tutaj można zapisać się na szkolenie zatytułowane "Polowanie na ataki ukierunkowane przy pomocy reguł Yara". Zapisy na szkolenie dotyczące inżynierii wstecznej szkodliwego oprogramowania są możliwe tutaj.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.