Cosultart banner

Главная > Новости > Kaspersky Security Bulletin  

Алгоритм «Королёв»

«Яндекс» запустил новый алгоритм поиска — «Королев». Подробнее

Оптимизация Google

Google отказался от функции «живого поиска», Подробнее

Виртуальные помощники

Искусственный интеллект может изменить способы ведения бизнеса. Подробнее

Kaspersky Security Bulletin

В наши дни целевые атаки стали неотъемлемой частью ландшафта угроз. Подробнее

 

Kaspersky Security Bulletin

 
 

В наши дни целевые атаки стали неотъемлемой частью ландшафта угроз.
Им посвящен специальный раздел в годовом отчете Kaspersky Security Bulletin 2016.

Обзор крупных APT-кампаний, которые произошли в 2016 году.

BlackEnergy

Год начался с кибератаки BlackEnergy на предприятия энергетического сектора Украины. Атака стала уникальной по масштабам причиненного вреда: хакерам удалось отключить системы распределения электроэнергии на Западной Украине, запустить в атакованные системы программу Wiper для удаления содержимого зараженных компьютеров и провести телефонную DDoS-атаку на службы техподдержки атакованных компаний. «Лаборатория Касперского» раскрыла ряд аспектов деятельности ответственной за атаку группировки, опубликовав, в частности, анализ механизма, использованного для проникновения в системы. Общий обзор атаки доступен в отчете американского SANS Institute, подготовленного вместе с ICS-CERT.
Атаки Operation Ghoul подтвердили эффективность точечного фишинга в сочетании с использованием коммерческих вредоносных программ #KLReport

Операция «Blockbuster»

«Лаборатория Касперского» стала одним из участников операции «Blockbuster» – совместного исследования деятельности Lazarus Group, проведенного несколькими крупными компаниями – лидерами в области кибербезопасности (отчет «Лаборатории Касперского» можно прочитать здесь https://securelist.com/blog/incidents/73914/operation-blockbuster-revealed/). Lazarus – это киберпреступная группировка предположительно северокорейского происхождения, ответственная за атаку на Sony Pictures в 2014 году. Lazarus Group известна с 2009 года, а с 2011 года она заметно активизировалась. Группа ответственна за такие известные атаки, как Troy, Dark Seoul (Wiper), WildPositron. Мишенями группировки были предприятия, финансовые организации, радио и телевидение.

Adwind

В феврале, на форуме Security Analyst Summit мы представили результаты расследования деятельности Adwind – кроссплатформенного многофункционального троянца, используемого как инструмент удаленного доступа (Remote Access Tool) и распространяемого через единый сервис «зловред как услуга». Со времени своего первого выпуска в 2012 г., троянец носил разные имена: AlienSpy, Frutas, Unrecom, Sockrat, JSocket, jRat. Мы полагаем, что в период с 2013 по 2016 год этот троянец использовался при проведении атак более чем на 443 000 частных пользователей, коммерческих и некоммерческих организаций по всему миру. Одно из главных отличий Adwind от прочих коммерческих вредоносных программ – то, что он распространяется открыто как платный сервис – клиент платит определенную сумму в обмен за использование вредоносной программы. По нашим оценкам, к концу 2015 года в системе было около 1800 клиентов. Таким образом, Adwind на сегодняшний момент является одной из самых больших вредоносных платформ.
У «зловреда напрокат» Adwind было 1 800 клиентов #KLReport

Атаки с участием эксплойтов к уязвимости CVE-2015-2545

В мае мы сообщили о наблюдаемой волне кибершпионских атак, проводимых различными APT-группировками в Азиатско-Тихоокеанском и Дальневосточном регионах. У всех этих атак была одна общая черта: они эксплуатировали уязвимость CVE-2015-2545. Эта уязвимость позволяет атакующей стороне исполнять произвольный код при помощи специально созданного графического файла с расширением EPS, при этом используется язык PostScript и обходятся встроенные в ОС Windows методы защиты Address Space Layout Randomization и Data Execution Prevention. Уже было известно, что эту уязвимость эксплуатируют группировки Platinum, APT16, EvilPost и SPIVY, а недавно добавились еще и группы Danti и SVCMONDR. Обзор APT-группировок, эксплуатирующих эту уязвимость, доступен здесь https://securelist.com/analysis/publications/74828/cve-2015-2545-overview-of-current-threats/.
Самой поразительной чертой этих атак является то, что они с успехом эксплуатируют уязвимость, патч к которой компания Microsoft выпустила в сентябре 2015 г. В прогнозах на 2016 год мы прогнозировали, что APT-кампании станут прилагать меньше усилий для разработки сложных инструментов и будут чаще использовать для своих целей готовое вредоносное ПО. Вышеописанный случай является хорошим примером: используется известная уязвимость, а не разрабатывается эксплойт к уязвимости нулевого дня. Это говорит о том, что компаниям следует уделять больше внимания своевременной установке исправлений безопасности, чтобы обеспечить защиту корпоративной IT-инфраструктуры.
Уязвимость, закрытую ещё в 2015 году, эксплуатировало более шести APT-группировок #KLReport

Операция Daybreak

Естественно, всегда найдется и APT-группировка, стремящаяся воспользоваться эксплойтами нулевого дня. В июне мы сообщали о кампании кибершпионажа, получившей кодовое название «Операция Daybreak» («Рассвет»), запущенной группировкой под названием ScarCruft и использующей ранее неизвестный эксплойт к Adobe Flash Player (уязвимость CVE-2016-1010). Это относительно новая группировка, до сих пор она не привлекала особого внимания. Мы полагаем, что ранее эта группировка могла запустить еще один эксплойт нулевого дня (CVE-2016-0147) – эта уязвимость была закрыта в апреле. Среди ее жертв – правоохранительные органы одной из азиатских стран, одна из крупнейших мировых торговых компаний, американская компания по мобильной рекламе и монетизации приложений, частные лица, связанные с Международной ассоциацией легкоатлетических федераций и ресторан, расположенный в одном из крупнейших торговых центров Дубая.

Стопроцентной безопасности не бывает, но можно усилить линию безопасности настолько, что для атакующих злоумышленников станет слишком дорого пробивать в ней брешь, так что они откажутся от своих намерений или выберут другую цель. Лучший метод защиты от целевых атак – это следовать комплексному подходу, который сочетает традиционные антивирусные технологии с хостовыми системами предотвращения вторжений, запретом по умолчанию на основе белых списков и управлением исправлениями. По данным исследования австралийского Управления радиотехнической обороны, 85 процентов проанализированных целевых атак могут быть остановлены с применением четырех стратегий: белые списки приложений, обновлений приложений, обновление операционных систем и ограничение административных прав.
В кампании кибершпионажа «Операция Daybreak», организованной группировкой ScarCruft, была использована неизвестная на тот момент уязвимость – CVE-2016-1010 #KLReport

xDedic

В этом году «Лаборатория Касперского» исследовала киберпреступную торговую площадку под названием xDedic – черный онлайн-рынок учетных данных взломанных серверов, расположенных по всему миру, каждый из которых доступен по протоколу Remote Desktop Protocol (RDP). Поначалу мы полагали, что на рынке представлено около 70 000 серверов, но новые данные заставляют предположить, что xDedic гораздо больше и содержит учетные данные 176000 серверов. На площадке есть своя поисковая система, так что потенциальные покупатели могут выбрать практически любой сервер на свой вкус, включая серверы в государственных и корпоративных сетях, и все это всего за 8 долларов за сервер! За эту цену покупатели получают доступ к данным о взломанных серверах и могут использовать сами серверы как плацдарм для осуществления целевых атак.
Черные рынки – явление не новое; однако в данном случае мы видим более высокий уровень специализации. Хотя модель, взятую на вооружение владельцами XDedic, не так просто будет воспроизвести, мы полагаем, что в будущем есть вероятность возникновения других специализированных рыночных площадок.
xDedic был торговой площадкой, на которой были выставлены данные минимум 70000 взломанных серверов. Большая часть жертв ничего об этом не знали #KLReport

Dropping Elephant

Целевые атаки не обязательно должны быть технически сложными, чтобы увенчаться успехом. В июле мы сообщили о группировке Dropping Elephant (известной также под названиями Chinastrats и Patchwork). Используя социальную инженерию в сочетании со старым кодом эксплойтов и несколькими вредоносными программами на базе PowerShell, группировка успешно крала конфиденциальные данные у влиятельных организаций, работающих в дипломатической и экономической сфере и связанные с внешнеполитическими отношениями Китая. При проведении атак использовалось сочетание целевого фишинга и атак типа watering hole. В успехе группировки Dropping Elephant примечательно то, что ей удавалось взламывать системы влиятельных жертв без использования эксплойтов нулевого дня или сложных технических приемов. Dropping Elephant – это еще один пример того, что применение готового набора инструментов при низком уровне инвестиций может быть чрезвычайно эффективным в сочетании с тщательно продуманной социальной инженерией.
Подобным атакам можно противостоять, своевременно устанавливая обновления безопасности и повышая уровень информированности сотрудников в области информационной безопасности.
Группировка Dropping Elephant показала, насколько опасной может быть тщательно продуманная социальная инженерия #KLReport

Operation Ghoul

Серия атак, за которыми стояла группировка Operation Ghoul – мы сообщали о них в июне 2016 г., – явилась еще одним примером того, насколько успешными могут оказаться методы социальной инженерии в руках киберпреступников, стремящихся проникнуть в сеть атакуемой организации и закрепиться в ней. В ходе этой операции киберпреступники рассылали фишинговые сообщения с вредоносными вложениями преимущественно руководителям и менеджерам среднего звена из множества компаний; сообщения выглядели так, как будто они были отправлены банком из ОАЭ. В сообщение, которое якобы содержало платежное извещение банка, был вложен документ SWIFT. Однако в действительности архив содержал вредоносное ПО. По информации, полученной с sinkhole-серверов, на которые были переключены некоторые из командных серверов группировки, большинство этих организаций задействованы в сфере промышленного производства и машиностроения. Кроме того, среди мишеней были логистические, фармацевтические, производственные, торговые и образовательные организации.
Атаки Operation Ghoul подтвердили эффективность точечного фишинга в сочетании с использованием коммерческих вредоносных программ #KLReport
Вредоносное ПО, применяемое группировкой Operation Ghoul, основано на коммерческом пакете шпионского ПО Hawkeye, которое открыто продается на подпольных сайтах (Dark Web). После установки вредоносное ПО собирает с компьютеров жертв интересующие злоумышленников данные, включая нажатия клавиш, содержимое буфера обмена, учетные данные аккаунтов на FTP-серверах, данные учетных записей из браузеров, систем обмена сообщениями и почтовых клиентов, а также информацию об установленных приложениях.
Тот факт, что социальная инженерия по-прежнему успешно применяется злоумышленниками для проникновения в сети атакуемых организаций, означает, что обучение сотрудников и повышение их информированности об угрозах должно стать центральным элементом стратегии обеспечения безопасности компании.

ProjectSauron

В сентябре решение «Лаборатории Касперского» Anti-Targeted Attack Platform обнаружило аномальные явления в сети одного из корпоративных клиентов компании. В результате анализа данного инцидента была обнаружена кибергруппировка ProjectSauron, которая занималась кражей конфиденциальных данных у организаций в России, Иране, Руанде и, возможно, в других странах с июня 2011 года.
Нам удалось идентифицировать более 30 жертв. Все эти организации выполняют ключевые государственные функции и относятся к правительственным и финансовым структурам, вооруженным силам, научно-исследовательской сфере и телекоммуникациям. Затратность проекта, его сложность, упорство злоумышленников и конечная цель (кража секретных данных у близких к государству организаций) указывают на то, что ProjectSauron – кампания, поддерживаемая на государственном уровне. Судя по техническим характеристикам проводимых атак, эта группа злоумышленников целенаправленно перенимает опыт других сложных атак, включая Duqu, Flame, Equation и Regin, берет на вооружение их наиболее инновационные методы и совершенствует их тактику, чтобы избежать обнаружения. Все вредоносные артефакты создаются индивидуально для каждой жертвы, что снижает их значимость как индикаторов заражения любой другой жертвы.
Группировка ProjectSauron навсегда изменила ландшафт угроз, создав продвинутую модульную платформу для ведения кибершпионажа с уникальным набором инструментов для каждой отдельной жертвы #KLReport

Вот основные факты о ProjectSauron:
1. ProjectSauron – модульная платформа, разработанная для осуществления длительных кампаний кибершпионажа.
2. Во всех модулях и сетевых протоколах используются сильные алгоритмы шифрования, такие как RC6, RC5, RC4, AES, Salsa20 и др.
3. Для управления свои модулями и плагинами платформа использует модифицированный интерпретатор Lua.
4. В качестве расширения базового функционала в платформе предусмотрено более 50 различных типов плагинов.
5. Те, кто стоит за ProjectSauron, проявляют большой интерес к программам шифрования для коммуникационных каналов, которыми пользуются государственные организации — они похищают ключи шифрования, конфигурационные файлы и IP-адреса ключевых серверов, имеющих отношение к ПО для шифрования.
6. Атакующие могут извлекать данные из не подключенных к интернету сетей при помощи специально подготовленных USB-носителей, размещая украденную информацию в их скрытой области, недоступной стандартным средствам операционной системы.
7. Платформа активно использует протокол DNS для извлечения данных и передачи информации о статусе атаки в режиме реального времени.
8. АРТ-кампания активна по меньшей мере с июня 2011 года и оставалась актуальной угрозой до апреля 2016 г.
9. Изначальный вектор заражения остается неизвестным.
10. Атакующие используют каналы распространения легитимного ПО для распространения внутри зараженной сети.

Новым является однократное использование уникальных ресурсов, таких как командный сервер, ключи шифрования и т.д., в сочетании с самыми современными методами, перенятыми у других крупнейших киберпреступных группировок.
Единственный эффективный способ противостоять подобным угрозам – создать многоуровневую систему безопасности с сенсорами, способными обнаружить малейшие аномалии в цифровом документообороте организации, в сочетании с оперативным получением сведений об актуальных угрозах и проведением криминалистического анализа. Дополнительную информацию о методах, с помощью которых можно противостоять подобным угрозам, можно найти здесь.

Подробнее о других угрозах можно прочесть здесь https://securelist.ru/analysis/ksb/29828/kaspersky-security-bulletin-2016-review/

 


Видео

Веб-аналитика в Я.Метрике

Каким должен быть сайт...

Алгоритм Яндекс Минусинск

Яндекс Вебмастер

Google Search Console

+7 (915) 184-37-80
consultart@mail.ru