Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń APT w I kwartale 2017 r.

Tagi:

Kaspersky Lab śledzi obecnie ponad sto ugrupowań cyberprzestępczych oraz wyrafinowanych szkodliwych operacji wymierzonych w organizacje komercyjne i rządowe w ponad 80 krajach. W pierwszym kwartale 2017 roku udostępniliśmy 33 prywatnych raportów subskrybentom naszych usług Intelligence Services, wraz z danymi dotyczącymi oznak infekcji oraz regułami YARA, które mogą być wykorzystane w kryminalistyce oraz polowaniu na szkodliwe oprogramowanie.       

Nadal obserwujemy gwałtowny wzrost wyrafinowania ataków, które w wielu przypadkach są wspierane przez rządy, oraz łączenie taktyk, technik i procedur wśród ugrupowań stosujących ataki ukierunkowane oraz cyberprzestępców motywowanych względami finansowymi. Jednym z głównych obszarów cyberwojen stał się Bliski Wschód. Jednak wykrycie nowej ofiary Wipera w Europie w pierwszym kwartale 2017 roku sugeruje, że tego rodzaju destrukcyjne ataki rozszerzyły swój zasięg poza obszar Bliskiego Wschodu.   

W raporcie tym omawiamy najważniejsze wydarzenia związane z atakami ukierunkowanymi z pierwszego kwartału 2017 roku, jak również kilka wyłaniających się trendów, na które należy zwrócić uwagę.

Najważniejsze wydarzenia dotyczące ataków ukierunkowanych

 

Ewolucja programów typu Wiper: nowa broń dla ugrupowań stosujących ataki APT

W ostatnich miesiącach niepokój w wielu firmach wzbudziła dość słusznie nowa fala ataków typu wiper, wymierzonych głównie przeciwko interesom saudyjskim. W nowej fali ataków w ramach kampanii Shamoon dane uwierzytelniające skradzione z Active Directory zostały najprawdopodobniej wykorzystane do ich wewnętrznej dystrybucji. Dochodzenie dotyczące tych ataków doprowadziło nas do wykrycia nowego wipera o nazwie StoneDrill. 

Uważamy, że grupy Shamoon i StoneDrill są połączone wspólnymi interesami, ale stanowią dwa oddzielne ugrupowania, co może również wskazywać na współpracę dwóch różnych grup. 

Efektem naszej analizy technicznej dotyczącej ugrupowania StoneDrill było wykrycie starych próbek (2014) w naszej kolekcji, które miały tę samą podstawę kodu co nowe próbki StoneDrill. Co ciekawe, te stare próbki zostały przypisane grupie NewsBeef (Charming Kitten). Podobieństwa między próbkami obejmują te same dane uwierzytelniające (nazwa użytkownika i hasło) dla komunikacji C2 (serwera kontroli), przez co można mówić o istnieniu mocnego związku między nimi.

apt_q1_2017_en_1_auto.png

Rysunek 1. Dane uwierzytelniające wykorzystywane do komunikacji C2 w próbkach StoneDrill i NewsBeef

Uważamy, że StoneDrill może być nowszą wersją artefaktów NewsBeef, co pozwala połączyć to znane ugrupowanie APT z nową falą ataków wipera. 

Ponadto, zebraliśmy różne artefakty związane z atakami Shamoon, które mogły zostać wykorzystane przez to ugrupowanie podczas pierwszych etapów ataku. Pierwszy etap jest krytyczny, ponieważ wymaga kradzieży danych uwierzytelniających, które umożliwią następnie rozprzestrzenianie szkodliwego oprogramowania na “terenie” ofiary.    

Ismdoor to backdoor powiązany z atakami Shamoon, który doskonale spełnia potrzeby cyberprzestępców. Narzędzie to zostało zidentyfikowane głównie w Arabii Saudyjskiej i ma związek z branżą ropy naftowej i energii. Analiza ujawniła bardzo interesujące szczegóły dotyczące dodatkowych narzędzi wykorzystywanych przez osoby atakujące w celu dalszego rozprzestrzeniania szkodnika w sieci wewnętrznej (lateral movement), które były głównie osadzone w modelach opartych na interpreterze Powershell, zgodnie z trendem wykorzystywania bezplikowego szkodliwego oprogramowania generycznego, który zostanie wyjaśniony w dalszej części tekstu.    

Istotny jest również fakt wykrycia pierwszej ofiary StoneDrill w Europie. Ofiara ta należy do branży energetycznej, co może świadczyć o tym, że omawiane ugrupowanie rozprzestrzenia szkodnika z Bliskiego Wschodu. Fakt ten jest niezwykle niepokojący zważywszy na to, że za wiperem tym stało prawdopodobnie ugrupowaniu sponsorowane przez rząd, ponieważ może to sugerować operacje cybersabotażu rozprzestrzeniane ze względów geopolitycznych. To ostatnie założenie nie zostało jeszcze potwierdzone.     

 

Podsumowanie

  • Programy typu wiper zwiększają swój zasięg geograficzny
  • Wipery wchodzą teraz w skład arsenału ugrupowań APT. Mogą być wykorzystywane w destrukcyjnych operacjach jak również w celu zacierania śladów po operacji cyberszpiegowskiej.
  • Jeden z modułów wykorzystywanych w ostatniej fali ataków Shamoon posiadał możliwości ransomware, co można uznać za inną formę nie tak oczywistego działania typu wiper.    
  • To, że te destrukcyjne operacje skierowane przeciwko firmom energetycznym mogą być powiązane z niektórymi ugrupowaniami APT sponsorowanymi przez rząd, jest bez wątpienia niepokojące i wykracza poza typowe operacje szpiegowskie. 

BlueNoroff/Lazarus: ewolucja włamań do banków

3 lutego 2017 roku pojawiły się informacje o masowym ataku “przy wodopoju” na polskie banki. W ataku wykorzystano serwer sieciowy polskiego organu regulującego sektor finansowy – Komisji Nadzoru Finansowego (www.knf.gov.pl), do którego włamano się, a następnie wykorzystano do przekierowywania użytkowników do zestawu exploitów. W tym samym czasie bardzo podobna technika została zastosowana w ataku na meksykańskie organy finansowe i chociaż brak doniesień o innych ofiarach tego ugrupowania, istnieje wysokie prawdopodobieństwo, że jego celem były również inne banki.       

Nasza analiza wykazała powiązanie tego ataku z ugrupowaniem BlueNoroff/Lazarus, które odpowiadało za wiele innych ataków na banki, w tym głośny “napad” na bank Bangladeszu. Ten atak przy wodopoju ujawnił – po raz pierwszy – jedną ze strategii stosowaną przez ugrupowanie BlueNoroff w celu uzyskania “punktu zaczepienia” w atakowanych organizacjach. Chociaż w ataku nie wykorzystano żadnych exploitów dnia zerowego, exploit dla Flash Playera oraz Silverlight wystarczył do włamania się do dużej liczby banków, które wykorzystywały przestarzałe oprogramowanie.

Śledzenie ugrupowania BlueNoroff zaczęliśmy już dawno temu. Gdy zetknęliśmy się z nim po raz pierwszy, próbowało infekować banki w regionie Azji Południowo-Wschodniej. BlueNoroff opracował charakterystyczny zestaw narzędzi wykorzystywany podczas ataków na organizacje, a w kilku przypadkach próbował “majstrować” przy oprogramowaniu SWIFT. Ogromny potencjał tej techniki ujawnił się w atakach na centralny bank Bangladeszu, poprzez które próbowano ukraść ponad  900 milionów dolarów amerykańskich. W lutowym “polskim incydencie” ugrupowanie to ponownie wykorzystało te znane narzędzia, odpowiednio “przepakowując” je dla nowej grupy ofiar. Dzięki temu mogliśmy z dużym stopniem pewności przypisać ten atak temu ugrupowaniu.         

Co ciekawe, ugrupowanie BlueNoroff umieściło w kodzie rosyjskie słowa, aby wyprowadzić w pole badaczy i uniknąć powiązania go z tym atakiem. Kod zawierał błędy gramatyczne, których nie zrobiłby rodzimy użytkownik języka rosyjskiego, a zdania zostały prawdopodobnie przetłumaczone przy użyciu narzędzi online.    

Podsumowanie:

  • Uważamy, że BlueNoroff należy do najaktywniejszych grup jeśli chodzi o ataki na instytucje finansowe i próbuje aktywnie infekować różne ofiary w kilku regionach.
  • Sądzimy, że ugrupowanie to nadal przeprowadza operacje – najnowsze próbki jego szkodliwego oprogramowania zostały zidentyfikowane w marcu 2017 roku.    
  • Obecnie BlueNoroff stanowi według nas prawdopodobnie najpoważniejsze zagrożenie dla banków.

Szkodliwe oprogramowanie bezplikowe: wystarczy, aby przeprowadzić atak, i pozwala uniknąć atrybucji

Unikanie atrybucji stanowi jeden z głównych celów wielu ugrupowań APT, zwłaszcza że w ostatnich latach wiele operacji zostało ujawnionych. W przypadku najbardziej wyrafinowanych grup, problem polega na tym, że posiadają one już ugruntowane procedury, specjalnie opracowane narzędzia oraz szkolenia, przez co nie zawsze mogą pozostać niezauważone. 

Tak jednak nie jest w przypadku mniejszych ugrupowań czy cyberprzestępców. Zwykle nie tworzą one, ani nie posiadają własnych narzędzi, ale stosują generyczne narzędzia, które wystarczą do wykonania operacji i zapewnienia wyraźnej korzyści ekonomicznej, dodatkowo utrudniając analizę incydentu oraz przypisanie go konkretnemu ugrupowaniu.   

Obecnie istnieje wiele różnych modeli oferujących cyberprzestępcom wiele opcji, szczególnie w zakresie tzw. “lateral movement” (dalszego rozprzestrzeniania szkodliwego oprogramowania w sieci wewnętrznej). Do tej kategorii można zaliczyć Nishang, Empire, Powercat, Meterpreter itd. Co ciekawe, większość z nich opiera się na interpreterze poleceń Powershell i pozwala na wykorzystywanie backdoorów bezplikowych.   

fileless_3n_auto.png

Techniki te były szeroko stosowane w ostatnich miesiącach. Przykłady stanowią narzędzia wykorzystywane do działań “lateral movement”, jakie mogliśmy zaobserwować w atakach Shamoon oraz w atakach na banki wschodnioeuropejskie, w operacjach różnych ugrupowań APT, takich jak CloudComputating, Lungen czy HiddenGecko, jak również w ewolucji starych backdoorów, takich jak Hikit, które ewoluowały do nowych wersji bezplikowych. 

Trend ten utrudnia tradycyjną analizę kryminalistyczną, sprawia, że tradycyjne oznaki infekcji, takie jak sumy kontrolne plików (hash) stają się nieaktualne, tworzenie białych list aplikacji jest trudniejsze, a obchodzenie oprogramowania antywirusowego – prostsze.

Z drugiej strony, osoby atakujące zwykle muszą eskalować przywileje lub ukraść dane uwierzytelniające administratora, zazwyczaj nie posiadają mechanizmu umożliwiającego przetrwanie ponownego uruchomienia w maszynach, które chcą zainfekować, i oceniają je po ponownym połączeniu się z zainfekowaną siecią. Wykorzystanie standardowych narzędzi w środowisku ofiary również może ograniczyć ich możliwości. Ten nowy paradygmat dopiero rozwija się, dlatego najlepsze praktyki z punktu widzenia ochrony jeszcze nie zostały ustanowione. Jednak pewne zalecenia zostaną przedstawione w końcowej sekcji tego dokumentu.    

Podsumowanie:

  • Skuteczne wyprowadzenie danych z sieci nie wymaga użycia szkodliwego oprogramowania.
  • Wykorzystanie standardowych narzędzi oraz tych opartych na otwartym źródle, w połączeniu z różnymi sztuczkami, sprawia, że wykrywanie i atrybucja są niemal niemożliwe.
  • Determinacja osób atakujących, aby ukryć swoją aktywność i coraz bardziej utrudnić wykrywanie oraz reagowanie na incydenty, tłumaczy najnowszy trend obejmujący techniki anty-kryminalistyczne oraz szkodliwe oprogramowanie oparte na pamięci. Z tego powodu kryminalistyka pamięci zaczyna mieć krytyczne znaczenie dla analizy szkodliwego oprogramowania oraz jego funkcji. 
  • Kluczowa w takich przypadkach jest reakcja na incydenty.     

Jak się zabezpieczyć

Główną metodą infekowania systemów jest wykorzystywanie luk w zabezpieczeniach, dlatego niezwykle istotne jest instalowanie łat na czas. Jest to, jak wiadomo, jedno z najżmudniejszych zadań w zakresie konserwacji IT, dlatego dobra automatyzacja znacznie usprawni jego przebieg. Kaspersky Endpoint Security for Business Advanced oraz Kaspersky Total Security zawierają komponenty monitorowania luk w zabezpieczeniach oraz łat, oferując wygodne narzędzia, które znacznie ułatwiają proces instalowania łat i pozwalają personelowi IT zaoszczędzić czas.     

Wobec panującego trendu stosowania technik opartych na interpreterze Powershell, w tym scenariuszy „bezcielesnego” szkodliwego oprogramowania, należy upewnić się, czy wykorzystywane rozwiązanie bezpieczeństwa uwzględnia takie zagrożenia. Wszystkie poziomy rozwiązania Kaspersky Security Endpoint Security for Business jak również Kaspersky Security for Virtualization posiadają najszerszy zakres wspomaganych systemami uczącymi się technik wykrywania, łącznie z technikami, które są wyspecjalizowane w wykrywaniu szkodliwego oprogramowania wykorzystującego Powershell. Nasza działająca w oparciu o zachowanie technologia Kontroli systemu również potrafi zidentyfikować aktywność typową dla Wipera, np. masowe usuwanie plików; po zablokowaniu szkodliwego oprogramowania jego funkcja Cofania zmian przywraca istotne pliki użytkownik, które zostały usunięte.       

Należy jednak mieć świadomość, że ataki ukierunkowane są niebezpieczne nie tylko ze względu na ich wyrafinowanie (które nie dotyczy wszystkich ataków), ale również dlatego, że zwykle są one dobrze przygotowane i próbują wykorzystać luki w zabezpieczeniach, które nie są oczywiste dla ich ofiar.   

Dlatego zaleca się, aby użytkownicy wyposażyli się nie tylko w narzędzia umożliwiające zapobieganie (takie jak ochrona punktu końcowego), ale również wykrywanie, a konkretnie w rozwiązanie, które potrafi wykrywać anomalie w bieżących operacjach całej sieci i badać podejrzane pliki na znacznie głębszym poziomie niż jest to możliwe na punktach końcowych użytkowników. Kaspersky Anti Targeted Attack to inteligentna platforma wykrywania, która łączy zdarzenia pochodzące z różnych poziomów infrastruktury, identyfikuje anomalie i łączy je w incydenty, badając jednocześnie powiązane artefakty w bezpiecznym środowisku piaskownicy. Podobnie jak w przypadku większości produktów firmy Kaspersky Lab, Kaspersky Anti Targeted Attack wykorzystuje technologię HuMachine Intelligence, która jest wspierana przez działające lokalnie i w laboratorium procesy systemów uczących się (machine learning) oraz wiedzę analityka w czasie rzeczywistym, jak również nasze umiejętności interpretacji danych big data dotyczących analizy zagrożeń.         

Najlepszym sposobem na uniemożliwienie osobom atakującym zidentyfikowania i wykorzystania luk w zabezpieczeniach jest całkowite ich wyeliminowanie, łącznie z lukami dotyczącymi niewłaściwej konfiguracji systemu lub błędami w zastrzeżonych aplikacjach. Pod tym względem, usługi Kaspersky Penetration Testing oraz Application Security Assessment mogą stanowić wygodne i wysoce skuteczne rozwiązanie, dostarczając nie tylko dane odnośnie zidentyfikowanych luk w zabezpieczeniach, ale również wskazówki dotyczące ich usunięcia, co jeszcze bardziej wzmacnia bezpieczeństwo korporacyjne.