Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w II kwartale 2017 r.

Tagi:

Ataki ukierunkowane i kampanie z wykorzystaniem szkodliwego oprogramowania

Powrót do przyszłości: szukanie powiązania między starymi i nowymi atakami APT

Podczas tegorocznego Szczytu analityków bezpieczeństwa przedstawiono interesujące wyniki badań dotyczących kilku kampanii ataków ukierunkowanych. Na przykład, badacze z Kaspersky Lab oraz King’s College London zaprezentowali wyniki wskazujące na potencjalny związek między Moonlight Maze - 20-letnim atakiem cyberszpiegowskim wymierzonym w Pentagon, NASA oraz inne cele - a współczesnym ugrupowaniem APT o nazwie Turla.   

Najnowsze raporty dotyczące Moonlight Maze pokazują, że począwszy od 1996 roku amerykańskie sieci wojskowe i rządowe, jak również uniwersytety, instytucje badawcze, a nawet Departament ds. energii, zaczęły wykrywać włamania do swoich systemów. W 1998 roku FBI oraz Departament Obrony wszczęły szeroko zakrojone dochodzenie. Chociaż informacje o tym zostały podane do wiadomości publicznej w następnym roku, sporo dowodów pozostało utajnionych, a szczegóły dotyczące Moonlight Maze zostały owiane tajemnicą i narosło wokół nich wiele mitów. Mimo to w późniejszych latach kilku badaczy utrzymywało, że Moonlight Maze ewoluował i obecnie działa jako ugrupowanie Turla.     

1_auto.png

W 2016 roku, prowadząc badania w związku ze swoją książką pt. Rise of the Machines, Thomas Rid z Kings College London trafił na ślad byłego administratora systemów w organizacji, której serwer został “porwany” jako proxy przez osoby atakujące stojące za kampanią Moonlight Maze. Serwer ten („HRTest”) był wykorzystywany do przeprowadzania ataków na Stany Zjednoczone. Ten emerytowany już specjalista IT zatrzymał serwer jak również kopie wszystkiego, co dotyczyło tych ataków, i przekazał to wszystko Kings College oraz Kaspersky Lab do dalszej analizy. Badacze z Kaspersky Lab: Juan Andres Guerrero-Saade oraz Costin Raiu, jak również Thomas Ride oraz Danny Moor z Kings College, poświęcili dziewięć miesięcy na przeprowadzenie szczegółowej analizy technicznej próbek. Odtworzyli operacje, narzędzia oraz techniki osób atakujących i przeprowadzili równoległe dochodzenie, aby sprawdzić, czy da się udowodnić związek z ugrupowaniem Turla.              

Moonlight Maze stanowił atak na systemy Solaris, który – jak pokazują wyniki badania - wykorzystywał backdoora opartego na LOKI2 (programie, który pojawił się w 1996 roku i umożliwiał pobieranie danych za pośrednictwem kanałów konwertowania). To skłoniło badaczy do ponownego przyjrzenia się kilku rzadkim próbkom dla Linuksa wykorzystywanym przez ugrupowanie Turla, które zostały wykryte przez Kaspersky Lab w 2014 roku. Próbki te, określane jako Penguin Turla, również opierają się na programie LOKI2. Ponowna analiza wykazała, że wszystkie z nich wykorzystują kod stworzony między 1999 a 2004 rokiem.        

Co ciekawe, nadal obserwujemy ataki z wykorzystaniem tego kodu. Został on zidentyfikowany „na wolności” w 2011 roku w ataku na firmę Ruag - szwajcarskiego dostawę z branży obrony - który został przypisany ugrupowaniu Turla. W marcu 2017 roku badacze z Kaspersky Lab wykryli nową próbkę backdoora Penguin Turla dostarczoną z systemu zlokalizowanego w Niemczech. Nie jest wykluczone, że ugrupowanie Turla wykorzystuje ten stary kod do przeprowadzania ataków na dobrze zabezpieczone cele, do których trudniej byłoby się włamać przy użyciu bardziej standardowego zestawu narzędzi dla systemu Windows. 

Odkryte niedawno próbki Moonlight Maze ujawniają wiele fascynujących szczegółów dotyczących sposobu przeprowadzania ataków przy użyciu złożonej sieci proxy, jak również wskazują na wysoki poziom umiejętności oraz narzędzi osób atakujących.

A zatem, czy Moonlight Maze to dzisiejsza Turla? Na razie nie można tego stwierdzić. Kolejny krok prowadzi do mało znanej operacji o nazwie „Storm Cloud” -zmodyfikowanego zestawu narzędzi wykorzystanego przez osoby kierujące kampanią Moonlight Maze po tym, jak wcześniejsze włamania stały się publicznie znane w 1999 roku. Informacje o Storm Cloud wyciekły w 2003 roku, nie wywołując dużego rozgłosu. Jednak kilka szczegółów podpowiadało nam proroczo, że ten służący do dokonywania włamań zestaw narzędzi może dać bardziej definitywną odpowiedź.        

Szczegóły dotyczące opisywanego badania są dostępne tutaj.

Odkrycie Lazarusa

W lutym 2016 roku grupa hakerów (wtedy jeszcze niezidentyfikowanych) próbowała ukraść 851 milionów dolarów – przelewając 81 milionów dolarów z Banku Centralnego Bangladeszu. Uznano to za największy i najbardziej udany cybernapad w historii. Badanie przeprowadzone przez firmę Kaspersky Lab i innych badaczy ujawniło, że sprawcą tych ataków niemal na pewno jest Lazarus - znane ugrupowanie stosujące cyberszpiegostwo i sabotaż, odpowiedzialne za atak na Sony Pictures w 2014 roku, jak również ataki na firmy produkcyjne, media i instytucje finansowe w co najmniej 18 państwach na świecie od 2009 roku.    

Na podstawie przeprowadzonych dochodzeń dotyczących ataków tego ugrupowania na instytucje finansowe w Azji Południowowschodniej i Europie zdołaliśmy ustalić sposób działania ugrupowania Lazarus.

Na początku ataku cyberprzestępcy zwykle włamują się do jednego systemu w banku – poprzez włamanie się do serwera korporacyjnego lub tzw. atak „przy wodopoju”, tj. umieszczenie kodu exploita na legalnej stronie internetowej odwiedzanej przez personel atakowanej instytucji. Następnie, osoby atakujące przechodzą do innych hostów w organizacji i umieszczają na zainfekowanych komputerach podstawowego backdoora. Następnie poświęcają nieco czasu (kilka dni lub nawet tygodni) na zidentyfikowanie cennych zasobów w organizacji. Na koniec, osoby atakujące umieszczają specjalne szkodliwe oprogramowanie, które ma obejść wewnętrzne funkcje bezpieczeństwa i dokonać oszukańczych transakcji bankowych.      

2_auto.png

Ugrupowanie Lazarus działa na całym świecie: w zeszłym roku znaleźliśmy narzędzia infiltracji wykorzystywane przez nie w różnych państwach. 

3_auto.png

Jest to bardzo duża grupa, która w przeszłości koncentrowało się głównie na działalności cyberszpiegowskiej i cybersabotażu. Lazarus wykazuje zainteresowanie zyskami finansowymi od stosunkowo niedawna i wydaje się, że za generowanie nielegalnych zysków odpowiada oddzielny zespół w ramach tej grupy, który określamy jako Bluenoroff. Jak dotąd zidentyfikowaliśmy cztery główne rodzaje celów ataków: instytucje finansowe, kasyna, firmy zajmujące się rozwojem oprogramowania w zakresie transakcji finansowych oraz firmy z branży kryptowalutowej. 

Jedną z najbardziej znamiennych kampanii Bluenoroff były ataki na instytucje finansowe w Polsce. Osoby atakujące zdołały włamać się do rządowej strony internetowej, która jest często odwiedzana przez wiele instytucji finansowych, a tym samym stanowi szczególnie mocny wektor ataków.

Ugrupowanie Lazarus wkłada wiele wysiłku w zacieranie śladów za sobą. Jednak jeden z naszych partnerów badawczych dokonał interesującego odkrycia podczas przeprowadzania analizy kryminalistycznej serwera C2 w Europie, który był wykorzystywany przez to ugrupowanie. Z raportu analizy kryminalistycznej wynikało, że osoba atakująca połączyła się z tym serwerem za pośrednictwem Usług terminalowych i ręcznie zainstalowała serwer Apache Tomcat przy użyciu lokalnej przeglądarki, skonfigurowała go przy użyciu Java Server Pages i wrzuciła skrypt JSP dla serwera C2. Gdy serwer był gotowy, osoba atakująca rozpoczęła jego testowanie, najpierw przy użyciu przeglądarki, następnie uruchamiając testowe wystąpienia swojego backdoora. Operator wykorzystywał różne adresy IP – od Francji po Koreę - łącząc się za pośrednictwem proxy oraz serwerów VPN. Jednak jedno krótkie połączenie pochodziło z bardzo nietypowego zakresu IP, z Korei Północnej. Operator zainstalował również niestandardowe oprogramowanie do wydobywania kryptowaluty, które powinno generować kryptomonety Monero: oprogramowanie to tak intensywnie pochłaniało zasoby systemowe, że system przestał odpowiadać i zawiesił się. Być może dlatego nie został odpowiednio wyczyszczony i zachowały się dzienniki serwera. Ślad wskazujący na Koreę Północną jest oczywiście interesujący, nie daje jednak podstaw do stwierdzenia, że to właśnie Korea stoi za wszystkimi atakami Bluenoroff: ktoś z tego państwa mógł przypadkowo odwiedzić serwer kontroli lub też mogła to być tzw. „fałszywa bandera”.       

Lazarus nie jest jedynie kolejnym ugrupowaniem APT. Skala jego działań jest szokująca: wydaje się, że ugrupowanie to prowadzi swoistą fabrykę szkodliwego oprogramowania, generując nowe narzędzia, po tym jak stare „zostaną spalone”. Ugrupowanie to wykorzystuje wiele różnych technik zaciemniania kodu, pisze od nowa swoje własne algorytmy, stosuje komercyjne funkcje ochrony oprogramowania, jak również wykorzystuje własne i nielegalne pakery. Podczas pierwszego etapu infekcji Lazarus stosuje zwykle podstawowe backdoory – jeśli zostaną „spalone”, nie wpłynie to w istotny sposób na operacje tego ugrupowania. Jeśli jednak stosowany na pierwszym etapie backdoor zasygnalizuje interesującą infekcję, ugrupowanie zaczyna rozwijać bardziej zaawansowany kod, chroniąc go przed przypadkowym wykryciem na dysku: kod zostaje opakowany w moduł ładujący DLL lub przechowywany w zaszyfrowanym kontenerze, lub też ukryty w binarnej zaszyfrowanej wartości rejestru. Zwykle towarzyszy mu moduł instalacyjny, który mogą wykorzystać jedynie osoby atakujące, ponieważ jest chroniony przy użyciu hasła. Dzięki temu zautomatyzowane systemy – czy to publiczna piaskownica czy środowisko badacza – nigdy nie zobaczą rzeczywistej szkodliwej funkcji. Ten poziom wyrafinowania nie jest powszechnie spotykany w świecie cyberprzestępczym i wymaga ścisłej organizacji i kontroli na wszystkich etapach działania. To również wyjaśnia rozszerzenie operacji tego ugrupowania o działania pozwalające uzyskać nielegalne przychody – tego typu operacje wymagają sporych zasobów pieniężnych.

Najlepszą obroną przed atakami ukierunkowanymi jest podejście wielopoziomowe, które łączy tradycyjne technologie antywirusowe z zarządzaniem łatami, wykrywaniem włamań oraz strategią białej listy i domyślnej odmowy. Według badania przeprowadzonego przez Australian Signals Directorate, 85% analizowanych ataków ukierunkowanych może zostać powstrzymanych poprzez zastosowanie czterech prostych strategii łagodzenia: białej listy aplikacji, aktualizacji aplikacji, aktualizacji systemów operacyjnych oraz ograniczenia przywilejów administracyjnych.  

Nasz raport dotyczący działalności ugrupowania Lazarus jest dostępny w tym miejscu.

Pokonanie banku

Podczas tegorocznego Szczytu analityków bezpieczeństwa dwóch naszych badaczy, Siergiej Golowanow oraz Igor Soumenkow, opowiedziało o trzech przypadkach kradzieży pieniędzy z bankomatów przez cyberprzestępców.

Pierwszy, ATMitch, dotyczył włamania do infrastruktury banku w celu zdalnego kontrolowania działania bankomatu. W celu przeniknięcia do serwerów atakowanego banku cyberprzestępcy wykorzystali niezałataną lukę. Posłużyli się kodem otwartego źródła oraz publicznie dostępnymi narzędziami, aby zainfekować komputery w banku. Jednak stworzone przez nich szkodliwe oprogramowanie rezydowało jedynie w pamięci, nie na twardym dysku, i podczas ponownego uruchomienia komputera niemal wszystkie ślady szkodliwego oprogramowania zostały usunięte. Po infekcji osoby atakujące nawiązały połączenie ze swoim serwerem kontroli, co pozwoliło im zdalnie zainstalować szkodliwe oprogramowanie w bankomatach. Ponieważ wyglądało to na legalną aktualizację, nie wywołało alarmu w banku. Po zainstalowaniu szkodliwe oprogramowanie szukało pliku o nazwie ‘command.txt’, który zawierał złożone z jednego znaku polecenia kontrolujące bankomat. Szkodnik wydawał najpierw polecenie pozwalające stwierdzić, ile pieniędzy znajduje się w bankomacie, następnie wydawał dalsze polecenie wypłaty gotówki – którą odbierał czekający przy bankomacie słup pieniężny. Następnie szkodnik zapisywał wszystkie informacje dotyczące operacji w pliku dziennika i usuwał plik ‘command.txt’.       

4_auto.jpg

Pracowników banku zaniepokoił jeden plik o nazwie ‘kl.txt’. Sądząc, że może on mieć coś wspólnego z Kaspersky Lab, bank zadzwonił do nas i poprosił o przeprowadzenie dochodzenia. Stworzyliśmy regułę YARA umożliwiającą przeszukanie naszych systemów pod kątem tego pliku i odkryliśmy, że mieliśmy z nim do czynienia dwa razy – raz w Rosji i raz w Kazachstanie. To pozwoliło nam przeprowadzić inżynierię wsteczną szkodnika i zrozumieć sposób działania ataku.    

Inne dochodzenie dotyczące ataków na bank również zaczęło się od prośby z banku. W bankomacie brakowało pieniędzy mimo że logi były czyste. Bank dostarczył bankomat do naszej siedziby, gdzie po rozłożeniu go na części odkryliśmy, że do koncentratora USB bankomatu podłączona była karta Bluetooth. Przestępcy zainstalowali kartę Bluetooth w bankomacie i czekali trzy miesiące na wyczyszczenie dziennika. Następnie wrócili do bankomatu, zakryli kamery bezpieczeństwa i wykorzystali klawiaturę Bluetooth w celu ponownego uruchomienia bankomatu w trybie serwisowym, po czym opróżnili maszynę.     

Inny atak, o którym, podobnie jak w opisanych wcześniej przypadkach, dowiedzieliśmy się, gdy bank poprosił nas o zbadanie kradzieży z bankomatu, okazał się znacznie bardziej prymitywny. Znaleźliśmy dziurę o średnicy około 4 cm, która została wywiercona obok PIN pada. Niedługo potem dowiedzieliśmy się o podobnych atakach w Rosji i Europie. Kiedy policja złapała podejrzanego z laptopem i okablowaniem, sprawa zaczęła się wyjaśniać. Rozłożyliśmy bankomat na części, aby dowiedzieć się, do czego osoba atakująca mogła próbować uzyskać dostęp z dziury. Znaleźliśmy 10-stykowe złącze główkowe, podłączone do magistrali, która łączy wszystkie komponenty bankomatu, oraz słabe szyfrowanie, które można było bardzo szybko złamać. Każda część bankomatu mogła zostać wykorzystana do kontrolowania wszystkich pozostałych; ze względu na brak uwierzytelnienia między częściami każda z nich mogła zostać zastąpiona tak, aby pozostała nie „zorientowały się”. Około 15 dolarów i trochę czasu kosztowało nas stworzenie prostej płyty obwodu drukowanego, która, po podłączeniu do magistrali szeregowej, pozwalała kontrolować bankomat, łącznie z wypłacaniem pieniędzy.  

Rozwiązanie problemu, jak podkreślili nasi badacze, nie jest proste. Załatanie wymaga aktualizacji sprzętu i nie może zostać wykonane zdalnie: technik musi mieć fizyczny dostęp do wszystkich bankomatów, aby dokonać instalacji.

Więcej na temat tych incydentów można przeczytać w tym miejscu.

Poznajcie Lambertów

W kwietniu opublikowaliśmy raport dotyczący zaawansowanego ugrupowania cyberprzestępczego, które pod względem złożoności dorównuje Duqu, Equation, Regin oraz ProjectSauron. Ugrupowanie to, które określamy jako „Lamberts” (znane również jako „Longhorn”) po raz pierwszy zwróciło uwagę ekspertów bezpieczeństwa w 2014 roku, gdy badacze z FireEye zidentyfikowali atak, w którym wykorzystano lukę dnia zerowego (CVE-2014-4148). W ataku tym wykorzystano szkodliwe oprogramowanie, które określamy jako ‘Black Lambert’, a jego cele obejmowały znane organizacje w Europie.   

Ugrupowanie to opracowało i stosowało wyrafinowane narzędzia – łącznie z backdoorami sieciowymi, kilkoma generacjami backdoorów modułowych oraz programami wiper – przeciwko swoim ofiarom od co najmniej 2008 roku. Ostatnie próbki zostały stworzone w 2016 roku. Znane są wersje szkodników dla systemów Windows oraz OS X. Jednak biorąc pod uwagę złożoność kampanii oraz istnienie implantu dla systemu OS X, uważamy, że mogły powstać również szkodniki Lamberts dla innych platform, takich jak Linux.      

White Lambert działa w trybie jądra i przechwytuje ruch sieciowy na zainfekowanych maszynach. Odszyfrowuje pakiety utworzone w specjalnym formacie w celu pobrania instrukcji. Te pasywne backdoory określiliśmy nazwą „White Lambert” dla odróżnienia ich od aktywnych implantów „Black Lambert”. 

Następnie trafiliśmy na inną generację szkodliwego oprogramowania, której nadaliśmy nazwę „Blue Lambert”. Jedna z tych próbek jest interesująca, ponieważ wydaje się, że została wykorzystana jako szkodliwe oprogramowanie drugiego etapu w głośnym ataku, w którym brał udział szkodnik Black Lambert.  

Rodzina próbek o nazwie „Green Lambert” to lżejsza, bardziej niezawodna, ale starsza wersja Blue Lambert. Co ciekawe, O ile większość wariantów Blue Lamberta posiada numer wersji z zakresu 2.x, Green Lambert obejmuje w większości wersje 3.x. Jest to sprzeczne z danymi zebranymi z eksportowych znaczników czasowych oraz aktywności domeny C2, które sugerują, że Green Lambert jest znacznie starszy niż Blue Lambert. Być może wersje Blue i Green zostały stworzone równocześnie przez dwa różne zespoły działające pod tym samym patronatem jako normalne iteracje wersji oprogramowania, przy czym jedna została wdrożona wcześniej niż druga. 

Sygnatury stworzone dla Green Lamberta (Windows) działały również w przypadku wariantu Green Lamberta dla systemu OS X z bardzo niskim numerem wersji: 1.2.0. Został on wysłany do usługi multi-scannera we wrześniu 2014 roku. Wariant Green Lamberta przeznaczony dla systemu OS X jest pod wieloma względami funkcjonalnie identyczny z wersją dla systemu Windows, jednak brak w nim niektórych funkcji – między innymi uruchamiania wtyczek bezpośrednio w pamięci.  

Szkodniki Blue, Black oraz Green Lambert zostały wykryte przez produkty firmy Kaspersky Lab na stosunkowo niewielkiej liczbie urządzeń na całym świecie. Podczas badania jednej z infekcji związanych ze szkodnikiem White Lambert i Blue Lambert odkryliśmy kolejną rodzinę narzędzi, która wydaje się być powiązana z nimi. Nadaliśmy jej nazwę “Pink Lambert”. 

Zestaw narzędzi Pink Lambert zawiera implanta ostrzegawczego, moduł przechwytujący USB oraz strukturę koordynatora wieloplatformowego, które mogą być wykorzystane do stworzenia szkodliwego oprogramowania niezależnego od systemu operacyjnego. Wersje tego konkretnego koordynatora zostały zidentyfikowane na komputerach innych ofiar, wraz z próbkami White Lamberta, wskazując na bliski związek między rodzinami White i Pink Lambert.  

Podczas dalszych poszukiwań innych niewykrytych szkodliwych programów na komputerach ofiar White Lamberta znaleźliśmy kolejną, prawdopodobnie powiązaną rodzinę. Nowa rodzina, której nadaliśmy nazwę „Gray Lambert”, to najnowsza iteracja pasywnych narzędzi sieciowych z arsenału rodziny Lambert. Styl kodowania Gray Lambert jest podobny do modułu przechwytującego USB szkodnika Pink Lambert. Jednak jego funkcjonalność odzwierciedla funkcjonalność White Lamberta. W porównaniu z White Lambertem, Gray Lambert działa w trybie użytkownika bez konieczności wykorzystania podatnego na ataki, podpisanego sterownika w celu załadowania losowego kodu na 64-bitowe systemy Windows.        

Poniżej przedstawiamy schemat związków między rodzinami Lambert, które łączy wspólny kod, formaty danych, serwer kontroli oraz ofiary:

5_auto.png

Rozwój zestawu narzędzi Lambert trwał kilka lat, przy czym większość działań przypadła na lata 2013-2014.

6_auto.png

Ogólnie, zestaw ten zawiera wysoce wyrafinowane szkodliwe oprogramowanie, które wykorzystuje zaawansowane techniki w celu nadsłuchiwania ruchu sieciowego, uruchamiania wtyczek w pamięci bez kontaktu z dyskiem oraz wykorzystuje exploity przeciwko podpisanym sterownikom w celu uruchomienia niepodpisanego kodu w 64-bitowych systemach Windows.

Kolejnym potwierdzeniem kompetencji osób atakujących stojących za zestawem narzędzi Lamberts jest fakt, że w celu implementacji Black Lamberta wykorzystano dość wyrafinowanego exploita dnia zerowego TTF (CVE-2014-4148). Dlatego pod względem poziomu złożoności umieszczamy Lamberts w tym samym szeregu co Duqu, Equation, Regin czy ProjectSauron – tzn. jest on jednym z najbardziej wyrafinowanych zestawów narzędzi cyberszpiegowskich, jakie kiedykolwiek analizowaliśmy.   

W ogromnej większości przypadków metoda infekcji jest nieznana, dlatego istnieje wciąż wiele nieznanych szczegółów dotyczących tych ataków oraz stosujących je grup.

Więcej na temat szkodników Lamberts można dowiedzieć się w tym miejscu .

Jedynym skutecznym sposobem odparcia takich zagrożeń jest zastosowanie wielu warstw bezpieczeństwa, łącznie z sensorami, które monitorują nawet najmniejszą anomalię w przepływie pracy w organizacji, w połączeniu z analityką zagrożeń i analizą kryminalistyczną.    

Nadal będziemy monitorować działania ugrupowania Lamberts, jak również innych ugrupowań stosujących ataki ukierunkowane. Osobom, które subskrybują nasze raporty dot. analizy ataków APT, oferujemy dostęp do naszych dochodzeń i odkryć na bieżąco, łącznie z pełnymi danymi technicznymi.  

Historie związane ze szkodliwym oprogramowaniem

Kolejne podatne na ataki elementy Internetu Rzeczy

Hakerzy w coraz większym stopniu atakują urządzenia tworzące Internet Rzeczy (IoT). Jednym z najbardziej drastycznych przykładów jest botnet Mirai, który zakłócił działanie części Internetu w październiku 2016 roku poprzez „porwanie” podłączonych do internetu urządzeń domowych (takich jak cyfrowy rejestrator video, kamery CCTV oraz drukarki).   

W naszych prognozach dotyczących 2017 roku sugerowaliśmy, że hakerzy działający w ramach „straży obywatelskiej” mogą atakować urządzenia Internetu Rzeczy, aby zwrócić uwagę na fatalny brak zabezpieczeń w niektórych urządzeniach połączonych z internetem – być może posuwając się nawet do stworzenia tzw. „Internet of bricks” (internetu niedziałających rzeczy). Ostatnio pojawiły się raporty (dostępne tutaj i tutaj) dotyczące szkodliwego oprogramowania IoT, które zostało stworzone właśnie w tym celu.      

W kwietniu opublikowaliśmy analizę botnetu Hajime. Szkodnik ten, o którym po raz pierwszy dowiedzieliśmy się w październiku 2016 r. od Rapidity Networks, infekuje niezabezpieczone narzędzia IoT z otwartymi portami Telnet oraz domyślnymi hasłami. Hajime to ogromny botnet peer-to-peer, który w momencie tworzenia tego raportu (25 kwietnia) składał się z około 300 000 urządzeń. Szkodnik ten nieustannie rozwija się, dodając nowe funkcje i usuwając stare. Najbardziej intrygującym aspektem Hajime jest jego cel. Botnet rozrasta się, częściowo dzięki nowym modułom wykorzystywania luk, jednak jego cel pozostaje nieznany. Jak dotąd nie był wykorzystywany do przeprowadzania szkodliwej aktywności. Być może nigdy nie będzie, ponieważ przy każdym pobieraniu nowego pliku konfiguracji wyświetlony zostaje fragment tekstu podczas przetwarzania nowej konfiguracji:        

7.png

Z drugiej strony, nawet jeśli nie jest celowo wykorzystywany do wyrządzania szkód, może mieć niekorzystny wpływ na normalne działanie zainfekowanego urządzenia.

Hajime wykorzystuje fakt, że po zakupie urządzenia wiele osób nie zmienia domyślnych danych uwierzytelniających ustawionych przez producenta. W ten sposób hakerzy mogą łatwo uzyskać dostęp do urządzenia – wystarczy tylko wypróbować znane domyślne hasło. Ponadto, w przypadku wielu urządzeń nie istnieją aktualizacje dla firmware’u. Urządzenia IoT często stanowią atrakcyjny cel dla cyberprzestępców, ponieważ często charakteryzują się łącznością w trybie 24/7. 

W dzisiejszych czasach inteligentne urządzenia otaczają nas ze wszystkich stron. Obejmują one urządzenia domowe codziennego użytku, takie jak telefony, telewizory, termostaty, lodówki, elektroniczne nianie, bransoletki fitness, a nawet zabawki dziecięce. W tej kategorii mieszczą się również samochody, urządzenia medyczne, kamery monitoringowe oraz parkomaty. Teraz do listy tej można dopisać również drony.  

Podczas Szczytu analityków bezpieczeństwa ekspert bezpieczeństwa Jonathan Andersson zademonstrował, w jaki sposób wyposażony w odpowiednie umiejętności cyberprzestępca może stworzyć urządzenie pozwalające porwać drona w zaledwie kilka sekund. W celu stworzenia tego urządzenia, które nazwał „Icarus”, wykorzystał on definiowane programowo radio (SDR), element sterujący dronem, mikrokomputer oraz inny sprzęt elektroniczny. Wykorzystał to urządzenie w celu dostrojenia się do częstotliwości wykorzystywanej przez drona do komunikacji ze swoim kontrolerem, a następnie metodą prób i błędów dowiedział się, jak dokładnie przesyłane są sygnały między urządzeniami. 

Andersson wyjaśnił, że zagrożenie to może mieć potencjalnie wpływ na całą branżę dronów – od tanich zabawek po drogi, profesjonalny sprzęt – ponieważ drony i jednostki sterujące wykorzystują protokoły przesyłania danych, które są podatne na ten sam rodzaj ataku. Chociaż mocniejsze szyfrowanie może rozwiązać ten problem, niestety sprawa nie jest taka prosta, ponieważ wiele jednostek sterujących nie obsługuje aktualizacji oprogramowania. Ponadto mocne szyfrowanie wymaga znacznej mocy obliczeniowej, co prowadzi do dodatkowego zużycia energii przez jednostkę sterującą oraz drona.

Ataki hakerskie na drony mogą wydawać się wyolbrzymionym zagrożeniem, jednak wykorzystywanie dronów nie należy już do aktywności niszowych. W grudniu zeszłego roku Amazon testował stosowanie dronów w dostarczaniu paczek

Przegląd coraz większych zagrożeń związanych z urządzeniami Internetu Rzeczy, jak również porady dotyczące zabezpieczenia się przed szkodliwym oprogramowaniem IoT można znaleźć w tym miejscu

Od wyłudzeń do ExPetra

Zagrożenie związane z oprogramowaniem ransomware wciąż wzrasta. W okresie kwiecień 2016 – marzec 2017 zablokowaliśmy tego rodzaju oprogramowanie na komputerach należących do 2 581 026 klientów Kaspersky Lab. Jest to o 11,4% więcej w stosunku do poprzednich 12 miesięcy. Pełny raport dot. incydentów ransomware w latach 2016-2017 jest dostępny w tym miejscu, poniżej natomiast przedstawiamy kilka kluczowych trendów. 

  • Model oparty na wyłudzeniach nadal będzie stosowany, obserwujemy coraz większą konkurencję między ugrupowaniami wykorzystującymi ransomware. Atakowane są państwa, które wcześniej nie stanowiły celu tego rodzaju ataków – w których mieszkańcy są słabiej przygotowani na odparcie takiego zagrożenia.   
  • Obserwujemy coraz bardziej ukierunkowane ataki z użyciem oprogramowania ransomware – po prostu dlatego, że ataki na firmy przynoszą większe zyski.
  • Oprogramowanie ransomware staje się coraz bardziej wyrafinowane i zróżnicowane, oferując wiele gotowych rozwiązań tym, którzy posiadają niewielkie umiejętności, zasoby czy mało czasu – poprzez coraz większy i coraz sprawniejszy ekosystem podziemia.
  • Powstanie infrastruktury typu criminal-to-criminal, która napędza rozwój łatwych do zastosowania doraźnych narzędzi wykorzystywanych do przeprowadzania ataków ukierunkowanych i wyłudzania pieniędzy, sprawiając, że ataki stają się bardziej rozproszone.
  • Coraz większego znaczenia nabiorą globalne inicjatywy mające na celu ochronę ludzi przed oprogramowaniem ransomware kryptograficznym, takie jak No More Ransom.

W maju miała miejsce największa epidemia oprogramowania ransomware w historii - WannaCry. Najwięcej ataków przeprowadzono w Rosji, jednak ofiary znajdowały się również na Ukrainie, w Indiach, Tajwanie i wielu innych państwach. Łącznie epidemia ta dotknęła 74 kraje. Szkodnik rozprzestrzeniał się bardzo szybko – w ciągu zaledwie jednego dnia odnotowaliśmy ponad 45 000 infekcji (Europol oszacował później, że ofiarą WannaCry padło ponad 200 000 osób).   

8_auto.png

WannaCry rozprzestrzeniał się za pośrednictwem exploita dla systemu Windows o nazwie „EternalBlue”, który wykorzystywał lukę załataną przez Microsoft w ramach aktualizacji bezpieczeństwa MS17-010. Aktualizacja ta została udostępniona 14 marca, miesiąc przed opublikowaniem tego exploita przez „Shadow Brokers”. Niestety wiele organizacji nie załatało swoich systemów, dzięki czemu osoby atakujące mogły uzyskać zdalny dostęp do systemów korporacyjnych. Następnie szkodnik rozprzestrzenił się do innych niezałatanych komputerów w sieci.    

Podobnie jak inne programy kryptograficzne, WannaCry szyfruje pliki na zainfekowanym komputerze i żąda okupu w zamian za ich odszyfrowanie.  

9_auto.png

Osoby atakujące żądały początkowo 300 dolarów, jednak kwota ta wzrosła do 600 dolarów w miarę rozwijania się epidemii. Aby ofiary nie mogły przeoczyć ostrzeżenia, szkodliwe oprogramowanie zmieniało tapetę i załączało instrukcje dotyczące zlokalizowania pobranego przez siebie narzędzia deszyfrującego.  

10_auto.png

Z naszego badania wynika, że jakość kodu WannaCry jest słaba, a jego twórcy popełnili wiele błędów, dzięki czemu wielu właścicieli zainfekowanych urządzeń mogło odzyskać dane zaszyfrowane przez ransomware. Sposób, w jaki osoby atakujące obsługiwały wpłaty okupu, ograniczył ich możliwości zarobku. Dokonano wielu prób śledzenia transakcji do portfeli bitcoin wykorzystywanych przez osoby atakujące. Chociaż szacunkowe dochody cyberprzestępców różnią się, jest to raczej kwota rzędu dziesiątek tysięcy nie setek.   

Kształtowanie się liczby ataków w pierwszym tygodniu pokazuje, jak istotne w zwalczaniu tego zagrożenia są działania z zakresu cyberbezpieczeństwa.

11_auto.png

Niemałe znaczenie miało tu odkrycie “wyłącznika”. Na początku kodu znajduje się specjalna procedura sprawdzania. Szkodnik próbuje połączyć się z zakodowaną na sztywno stroną internetową: jeśli połącznie nie powiedzie się, atak będzie kontynuowany, jeśli zostanie nawiązanie, kod zakończy działanie. Poprzez zarejestrowanie tej domeny i wskazanie jej serwerowi leja (sink-hole), brytyjski badacz zdołał spowolnić infekcję robaka.

Kilka dni po wybuchu epidemii Neel Mehta, badacz z Google, opublikował tajemniczy tweet z hashtagiem  #WannaCryptAttribution wskazując na podobieństwo między dwiema próbkami kodu. Jedną z nich była próbka WannaCry z lutego 2017 roku, która przypominała wczesny wariant tego robaka. Drugą była próbka Lazarus z lutego 2017 r. Kaspersky Lab oraz inne firmy potwierdziły podobieństwo. Jest jednak zbyt wcześnie, aby z całą pewnością stwierdzić, że WannaCry stanowi dzieło ugrupowania Lazarus – niezbędne są dalsze badania, które pokażą, czy wszystkie elementy pasują do siebie.      

Nasz pierwotny post na blogu można znaleźć w tym miejscu, często zadawane pytania (FAQ) – tutaj, natomiast porównanie próbek WannaCry i Lazarus – tutaj.

Pod koniec czerwca pojawiły się doniesienia o nowej fali ataków ransomware. Szkodliwe oprogramowanie, które określiliśmy jako ExPetr (a które znane jest również jako Petya, Petrwrap oraz NotPetya) atakowało głównie firmy na Ukrainie, w Rosji i Europie – łącznie około 2 000.

12_auto.png

ExPetr wykorzystuje zmodyfikowaną wersję exploita EternalBlue jak również innego exploita, który stał się publicznie znany za sprawą grupy Shadow Brokers, określanego jako „EternalRomance”. Szkodnik ten rozprzestrzeniał się jako aktualizacja dla MeDoc – ukraińskiej aplikacji księgowej – oraz za pośrednictwem tzw. ataków przy wodopoju (watering-hole). Po przeniknięciu do atakowanej organizacji ransomware wykorzystuje niestandardowe narzędzia w celu uzyskania danych uwierzytelniających z procesu ‘lsass.exe’ i przekazuje je do narzędzi PsExec i WMIC w celu dalszego rozprzestrzeniania w sieci.      

Szkodnik czeka od 10 minut do godziny, żeby uruchomić ponownie komputer, a następnie szyfruje tabelę MFT w partycjach NTFS, nadpisując MBR spersonalizowanym modułem ładującym zawierającym żądanie okupu.  

13_auto.png

ExPetr szyfruje pliki oraz MFT. Osoby atakujące żądają 300 dolarów w bitcoinach w zamian za klucz pozwalający odszyfrować zaszyfrowane dane, które należy wpłacić na konto w bitcoinach. Teoretycznie – w przeciwieństwie do WannaCry – technika ta mogła zadziałać, ponieważ osoby atakujące prosiły ofiary o przesłanie swoich numerów portfela pocztą e-mail na ‘wowsmith123456@posteo.net’, potwierdzając w ten sposób transakcję. Jednak to konto e-mail zostało szybko zamknięte, ograniczając cyberprzestępcom zakres możliwości zarabiania pieniędzy.       

Na podstawie dalszej analizy procedury szyfrowania doszliśmy do wniosku, podobnie jak inni badacze, że osoby atakujące nie są w stanie odszyfrować dysków ofiar, nawet jeśli zostanie zapłacony okup. Sugeruje się nawet, że może istnieć związek między programami ransomware ExPetr oraz BlackEnergy KillDisk z lat 2015 i 2016.  

ExPetr nie był jedynym oprogramowaniem ransomware rozprzestrzenianym za pośrednictwem aktualizacji MeDoc 27 czerwca. W tym samym czasie dystrybuowany był inny program ransomware, który nazwaliśmy FakeCry. Z naszych danych wynika, że szkodnik ten rozprzestrzenił się do 90 organizacji i niemal wszystkie z nich znajdowały się na Ukrainie.   

Chociaż interfejs i komunikaty przypominają WannaCry, mamy tu do czynienia z całkowicie inną rodziną szkodliwego oprogramowania. Uważamy, że FakeCry miał w zamyśle działać jako tzw. „fałszywa bandera”. Jedną z najciekawszych kwestii jest to, czy istnieje powiązanie między FakeCry i ExPetr – o czym świadczyłby fakt, że oba programy były rozprzestrzeniane w tym samym czasie za pośrednictwem aktualizacji dla MeDoc.      

Poniżej przedstawiamy zalecenia dotyczące ochrony przed atakami z wykorzystaniem oprogramowania ransomware

  • Stosuj niezawodny pakiet ochrony przed szkodliwymi programami zawierający ochronę przed oprogramowaniem ransomware (np. Kontrola systemu firmy Kaspersky Lab).
  • Stosuj aktualizacje bezpieczeństwa dla systemu operacyjnego i aplikacji, jak tylko są dostępne. 
  • Nie otwieraj załączników ani nie klikaj odsyłaczy pochodzących z niezaufanych źródeł.
  • Twórz kopię zapasową istotnych danych na nośniku zewnętrznym i przechowuj ją offline.
  • Nigdy nie płać okupu. To nie tylko sprowokuje kolejną falę ataków ransomware, ale również w żaden sposób nie zagwarantuje, że cyberprzestępcy przywrócą twoje dane.