Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2013. Zagrożenia korporacyjne

Tagi:

Spis treści

  1. Motywy
  2. Atakowane organizacje
  3. Przygotowywanie ataku
  4. Techniki włamań
  5. Technologie
  6. Co jest kradzione
  7. Powstanie cybernajemników
  8. Konsekwencje ujawniania informacji

Liczba poważnych cyberataków wykrytych na przestrzeni ostatnich dwóch lat zwiększyła się do tego stopnia, że nowe ataki rzadko stanowią niespodziankę. Publikowanie przez firmy z branży antywirusowej raportów dotyczących wykrycia kolejnego botnetu lub wysoce wyrafinowanej kampanii wykorzystującej szkodliwe oprogramowanie, której celem jest gromadzenie danych, nie należy dzisiaj do rzadkości.

Firmy coraz częściej padają ofiarą cyberataków. Według badania przeprowadzonego przez Kaspersky Lab i B2B International, 91% badanych organizacji doświadczyło cyberataku przynajmniej jeden raz w ciągu 12 miesięcy, natomiast 9% padło ofiarą ataków ukierunkowanych.

corporate_threats_01_auto.png

Powszechne wykorzystywanie komputerów i innych urządzeń cyfrowych we wszystkich dziedzinach biznesu tworzy idealne warunki dla programów cyberszpiegowskich i szkodliwego oprogramowania potrafiącego kraść dane korporacyjne. Potencjał jest tak wielki, że kradzież informacji firmowych może być wkrótce przeprowadzana wyłącznie przez szkodliwe programy, które całkowicie zastąpią pod tym względem złodziei będących pracownikami danej firmy. To jednak nie koniec zagrożeń, na jakie jest narażony sektor korporacyjny. Zależność od niezawodnego działania komputerów oraz łączących je kanałów oznacza, że cyberprzestępcy mają do dyspozycji cały wachlarz innych sposobów atakowania firm przy użyciu destrukcyjnych programów, od programów szyfrujących (encryptor) i służących do usuwania plików/folderów (shredder), które rozprzestrzeniają się jak plaga w środowisku korporacyjnym, po armię zombie, która pochłania wszystkie dostępne zasoby na serwerach sieciowych oraz w sieciach wymiany danych.    

Motywy

  1. Kradzież informacji. Kradzież cennych danych korporacyjnych, tajemnic handlowych, osobistych danych personelu i klientów oraz monitorowanie działalności firmy – takie są najczęstsze cele przyświecające firmom, które zwracają się do cyberprzestępców, aby przeniknęli sieci ich konkurencji lub agencji rządowych.        
  2. Usunięcie danych lub zablokowanie działania infrastruktury. Niektóre szkodliwe programy są wykorzystywane do przeprowadzania swoistego sabotażu – niszczenia krytycznych danych lub zakłócania firmowej infrastruktury technicznej. Przykładem mogą być trojany Wiper i Shamoon, które nieodwracalnie usuwają dane systemowe ze stacji roboczych i serwerów.
  3. Kradzież pieniędzy. Firmy mogą ponieść straty finansowe na skutek aktywności wyspecjalizowanych programów trojańskich, które potrafią kraść pieniądze za pośrednictwem systemów bankowości online lub przeprowadzają ataki ukierunkowane na wewnętrzne zasoby centrów przetwarzania danych.
  4. Zszarganie reputacji firmy. Szkodliwi użytkownicy biorą na celownik odnoszące sukcesy firmy oraz oficjalne strony internetowe posiadające dużą liczbę klientów i odwiedzających, zwłaszcza z sektora usług internetowych. Zhakowana strona korporacyjna, która przekierowuje odwiedzających do szkodliwych zasobów, szkodliwych banerów reklamowych lub banerów wyświetlających manifesty polityczne może wyrządzić znaczące szkody na reputacji takiej firmy w oczach jej klientów. Inne poważne ryzyko dotyczące reputacji wiąże się z kradzieżą certyfikatów cyfrowych. Utrata certyfikatów lub włamanie do infrastruktury certyfikatów cyfrowych może w niektórych przypadkach prowadzić do całkowitego podważenia zaufania do publicznych centrów certyfikacji, a w konsekwencji do zamknięcia placówki.      
  5. Straty finansowe. Popularną metodą wyrządzania bezpośrednich szkód firmie lub organizacji jest poddawanie jej atakom DDoS. Cyberprzestępcy nieustannie wymyślają nowe sposoby przeprowadzania takich działań. Atak DDoS na dostępny publicznie zasób sieciowy firmy może spowodować wyłączenie go na kilka dni. W takich przypadkach klienci nie tylko nie mają dostępu do usług firmy – co prowadzi do bezpośrednich strat finansowych dla firmy – ale zaczynają rozglądać się za bardziej wiarygodnym dostawcą, co powoduje uszczuplenie bazy klientów i długotrwałe straty finansowe.   

W 2013 roku wzrosła popularność ataków DNS Amplification, w których szkodliwi użytkownicy, przy użyciu botnetów, wysyłają powtarzające się zapytania do serwerów DNS, które z kolei kierują odpowiedzi do atakowanego systemu. Taką taktykę zastosowano w jednym z najpoważniejszych ataków  DDoS tego roku – ataku na stronę  Spamhaus.

Atakowane organizacje

Jeżeli chodzi o masową dystrybucję szkodliwych programów, jej celem może stać się każda firma. Znane trojany bankowe, takie jak ZeuS i SpyEye, mogą przeniknąć do komputerów nawet niewielkich organizacji komercyjnych, powodując utratę pieniędzy i własności intelektualnej.

Z drugiej strony, znane są liczne przypadki dokładnie zaplanowanej aktywności, której celem jest zainfekowanie infrastruktury sieciowej określonej organizacji lub osoby. Wyniki naszego badania pokazują, że w 2013 roku wśród ofiar takich ukierunkowanych ataków znalazły się firmy z branży naftowej i telekomunikacyjnej, centra naukowo-badawcze oraz firmy działające w takich sektorach, jak przestrzeń kosmiczna, przemysł stoczniowy oraz inne branże hi-tech.    

Przygotowanie ataku

Cyberprzestępcy dysponują dużym arsenałem wyrafinowanych narzędzi, przy pomocy których mogą przeniknąć sieci korporacyjne. Planowanie ataku ukierunkowanego na firmę może trwać kilka miesięcy. Po tym czasie zostaną wyczerpane wszystkie dostępne taktyki, począwszy od socjotechniki, a skończywszy na exploitach dla nieznanych luk w oprogramowaniu.

Osoby atakujące skrupulatnie sprawdzają profil atakowanej firmy, jej publiczne zasoby, strony internetowe, profile pracowników na portalach społecznościowych, ogłoszenia i wyniki różnych prezentacji, wystaw itd. w poszukiwaniu wszelkich użytecznych informacji. Podczas planowania strategii ataku, a następnie kradzieży danych, cyberprzestępcy mogą badać infrastrukturę sieciową firmy, zasoby sieciowe oraz centra komunikacji.   

Planując atak, cyberprzestępcy mogą stworzyć fałszywą stronę zawierającą szkodliwe oprogramowanie, która stanowi dokładną kopię witryny atakowanej firmy, i zarejestrować ją z podobną nazwą domeny. Strona ta zostanie następnie wykorzystana do zmylenia użytkowników i zainfekowania ich komputerów. 

Techniki włamań

Jedną z najpopularniejszych technik „wprowadzenia” szkodliwego oprogramowania do sieci korporacyjnych w 2013 r. było wysyłanie pracownikom firm e-maili zawierających szkodliwe załączniki. Zawarte w tych e-mailach dokumenty często posiadały popularne formaty: Word, Excel lub PDF. W przypadku otwarcia załączonego pliku, została wykorzystana luka w oprogramowaniu – jeżeli istniała – i system został zainfekowany szkodliwym programem.   

Słabe ogniwo

Odbiorcami szkodliwych e-maili często są pracownicy, którzy muszą regularnie komunikować się z osobami spoza swojej struktury korporacyjnej. Nierzadko osoby te pracują w dziale PR. 

Również działy zajmujące się zatrudnianiem nowych pracowników otrzymują mnóstwo e-maili od użytkowników zewnętrznych. Cyberprzestępca może udawać potencjalnego kandydata do pracy i wysłać CV w zainfekowanym pliku PDF. Naturalnie, plik zostanie otwarty przez pracownika działu HR i jeśli na jego komputerze znajduje się luka w zabezpieczeniach, maszyna zostanie zainfekowana.    

Działy finansowe mogą również dostawać szkodliwe wiadomości zamaskowane jako prośby lub żądania z urzędu skarbowego, natomiast działy prawne - wiadomości, które wydają się pochodzić od organów sądowych, policji lub innych agencji rządowych.

Socjotechnika

Treść wiadomości ma na celu wzbudzenie ciekawości pracownika, do którego jest adresowana, i dotyczy jego obowiązków zawodowych lub ogólnie branży, w której działa firma.  Na przykład, w ramach jednego ataku ukierunkowanego grupa hakerska Winnti wysłała wiadomości prywatnym producentom gier wideo, proponując potencjalną współpracę:

corporate_threats_02_auto.png

Oprogramowanie spyware o nazwie Miniduke było rozprzestrzeniane w liście dotyczącym planów Ukrainy w zakresie polityki zagranicznej oraz stosunków Ukraina – NATO:

corporate_threats_03.png

Luki w zabezpieczeniach i exploity

Cyberprzestępcy aktywnie wykorzystują exploity dla znanych luk w zabezpieczeniach oprogramowania.

Sławny szkodnik o nazwie Red October wykorzystywał co najmniej trzy różne exploity dla znanych luk w zabezpieczeniach pakietu Microsoft Office: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) oraz CVE-2012-0158 (MS Word). Nettraveler wykorzystywał exploita dla luki CVE-2013-2465,  która znajduje się w wersjach 5, 6 i 7; dziura ta została załatana przez Oracle dopiero w czerwcu 2013 r.  

Jednak najgroźniejsze są tzw. luki zero-day, czyli dziury, których producent oprogramowania nie jest jeszcze świadomy. Cyberprzestępcy aktywnie przeszukują popularne programy w celu znalezienia nieznanych luk i tworzą dla nich exploity. Jeżeli oprogramowanie zawiera taką lukę, zostanie ona najprawdopodobniej wykorzystana.   

Technologie

Cyberprzestępcy nieustannie udoskonalają szkodliwe oprogramowanie, wykorzystując niekonwencjonalne podejście i rozwiązania w celu kradzieży informacji.

Red October, po zagnieżdżeniu się w systemie, działał jako wielofunkcyjna platforma modułowa. W zależności od założonego celu dodawał do zainfekowanego systemu różne moduły. Każdy z tych modułów wykonywał określony zestaw działań: od gromadzenia informacji na temat zainfekowanego komputera oraz jego infrastruktury sieciowej po kradzież różnych haseł, rejestrowanie wciskanych klawiszy, samodzielne rozprzestrzenianie się, wysyłanie skradzionych informacji itp.  

Warto wspomnieć, że cyberprzestępcy wykorzystali również rozwój technologii mobilnych i rozpowszechnienie urządzeń przenośnych w środowiskach korporacyjnych. Współczesny smartfon lub tablet to w rzeczywistości pełnoprawny komputer przechowujący ogromną ilość danych, przez co stanowi potencjalny cel cyberprzestępców. Twórcy szkodnika Red October opracowali wyspecjalizowane moduły określające, kiedy smartfony działające pod kontrolą systemu Apple iOS, Windows Mobile oraz telefony komórkowe produkowane przez firmę Nokia łączą się z zainfekowaną stacją roboczą, kopiują z niej dane i wysyłają je na serwer kontroli (C&C).   

Twórcy zagrożenia Kimsuky zintegrowali ze swoim szkodnikiem cały moduł potrafiący zdalnie zarządzać zainfekowanymi systemami. Co ciekawe, uczynili to z pomocą TeamViewera, legalnego narzędzia do zdalnego zarządzania, poprzez wprowadzenie niewielkich modyfikacji do jego kodu. Dzięki temu operatorzy mogli ręcznie połączyć się z zainfekowanymi komputerami w celu zebrania i skopiowania interesujących ich informacji.

Grupa hakerska Winnti ukradła certyfikaty cyfrowe z korporacyjnych sieci producentów gier online i wykorzystała je do podpisania swojego szkodliwego sterownika, infekując następnie inne firmy. Certyfikat cyfrowy został skradziony między innymi z południowokoreańskiej firmy  KOG. Poinformowaliśmy firmę o kradzieży i fałszywy certyfikat został anulowany.

Poniżej anulowany certyfikat:

corporate_threats_04_auto.png

Ponadto, 64-bitowy kod szkodnika zawierał moduł w pełni funkcjonalnego trojana. Jest to pierwszy znany nam przypadek wykorzystania 64-bitowego szkodliwego programu z ważnym podpisem cyfrowym należącym do legalnej firmy.

Program spyware o nazwie Miniduke wykorzystywał Twittera do otrzymywania informacji z serwerów kontroli (C&C). Operatorzy Miniduke’a wykorzystywali specjalne konta w celu publikowania specjalnie stworzonych tweetów, które obejmowały zaszyfrowany adres URL serwera kontroli. 

corporate_threats_05.png

Trojan czytał Twittera na zainfekowanym komputerze i wykorzystywał adres do łączenia się z centrum kontroli.

Co jest przedmiotem kradzieży

Cyberprzestępców interesuje kradzież wszelkiego rodzaju informacji. Może to być przełomowa technologia rozwijana przez firmy i instytuty badawcze, kody źródłowe oprogramowania, dokumenty finansowe i prawne, informacje osobiste dotyczące pracowników i klientów oraz wszelkie inne informacje, które mogą stanowić tajemnicę handlową. Tego rodzaju informacje często są pisane czystym tekstem i przechowywane w sieciach korporacyjnych w formie dokumentów elektronicznych, dokumentów roboczych, raportów, rysunków, prezentacji, obrazów itd.    

Jak pisaliśmy wcześniej, cyberprzestępcy stosują różne podejścia do gromadzenia danych. Niektóre szkodliwe programy zbierają praktycznie wszystkie rodzaje dokumentów elektronicznych. Na przykład, Red October był zainteresowany dokumentami w formatach txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau itp. i wysyłał je wszystkie do serwerów kontroli.  

Inne podejście, które zidentyfikowaliśmy na przykładzie Kimsuky i Icefog, polega na ręcznej analizie danych przechowywanych w sieciach korporacyjnych przy użyciu technologii zdalnego dostępu, które są zintegrowane w szkodliwym oprogramowaniu znajdującym się na zainfekowanych stacjach roboczych, a następnie kopiowaniu dokumentów poszukiwanych przez lub stanowiących wartość dla cyberprzestępców. Przeprowadzając takie ataki, cyberprzestępcy uwzględniają wszystkie dane dotyczące atakowanej firmy i dokładnie wiedzą, jakie formaty danych są w niej wykorzystywane i jakie rodzaje informacji są tam przechowywane. A zatem, podczas ataków Kimsuky i Icefog firmy, które stanowiły cel tych szkodników, utraciły dokumenty specyficzne dla ich działalności, przechowywane w formacie HWP, który jest powszechnie wykorzystywany w Korei Południowej.  

Powstanie cybernajemników

Podczas analizy najnowszych ataków ukierunkowanych doszliśmy do wniosku, że wyłoniła się nowa kategoria osób atakujących. Określamy ich mianem cybernajemników. Są to zorganizowane grupy wysoce wykwalifikowanych hakerów, którzy mogą zostać wynajęci przez rządy lub prywatne firmy w celu zorganizowania i przeprowadzenia złożonych, skutecznych ataków ukierunkowanych, których celem jest kradzież informacji oraz niszczenie danych lub infrastruktury. 

Cybernajemnicy otrzymują kontrakt, w którym wyszczególnione są cele i znajduje się opis zadania do wykonania, po czym zaczynają staranne przygotowania do ataku i przeprowadzają go. O ile wcześniejsze ataki były przeprowadzane w celu kradzieży wszystkich rodzajów informacji, obecnie cybernajemnicy  dążą do zdobycia bardzo konkretnych dokumentów lub kontaktów osób, które mogą znajdować się w posiadaniu poszukiwanych informacji.   

W 2013 roku badaliśmy aktywność grupy cybernajemników Icefog, która przeprowadzała ataki ukierunkowane pod tą samą nazwą. Podczas badania udało nam się zlokalizować dziennik aktywności operatora Icefoga, w którym wyszczególnione były wszystkie aktywności związane z atakiem. Z dziennika tego wynikało, że cyberprzestępcy nie tylko dobrze znają język chiński, koreański i japoński, ale również wiedzą dokładnie, gdzie szukać informacji, które ich interesują.

Konsekwencje ujawniania informacji

W 2013 roku zostały ujawnione informacje o atakach przeprowadzonych przy użyciu oprogramowania spyware związanych, bezpośrednio lub pośrednio, z działalnością różnych rządów. Rewelacje te mogłyby potencjalnie spowodować utratę zaufania do globalnych serwisów oraz korporacji i większego zainteresowania stworzeniem krajowych odpowiedników globalnych serwisów. Mogłoby to prowadzić do swoistej deglobalizacji, powodując rosnące zapotrzebowanie na technologie informacyjne w ogóle, a jednocześnie fragmentację użytkowników globalnej sieci i swego rodzaju segmentację serwisów online. W wielu państwach istnieją lokalne wersje globalnych serwisów, łącznie z krajowymi wyszukiwarkami, serwisami pocztowymi, krajowymi komunikatorami, a nawet lokalnymi portalami społecznościowymi.     

Tę rosnącą liczbę nowych krajowych produktów w postaci oprogramowania i usług oferują krajowi producenci. Firmy te mają zwykle mniejsze rozmiary i budżety niż liderzy na globalnym rynku. W efekcie, ich produkty mogą nie być tak wysokiej jakości jak te oferowane przez większe międzynarodowe korporacje. Nasze doświadczenie w zakresie badania cyberataków sugeruje, że im mniejszy i mniej doświadczony twórca oprogramowania, tym więcej luk w zabezpieczeniach zostanie wykrytych w kodzie. W rezultacie, ataki ukierunkowane stają się łatwiejsze i bardziej efektywne.   

Co więcej, ponieważ państwa przejmują inicjatywę w kontrolowaniu zasobów informacyjnych i sprzętowych, niektóre z nich mogą prawnie obligować lokalne firmy do wykorzystywania krajowych produktów w postaci oprogramowania lub serwisów online, co w konsekwencji może wpłynąć również na bezpieczeństwo sektora korporacyjnego.