Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Największe incydenty i kluczowe trendy w dziedzinie cyberprzestępczości w 2018 r.

Tagi:

Wprowadzenie

Internet stanowi obecnie integralną część naszego życia. Wiele osób regularnie korzysta z bankowości, robi zakupy i utrzymuje kontakty społeczne online. Internet to również fundament organizacji handlowych. Zależność rządów, biznesu oraz klientów od technologii daje ogromne pole do popisu osobom atakującym, którymi kierują różne pobudki. Może to być kradzież finansowa, kradzież danych, chęć spowodowania zakłóceń czy wyrządzenia szkody, w tym szkody wizerunkowej. Nie brak również osób, dla których motywem jest po prostu chęć zabawy. Rezultatem jest krajobraz zagrożeń, który obejmuje zarówno wysoce wyrafinowane ataki ukierunkowane jak i cyberprzestępczość oportunistyczną. Oba te rodzaje zagrożeń często wykorzystują manipulowanie ludzką psychiką w celu naruszenia bezpieczeństwa całych systemów lub indywidualnych komputerów. Coraz częściej wśród atakowanych urządzeń znajdują się również te, które nie zaliczamy do komputerów – od zabawek dziecięcych po kamery bezpieczeństwa. Przedstawiamy nasze coroczne podsumowanie największych incydentów i kluczowych trendów w 2018 roku.        

Kampanie ataków ukierunkowanych

Podczas tegorocznego Szczytu Analityków Bezpieczeństwa mówiliśmy o Slingshot, wyrafinowanej platformie cyberszpiegowskiej, która od 2012 r. była wykorzystywana do atakowania celów na Bliskim Wschodzie i w Afryce. Zagrożenie to – które pod względem złożoności konkuruje z Regin oraz ProjectSauron – wykryliśmy podczas badania incydentu. Slingshot stosuje nietypowy (o ile nam wiadomo, również unikatowy) wektor ataków: wiele spośród ofiar zostało zaatakowanych przy użyciu zhakowanych ruterów MikroTik. Dokładna metoda złamania bezpieczeństwa ruterów nie jest znana, wiadomo jednak, że osoby atakujące znalazły sposób na dodanie do urządzenia szkodliwej biblioteki DLL. Jest to w rzeczywistości downloader pobierający inne szkodliwe pliki, które są następnie przechowywane na ruterze. Gdy administrator systemu loguje się w celu skonfigurowania rutera, oprogramowanie zarządzające ruterem pobiera i uruchamia na jego komputerze szkodliwy moduł. Slingshot ładuje wiele modułów na zaatakowanym komputerze, jednak dwa najważniejsze to Cahnadr i GollumApp (jest to odpowiednio moduł jądra i moduł trybu użytkownika). Razem pozwalającą one zapewnić długotrwałą obecność w systemie, zarządzać systemem plików, wyprowadzić dane i komunikować się z serwerem kontroli. Badane przez nas próbki były oznaczone jako „wersja 6.x”, sugerując, że zagrożenie to istniało już od dłuższego czasu. Czas, umiejętności oraz koszty wymagane do stworzenia platformy Slingshot świadczą o tym, że stojące za nią ugrupowanie jest prawdopodobnie wysoce zorganizowane i profesjonalne oraz sponsorowane przez rząd.           

Tuż po inauguracji Zimowej Olimpiady w Pjongczang zaczęliśmy otrzymywać raporty dotyczące ataków szkodliwego oprogramowania na związaną z olimpiadą infrastrukturę. Olympic Destroyer wyłączył monitory, odciął sieć Wi-Fi i spowodował awarię strony internetowej olimpiady – uniemożliwiając widzom wydrukowanie biletów. Atak dotknął również inne organizacje w regionie – np. w wielu ośrodkach narciarskich w Korei Południowej nie działały bramy i wyciągi narciarskie. Olympic Destroyer to robak sieciowy, którego głównym celem jest skasowanie plików ze zdalnych udziałów sieciowych swoich ofiar. Zespoły badawcze oraz firmy z branży mediów z całego świata przypisywały ten atak różnym państwom, takim jak Rosja, Chiny oraz Korea Północna. Opierały się w swych wyrokach na różnych cechach, które wcześniej przypisywano ugrupowaniom stosującym cyberszpiegostwo oraz sabotaż, rzekomo zlokalizowanym w wymienionych wyżej państwach lub pracującym dla ich rządów. Nasi badacze również próbowali ustalić, które ugrupowanie stało za atakiem Olympic Destroyer. Na pewnym etapie badań odkryliśmy coś, co wydawało się wskazywać na ugrupowanie Lazarus. Znaleźliśmy unikatowy ślad pozostawiony przez osoby atakujące, który idealnie pasował do znanego wcześniej komponentu szkodliwego oprogramowania grupy Lazarus. Jednak brak wyraźnego motywu i niezgodności ze znanymi taktykami, technikami i procedurami (ang. TTP) grupy Lazarus, jakie zidentyfikowaliśmy podczas naszego dochodzenia na miejscu w zaatakowanym obiekcie w Korei Południowej, skłoniły nas do ponownego przyjrzenia się temu artefaktowi. Wówczas odkryliśmy, że zestaw funkcji nie pasował do kodu – został sfałszowany, tak aby idealnie pasował do „odcisku palca” pozostawionego przez Lazarus. Doszliśmy więc do wniosku, że ów „odcisk palca” stanowił nic innego jak niezwykle wyrafinowaną fałszywą flagę celowo umieszczoną wewnątrz szkodliwego oprogramowania, aby osoby polujące na zagrożenia były przekonane, że znalazły „dowód winy”, i zrezygnowały z dokładniejszej identyfikacji. 

181130-kaspersky-security-bulletin-2018-

Związki pomiędzy komponentami OlympicDestroyer

 

Podczas dalszego monitorowania działań opisywanego ugrupowania APT zauważyliśmy w czerwcu, że rozpoczęło ono nową kampanię charakteryzującą się innym zasięgiem geograficznym oraz nowymi tematami. Nasza telemetria jak również cechy przeanalizowanych przez nas dokumentów spear-phishingowych wskazywały na to, że ugrupowanie odpowiedzialne za Olympic Destroyer wzięło na celownik organizacje finansowe oraz związane z branżą biotechnologii, zlokalizowane w Europie, głównie w Rosji, Holandii, Niemczech, Szwajcarii oraz na Ukrainie. Wcześniejsze ataki Olympic Destroyer – mające na celu zniszczenie i sparaliżowanie infrastruktury Zimowych Igrzysk Olimpijskich i związanych z nimi łańcuchów dostaw, partnerów oraz miejsc – były poprzedzane rekonesansem. Na tej podstawie wywnioskowaliśmy, że nowa aktywność stanowi w rzeczywistości kolejną operację rekonesansu, po której nastąpi fala destrukcyjnych ataków. Szeroki wachlarz celów finansowych i niefinansowych mógł sugerować, że to samo szkodliwe oprogramowanie jest wykorzystywane przez kilka grup realizujących różne interesy. Ale mógł też  świadczyć o outsourcingu cyberataków, który nie jest rzadkością wśród ugrupowań cyberprzestępczych sponsorowanych przez rządy. Z drugiej strony, nie można również wykluczyć, że cele finansowe stanowią kolejną operację fałszywej flagi przeprowadzoną przez ugrupowanie przestępcze, które udowodniło już, że celuje w tej dziedzinie.             

W kwietniu informowaliśmy o działaniach w ramach Operation Parliament - kampanii cyberszpiegowskiej wymierzonej przeciwko znanym organizacjom legislacyjnym, wykonawczym oraz sądowniczym na całym świecie, skoncentrowanej głównie na regionie Bliskiego Wschodu i Afryki Północnej, w szczególności Palestynie. Celem ataków, które rozpoczęły się na początku 2017 r., były parlamenty, senaty, najwyższe urzędy i urzędnicy państwowi, naukowcy w dziedzinie politologii, agencje wojskowe i wywiadowcze, ministerstwa, placówki związane z branżą mediów, centra badawcze, komisje wyborcze, organizacje olimpijskie, duże firmy handlowe itd. Pod względem atakowanych ofiar kampania ta różniła się całkowicie od wcześniejszych kampanii w tym regionie (Gaza Cybergang lub Desert Falcons), a same ataki poprzedzane były staranną operacją gromadzenia informacji (w formie fizycznej i/lub cyfrowej). Osoby atakujące starannie weryfikowały urządzenia ofiar, zanim przeszły do infekcji, zabezpieczając swoje serwery kontroli. Na początku 2018 r. ataki odnotowały spowolnienie – był to prawdopodobnie znak, że osoby atakujące osiągnęły swoje cele.              

181130-kaspersky-security-bulletin-2018-

W 2018 r. nadal śledziliśmy działania Crouching Yeti (znanego również jako Energetic Bear) - ugrupowania APT, które jest aktywne od co najmniej 2010 r., atakując głównie firmy z branży energetycznej i przemysłowej. Jego celem są organizacje z całego świata, głównie z Europy, Stanów Zjednoczonych oraz Turcji (to ostatnie państwo znalazło się w kręgach zainteresowania Crouching Yeti w latach 2016-17). Główne taktyki omawianego ugrupowania obejmują wysyłanie wiadomości phishingowych zawierających szkodliwe dokumenty oraz infekowanie serwerów, między innymi w celu hostowania narzędzi i dzienników oraz przeprowadzania tzw. ataków przy wodopoju (ang. watering-hole). Na temat działań Crouching Yeti wymierzonych w amerykańskie cele publicznie wypowiedział się amerykański zespół CERT oraz brytyjskie centrum NCSC (National Cyber Security Centre). W kwietniu zespół Kaspersky Lab ICS CERT przedstawił informacje dotyczące zidentyfikowanych serwerów, które zostały zainfekowane i były wykorzystywane przez Crouching Yeti. Pełny raport na ten temat jest dostępny w tym miejscu, poniżej natomiast znajduje się podsumowanie wyników.  

  1. Z nielicznymi wyjątkami, członkowie grupy ograniczają się do publicznie dostępnych narzędzi. Wykorzystywanie przez ugrupowanie publicznie dostępnych narzędzi w celu przeprowadzania ataków sprawia, że przypisanie takich ataków konkretnemu ugrupowaniu bez posiadania dodatkowych „identyfikatorów” ugrupowania jest niezwykle trudne.
  2. Każdy podatny na ataki serwer w internecie stanowi potencjalnie przedmiot zainteresowania osób atakujących, kiedy chcą ustanowić „punkt zaczepienia” pozwalający na dalsze ataki.
  3. W większości obserwowanych przez nas przypadków ugrupowanie wykonuje zadania związane z szukaniem luk w zabezpieczeniach, zapewnieniem długotrwałej obecności na różnych hostach oraz kradzieżą danych uwierzytelniających.  
  4. Zróżnicowanie ofiar może wskazywać na zróżnicowanie interesów osób atakujących.
  5. Można przyjąć z pewnym stopniem pewności, że ugrupowanie Crouching Yeti działa w interesie lub na zlecenie zewnętrznych klientów, przeprowadzając wstępne gromadzenie danych, dokonując kradzieży danych uwierzytelniających oraz zapewniając sobie długotrwałą obecność w zasobach, które umożliwiają dalsze przeprowadzanie ataku.  

W maju badacze z Cisco Talos opublikowali wyniki swojego badania dotyczącego VPNFilter, szkodliwego oprogramowania wykorzystywanego do infekowania ruterów różnych marek – głównie na Ukrainie, choć łącznie zainfekowane zostały rutery w 54 państwach. Ich analiza jest dostępna tutaj i tutaj. Początkowo badacze sądzili, że szkodliwe oprogramowanie zainfekowało około 500 000 ruterów - Linksys, MikroTik, Netgear oraz sprzęt sieciowy TP-Link w sektorze małych biur domowych oraz urządzeń NAS (network-attached storage) firmy QNAP. Później jednak okazało się, że lista zainfekowanych ruterów była znacznie dłuższa – obejmując w sumie 75 urządzeń takich firm jak ASUS, D-Link, Huawei, Ubiquiti, UPVEL oraz ZTE. Szkodnik potrafi zmienić zainfekowane urządzenie w tzw. cegłę, wykonać polecenia shell celem dalszej manipulacji, tworzyć konfigurację TOR w celu zapewnienia anonimowego dostępu do urządzenia lub konfigurować port proxy oraz URL proxy rutera w celu manipulowania sesjami przeglądarki. Ponadto rozprzestrzenia się do obsługiwanych przez urządzenie sieci, rozszerzając tym samym zasięg ataku. Badacze z naszego Globalnego zespołu ds. badań i analiz (GReAT) dokładnie przyjrzeli się mechanizmowi wykorzystywanego przez VPNFilter centrum kontroli (C2). Jednym z interesujących pytań jest to, kto stoi za tym szkodnikiem. Według Cisco Talos, jest to ugrupowanie cyberprzestępcze sponsorowane przez rząd lub powiązane z rządem. FBI typuje ugrupowanie Sofacy (znane również pod nazwą APT28, Pawn Storm, Sednit, STRONTIUM oraz Tsar Team). Kod w pewnym stopniu pokrywa się z kodem szkodliwego oprogramowania BlackEnergy wykorzystywanym we wcześniejszych atakach na Ukrainie.      

Sofacy to niezwykle aktywne i płodne ugrupowanie cyberszpiegowskie, które Kaspersky Lab śledzi od wielu lat. W lipcu opublikowaliśmy przegląd aktywności Sofacy w 2017 r. wskazujący na stopniowe odchodzenie tego ugrupowania od celów powiązanych z NATO na rzecz tych zlokalizowanych na Bliskim Wschodzie, w Azji Środkowej i innych regionach. Sofacy stosuje phishing ukierunkowany oraz tzw. ataki przy wodopoju w celu kradzieży informacji, w tym danych uwierzytelniających konta, poufnych wiadomości oraz dokumentów. Ugrupowanie to wykorzystuje również luki dnia zerowego w celu rozprzestrzeniania swojego szkodliwego oprogramowania.    

Sofacy stosuje różne narzędzia w zależności od profili celów. Na początku 2017 r. celem jego kampanii pod nazwą Dealer’s Choice były organizacje wojskowe i dyplomatyczne (wiele znajdowało się w krajach należących do NATO oraz na Ukrainie). Później ugrupowanie to wykorzystało inne narzędzia ze swojego arsenału - Zebrocy oraz SPLM - atakując szersze spektrum organizacji, w tym centra naukowe i inżynieryjne oraz serwisy prasowe, koncentrując się głównie na Azji Środkowej oraz Dalekim Wschodzie. Podobnie jak inne zaawansowane ugrupowania przestępcze, Sofacy nieustannie rozwija nowe narzędzia, utrzymuje wysoki poziom bezpieczeństwa operacyjnego i koncentruje swoje wysiłki na tym, aby jego szkodliwe oprogramowanie było trudne do wykrycia. Po wykryciu w sieci jakichkolwiek oznak aktywności zaawansowanego ugrupowania cyberprzestępczego takiego jak Sofacy należy zbadać loginy i nietypowy dostęp administratora w systemach, dokładnie przeskanować i umieścić w piaskownicy przychodzące załączniki, jak również stosować uwierzytelnianie dwuskładnikowe dla takich usług jak poczta e-mail i dostęp VPN. Wykorzystanie raportów dot. analizy ataków APT, narzędzi polowania na zagrożenia takich jak YARA oraz zaawansowanych rozwiązań wykrywania, takich jak KATA (Kaspersky Anti Targeted Attack Platform), pomoże zrozumieć, jakie są cele ataków tego ugrupowania, i zapewni skuteczne sposoby wykrywania jego aktywności.

Z naszych badań wynika, że Sofacy nie jest jedynym ugrupowaniem cyberprzestępczym działającym na Dalekim Wschodzie. W rezultacie, cele ataków różnych ugrupowań cyberszpiegowskich niekiedy pokrywają się. Zidentyfikowaliśmy przypadki, gdy szkodliwe oprogramowanie Sofacy Zebrocy rywalizowało o dostęp do komputerów ofiar z rosyjskojęzyczną kampanią Mosquito Turla; a jego backdoor SPLM rywalizował z tradycyjną kampanią Turla oraz chińskojęzyczną Danti. Wspólne cele ataków obejmowały administrację rządową jak również organizacje technologiczne, naukowe i wojskowe w Azji Środkowej. Najbardziej intrygujące „nakładanie się” celów można prawdopodobnie zaobserwować pomiędzy ugrupowaniem Sofacy oraz angielskojęzycznym ugrupowaniem stojącym za rodziną szkodliwego oprogramowania o nazwie Lamberts. Powiązanie to zostało zidentyfikowane po tym, jak badacze wykryli obecność Sofacy na serwerze, na którym na podstawie analizy zagrożeń wykryto wcześniej infekcję szkodliwym oprogramowaniem Grey Lambert. Serwer ten należy do chińskiego konglomeratu, który zajmuje się projektowaniem i wytwarzaniem technologii związanej z przestrzenią kosmiczną oraz obroną powietrzną. Jednak w tym przypadku pierwotny sposób dostarczenia SPLM pozostaje nieznany. Istnieje na ten temat wiele hipotez. Jedna z nich zakłada, że w celu pobrania swojego szkodliwego oprogramowania Sofacy zdołał w jakiś sposób wykorzystać kanały komunikacyjne szkodnika Grey Lambert. Mogła to być nawet fałszywa flaga umieszczona podczas wcześniejszej infekcji Lambert. Uważamy, że najbardziej prawdopodobne jest to, że w celu załadowania i wykonania kodu SPLM wykorzystano nieznany, nowy skrypt PowerShell lub legalną, ale podatną na ataki aplikację sieciową.                   

181130-kaspersky-security-bulletin-2018-

W czerwcu informowaliśmy o trwającej kampanii wymierzonej w krajowe centrum danych w Azji Środkowej. Wybór tego celu był niezwykle istotny – oznaczał, że osoby atakujące zdołały za jednym zamachem uzyskać dostęp do szerokiego spektrum zasobów rządowych. Uważamy, że osiągnęły to poprzez umieszczenie skryptów w oficjalnych stronach danego państwa w celu przeprowadzenia ataków przy wodopoju. Kampanię tą przypisujemy chińskojęzycznemu ugrupowaniu LuckyMouse (znanemu również jako EmissaryPanda oraz APT27) ze względu na zastosowane w kampanii narzędzia i taktyki, wcześniejsze wykorzystanie przez to ugrupowanie domeny C2 ‘update.iaacstudio[.]com’ oraz fakt, że ugrupowanie to atakowało już organizacje rządowe, w tym te zlokalizowane w Azji Środkowej. Pierwotny sposób infekcji wykorzystany w ataku na centrum danych jest nieznany. Nawet w przypadkach, gdy zidentyfikowaliśmy wykorzystywanie przez LuckyMouse dokumentów zawierających exploity dla luki CVE-2017-118822 (Microsoft Office Equation Editor, powszechnie wykorzystywany przez chińskojęzyczne ugrupowania cyberprzestępcze od grudnia 2017 r.), nie mogliśmy udowodnić, że były one powiązane z tym konkretnym atakiem. Niewykluczone, że osoby atakujące zastosowały atak przy wodopoju w celu zainfekowania urządzeń pracowników centrum danych.        

We wrześniu donosiliśmy o kolejnej kampanii LuckyMouse. Od marca zidentyfikowaliśmy kilka infekcji polegających na wstrzykiwaniu do pamięci procesu systemowego “lsass.exe” nieznanego wcześniej trojana. Implanty te zostały wstrzyknięte przez podpisany cyfrowo sterownik filtrowania sieci NDISProxy. Co ciekawe, sterownik ten jest podpisany przy użyciu certyfikatu cyfrowego, który należy do chińskiej firmy LeagSoft, która zajmuje się rozwojem oprogramowania bezpieczeństwa informacji i jest zlokalizowana w Shenzhen, Guangdong. O problemie poinformowaliśmy ją za pośrednictwem CN-CERT. Celem kampanii były organizacje rządowe z Azji Środkowej i, według nas, atak ten miał związek z odbywającym się w tym regionie spotkaniem na wysokim szczeblu. Wykorzystany w ataku Earthworm to znak rozpoznawczy ugrupowań chińskojęzycznych. Ponadto, jedno z poleceń wykorzystanych przez osoby atakujące (‘-s rssocks -d 103.75.190[.]28 -e 443’) tworzy tunel do znanego wcześniej serwera kontroli LuckyMouse. Wybór ofiar tej kampanii również pokrywa się z wcześniejszymi zainteresowaniami omawianego ugrupowania. Nie zauważyliśmy żadnych oznak phishingu ukierunkowanego ani aktywności charakteryzującej ataki przy wodopoju: ponadto uważamy, że osoby atakujące rozprzestrzeniają swoje infektory za pośrednictwem wcześniej zainfekowanych sieci.             

Lazarus to ugrupowanie cyberprzestępcze o „ugruntowanej pozycji”, które prowadzi kampanie cyberszpiegostwa oraz cybersabotażu od co najmniej 2009 r. W ostatnich latach ugrupowanie to przeprowadziło kampanie wymierzone w organizacje finansowe na całym świecie. W sierpniu informowaliśmy o tym, że skutecznie złamało zabezpieczenia kilku banków i infiltrowało wiele globalnych giełd kryptowaluty oraz firm z branży fintech. Pomagając w operacji reagowania na incydent, dowiedzieliśmy się, że ofiara tego incydentu została zainfekowana przy pomocy zawierającej trojana aplikacji handlu kryptowalutą, którą polecono jej za pośrednictwem maila. Niczego nieświadomy pracownik pobrał aplikację z wyglądającej na legalną strony internetowej, infekując swój komputer szkodliwym oprogramowaniem o nazwie Fallchill - starym narzędziem, które Lazarus zaczął niedawno ponownie stosować. Wygląda na to, że Lazarus znalazł wyszukany sposób stworzenia strony internetowej, która przypomina legalną, i wstrzyknięcia szkodliwej funkcji do wyglądającego na legalny mechanizmu aktualizacji oprogramowania – tworząc fałszywy łańcuch dostaw zamiast naruszania bezpieczeństwa już istniejącego. 

W każdym razie, sukces ugrupowania Lazarus w zakresie naruszania bezpieczeństwa łańcuchów dostaw zapowiada dalsze wykorzystywanie tej metody ataku. Cyberugrupowanie to poszło o krok dalej i stworzyło szkodliwe oprogramowanie dla platform innych niż system Windows – włączyło wersję dla systemu Mac OS, a z zamieszczonych na stronie informacji wynika, że wkrótce powstanie wersja dla Linuksa. Jest to prawdopodobnie pierwszy raz, gdy omawiane ugrupowanie APT wykorzystało szkodliwe oprogramowanie dla Mac OS. Wygląda na to, że polując na zaawansowane cele, twórców oprogramowania w ramach łańcuchów dostaw i niektóre znane cele, ugrupowania cyberprzestępcze są zmuszone tworzyć szkodliwe narzędzia dla systemu Mac OS. Fakt rozszerzenia przez ugrupowanie Lazarus swojej listy atakowanych systemów operacyjnych powinien stanowić sygnał ostrzegawczy dla użytkowników platform innych niż Windows. Zachęcamy do przeczytania naszego raportu dot. Operation AppleJeus, który jest dostępny w tym miejscu.       

Ugrupowanie Turla (znane również jako Venomous Bear, Waterbug oraz Uroboros) wyróżniło się swoim niezwykle złożonym jak na ówczesne czasy rootkitem Snake, skoncentrowanym na celach związanych z NATO. Jednak zakres jego aktywności jest znacznie szerszy. W październiku pisaliśmy o niedawnej aktywności ugrupowania Turla, wskazując na wykorzystywanie interesującej mieszanki starego i nowego kodu, jak również spekulując na temat celów kolejnych ataków. Nasze badania w 2018 r. koncentrowały się w większości na backdoorze JavaScript tego ugrupowania o nazwie KopiLuwak, nowych wariantach struktury Carbon oraz technikach dostarczania Mosquito. Inne interesujące aspekty obejmowały zmieniające się techniki dostarczania szkodliwego oprogramowania Mosquito oraz pożyczony kod iniektora. Część tej aktywności powiązaliśmy z infrastrukturą i punktami danych infrastruktury i aktywności WhiteBear i Mosquito w 2017 i 2018 r. Ciekawym aspektem naszego badania był brak pokrywania się celów ataków z inną aktywnością APT. Ugrupowanie Turla nie uczestniczyło w kluczowym ataku hakerskim na DNC – w którym swoją obecność zaznaczyło zarówno ugrupowanie Sofacy jak i CozyDuke – było jednak dyskretnie aktywne na całym świecie, realizując inne projekty. Daje to pewne wyobrażenie na temat aktualnych motywacji i ambicji tego ugrupowania. Zarówno projekt Mosquito jak i Carbon koncentrują się głównie na celach związanych z obszarem dyplomacji i spraw zagranicznych, podczas gdy aktywność WhiteAtlas i WhiteBear rozciągała się na cały świat obejmując organizacje związane ze sprawami zagranicznymi, jednak nie wszystkie ataki pasowały do tego profilu: ugrupowanie to atakowało również centra naukowe i techniczne, jak również organizacje spoza areny politycznej. Aktywność pod nazwą KopiLuwak niekoniecznie koncentruje się na obszarze dyplomacji i spraw zagranicznych. W 2018 r. jej celem były powiązane z rządem organizacje naukowe i zajmujące się badaniami w dziedzinie energii oraz powiązana z rządem organizacja ds. komunikacji w Afganistanie. Ten niezwykle selektywny, ale szerszy zakres celów ataków utrzyma się prawdopodobnie w 2019 r.       

W październiku informowaliśmy o najnowszej aktywności ugrupowania APT o nazwie MuddyWater. Nasze wcześniejsze dane telemetryczne wskazują, że to stosunkowo nowe ugrupowanie cyberprzestępcze, które pojawiło się dopiero w 2017 r., koncentruje się głównie na celach rządowych w Iraku i Arabii Saudyjskiej. Jednak wiadomo również, że ugrupowanie stojące za kampanią MuddyWater atakowało też inne kraje na Bliskim Wschodzie, w Europie oraz Stanach Zjednoczonych. Ostatnio zidentyfikowaliśmy sporą liczbę dokumentów stanowiących element phishingu ukierunkowanego, którego celem są instytucje rządowe, wojskowe, telekomunikacyjne oraz edukacyjne w Jordanii, Turcji, Azerbejdżanie oraz Pakistanie poza stałymi atakami na Irak i Arabię Saudyjską. Pozostałe ofiary zidentyfikowano w Mali, Austrii, Rosji, Iranie oraz Bahrajnie. Te nowe dokumenty pojawiały się w całym 2018 roku, a aktywność eskalowała od maja. Nowe dokumenty w ramach phishingu ukierunkowanego charakteryzują się wykorzystywaniem socjotechniki w celu nakłonienia ofiar do włączenia makr. Osoby atakujące przeprowadzają swoje ataki za pośrednictwem szeregu zainfekowanych hostów. Na zaawansowanych etapach naszych badań udało nam się zaobserwować nie tylko dodatkowe pliki i narzędzia z arsenału omawianego ugrupowania, ale również pewne błędy OPSEC popełnione przez osoby atakujące. W celu zapewnienia sobie ochrony przed atakami z użyciem szkodliwego oprogramowania zalecamy następujące działania:       

  • Organizowanie szkoleń dla ogólnego personelu, w wyniku których będzie potrafił zidentyfikować szkodliwe zachowanie, jak np. odsyłacze phishingowe. 
  • Zapewnienie edukacji personelowi ds. bezpieczeństwa informacji umożliwiającej zdobycie umiejętności w zakresie konfiguracji, prowadzenia dochodzeń oraz polowania na zagrożenia.
  • Wykorzystywanie sprawdzonego rozwiązania w zakresie bezpieczeństwa klasy korporacyjnej w połączeniu z rozwiązaniami zabezpieczającymi przed atakami ukierunkowanymi, potrafiącymi wykrywać ataki poprzez analizowanie anomalii sieciowych.
  • Zapewnienie personelowi bezpieczeństwa dostępu do najnowszych danych analizy zagrożeń, które wyposażą go w przydatne narzędzia do zapobiegania i wykrywania ataków ukierunkowanych, takie jak wskaźniki infekcji (ang. IoC) oraz reguły YARA. 
  • Ustanowienie procesów zarządzania łatami na poziomie przedsiębiorstwa.

Znane organizacje powinny stosować podwyższony stopień cyberbezpieczeństwa, ponieważ ataki na nie są czymś nieuniknionym i prawdopodobnie nigdy nie ustaną.  

181130-kaspersky-security-bulletin-2018-

Innym ugrupowaniem cyberprzestępczym atakującym organizacje w Azji Środkowej jest DustSquad. Kaspersky Lab monitorował to rosyjskojęzyczne ugrupowanie cyberszpiegowskie przez ostatnie dwa lata, dostarczając swoim klientom prywatne raporty analityczne na temat czterech jego kampanii wykorzystujących niestandardowe szkodliwe oprogramowanie dla systemu Android oraz Windows. Niedawno opisywaliśmy szkodliwy program o nazwie Octopus, wykorzystywany przez DustSquad do atakowania instytucji dyplomatycznych w regionie Azji Środkowej – nazwa ta została po raz pierwszy użyta przez firmę ESET w 2017 r., po tym, jak ugrupowanie to wykorzystało skrypt 0ct0pus3.php na swoich starych serwerach kontroli (C2). Przy użyciu silnika Kaspersky Attribution Engine, opartego na algorytmach podobieństwa, odkryliśmy, że Octopus jest powiązany z DustSquad. Na podstawie telemetrii ustaliliśmy, że kampania ta została zapoczątkowana w 2014 r. w byłych republikach radzieckich w Azji Środkowej (w większości rosyjskojęzycznych) oraz w Afganistanie. W kwietniu wykryliśmy nową próbkę szkodliwego oprogramowania Octopus podszywającą się pod aplikację Telegram Messenger z rosyjskim interfejsem. Nie udało nam się znaleźć legalnego oprogramowania, za które podaje się ten szkodnik – tak naprawdę, nie wierzymy w jego istnienie. Osoby atakujące wykorzystały potencjalny zakaz komunikatora Telegram w Kazachstanie, aby „wciskać” swojego droppera jako alternatywne oprogramowanie do komunikacji wśród opozycji politycznej. Subskrybując nasze raporty dot. analizy ataków APT, można być na bieżąco z naszymi najnowszymi dochodzeniami i odkryciami, łącznie z pełnymi danymi technicznymi.

W październiku opublikowaliśmy analizę dotyczącą Dark Pulsar. Nasze dochodzenie rozpoczęło się w marcu 2017 r., gdy Shadow Brokers opublikował skradzione dane obejmujące dwie struktury - DanderSpritz oraz FuzzBunch. DanderSpritz zawiera różne rodzaje wtyczek umożliwiających analizowanie ofiar, wykorzystywanie luk w zabezpieczeniach oraz planowanie zadań itd. Struktura DanderSpritz ma na celu badanie kontrolowanych maszyn i gromadzenie danych. Razem stanowią niezwykle skuteczną platformę cyberszpiegostwa. Wyciek nie obejmował samego backdoora ugrupowania Dark Pulsar, tylko moduł administracyjny służący do kontrolowania backdoora. Jednak dzięki stworzeniu specjalnych sygnatur opartych na pewnych sumach magicznych w module administracyjnym udało nam się przechwycić samego implanta. Implant ten zapewnia osobom atakującym zdalną kontrolę nad zainfekowanymi urządzeniami. Zidentyfikowaliśmy 50 ofiar - wszystkie zlokalizowane w Rosji, Iranie oraz Egipcie - ale uważamy, że ich rzeczywista liczba jest większa. Dlaczego? Po pierwsze, interfejs DanderSpritz jest w stanie zarządzać ogromną liczbą ofiar jednocześnie. Ponadto, po zakończeniu kampanii osoby atakujące często usuwają swoje oprogramowanie. Proponowane przez nas strategie łagodzenia złożonych zagrożeń takich jak Dark Pulsar można znaleźć w tym miejscu.          

Mobilne kampanie APT

W segmencie mobilnych zagrożeń APT miały miejsce trzy istotne wydarzenia, mianowicie wykrycie kampanii cyberszpiegowskich Zoopark, BusyGasper oraz Skygofree

Pod względem technicznym, wszystkie trzy są dobrze zaprojektowane i mają podobny cel podstawowy – szpiegowanie wybranych ofiar. Ich głównym celem jest kradzież wszelkich dostępnych danych osobowych z urządzenia mobilnego: przechwytywanie połączeń telefonicznych, wiadomości, geolokalizacji itd. Posiadają nawet funkcję podsłuchiwania za pośrednictwem mikrofonu – smartfon jest czymś w rodzaju “pluskwy”, której nie trzeba nawet ukrywać przed ofiarą.

Cyberprzestępcy wykazali szczególne zainteresowanie kradzieżą wiadomości z popularnych komunikatorów, które obecnie w znacznej mierze zastąpiły standardowe środki komunikacji. W kilku przypadkach, osoby atakujące wykorzystywały exploity potrafiące zwiększać lokalne uprawnienia trojanów na urządzeniu, otwierając praktycznie nieograniczony dostęp do zdalnego monitoringu, a często do zarządzania urządzeniami.

Funkcjonalność keyloggera została zaimplementowana w dwóch spośród trzech omawianych szkodliwych programów, umożliwiając cyberprzestępcom rejestrowanie każdego naciśnięcia klawisza na klawiaturze urządzenia. Godne uwagi jest to, że aby przechwycić kliki, osoby atakujące nie potrzebowały nawet podwyższonych przywilejów.

Pod względem geograficznym ofiary zostały zidentyfikowane w wielu różnych krajach: Skygofree atakował użytkowników we Włoszech, BusyGasper – indywidualnych użytkowników rosyjskich, natomiast Zoopark działał na Bliskim Wschodzie.  

Warto również wskazać na coraz wyraźniejszy trend polegający na preferowaniu przez cyberprzestępców stosujących szpiegostwo platform mobilnych, które oferują znacznie więcej danych osobowych.

Exploity

Wykorzystywanie luk w zabezpieczeniach oprogramowania i sprzętu nadal stanowi istotny sposób infekowania wszelkiego rodzaju narzędzi.

Na początku tego roku pojawiły się informacje o dwóch poważnych lukach w zabezpieczeniach, mających wpływ na procesory Intela. Znane jako Meltdown i Spectre, umożliwiają osobie atakującej czytanie pamięci z dowolnego procesu, w pierwszym przypadku, i z własnego procesu, w drugim przypadku. Luki te istniały od co najmniej 2011 r. Meltdown (CVE-2017-5754) dotyczy procesorów Intela i umożliwia osobie atakującej odczyt danych z dowolnego procesu w systemie hosta. Chociaż niezbędne jest wykonanie kodu, można to osiągnąć na różne sposoby – np. poprzez błąd w oprogramowaniu lub odwiedzenie zainfekowanej strony internetowej, która ładuje kod JavaScript wykonujący atak z wykorzystaniem luki Meltdown. To oznacza, że w przypadku właściwego wykorzystania luki, możliwe byłoby odczytanie wszystkich danych rezydujących w pamięci (hasła, klucze szyfrowania, kody PIN itd.). Producenci najpopularniejszych systemów operacyjnych szybko opublikowali odpowiednie łaty. Aktualizacja firmy Microsoft, udostępniona 3 stycznia, nie była kompatybilna z wszystkimi programami antywirusowymi – co potencjalnie mogło prowadzić do pojawienia się BSoD (Blue Screen of Death) w niekompatybilnych systemach. A zatem, aktualizacje mogły być zainstalowane jedynie w przypadku, gdy produkt antywirusowy ustawił wcześniej określony klucz rejestru. Nieco inny charakter ma exploit Spectre (CVE-2017-5753 i CVE-2017-5715). W przeciwieństwie do Meltdown, exploit ten działa również na innych architekturach (takich jak AMD i ARM). Ponadto Spectre nie potrafi odczytywać przestrzeni pamięci dowolnego procesu. Co ważniejsze, poza kilkoma środkami zaradczymi w niektórych przeglądarkach, nie istnieje uniwersalne, łatwo dostępne rozwiązanie dla exploita Spectre. W kolejnych tygodniach po opublikowaniu raportów na temat omawianych luk w zabezpieczeniach stało się jasne, że problem ten nie da się łatwo rozwiązać. Większość opublikowanych łat zmniejszyło „powierzchnię ataków”, ograniczając znane sposoby wykorzystywania luk w zabezpieczeniach, jednak nie wyeliminowało całkowicie zagrożenia. Ponieważ problem jest ściśle związany z działaniem podatnych na ataki procesorów, było oczywiste, że producenci będą zmagać się z nowymi exploitami przez kolejne lata. W rzeczywistości, na wykrycie nowej luki nie trzeba było długo czekać. W lipcu Intel wypłacił 100 000 dolarów nagrody w ramach programu „bug bounty” w związku z nowymi lukami w zabezpieczeniach procesora powiązanymi z pierwszym wariantem luki Spectre (CVE-2017-5753). Luka Spectre 1.1 (CVE-2018-3693) może zostać wykorzystana do wywołania poważnego przepełnienia buforu. Spectre 1.2 pozwala osobie atakującej nadpisać dane tylko do odczytu w celu złamania zabezpieczeń piaskownic w procesorach, które nie egzekwują zabezpieczeń przed odczytem i zapisem. Te nowe luki w zabezpieczeniach zostały wykryte przez badacza MIT Vladimira Kiriansky’ego oraz niezależnego badacza Carla Waldspurgera.                      

18 kwietnia przesłano interesującego exploita do VirusTotal. Program ten został wykryty przez kilku producentów oprogramowania bezpieczeństwa, w tym Kaspersky Lab – przy użyciu naszej generycznej logiki heurystycznej dla starszych dokumentów Microsoft Word. Okazało się, że jest to exploit wykorzystujący nową lukę dnia zerowego w programie Internet Explorer (CVE-2018-8174) – która została załatana przez firmę Microsoft 8 maja 2018 r. Po przetworzeniu próbki w naszym systemie piaskownicy zauważyliśmy, że potrafi ona wykorzystać lukę znajdującą się w całkowicie załatanej wersji programu Microsoft Word. To skłoniło nas do przeprowadzenia głębszej analizy tej luki w zabezpieczeniach. Łańcuch infekcji składa się z następujących kroków. Ofiara otrzymuje zainfekowany dokument Microsoft Word. Po otworzeniu dokumentu pobierany jest drugi “etap” exploita  - strona HTML zawierająca kod VBScript. Uruchamia ona lukę UAF (Use After Free) i wykonuje shellcode. Mimo że pierwotnym wektorem ataków jest dokument Word, luka występuje tak naprawdę w VBScript. Po raz pierwszy zauważyliśmy wykorzystanie URL Moniker do ładowania exploita IE w Wordzie, uważamy jednak, że technika ta będzie często wykorzystywana przez osoby atakujące w przyszłości, ponieważ pozwala im zmusić ofiary do załadowania IE, ignorując domyślne ustawienia przeglądarki. Niewykluczone, że autorzy zestawów exploitów zaczną wykorzystywać ją zarówno w atakach drive-by (za pośrednictwem przeglądarki) jak i w kampaniach phishingu ukierunkowanego (za pośrednictwem dokumentu). W celu zabezpieczenia się przed tą techniką zalecamy stosowanie najnowszych aktualizacji bezpieczeństwa oraz wykorzystywanie rozwiązania bezpieczeństwa z funkcjami wykrywania zachowania.               

W sierpniu nasza technologia automatycznego zapobiegania exploitom wykryła nowy rodzaj cyberataku, w którym próbowano wykorzystać lukę dnia zerowego w pliku sterownika systemu Windows, ‘win32k.sys’. Problem został zgłoszony Microsoftowi; 9 października firma poinformowała publicznie o luce w zabezpieczeniach (CVE-2018-8453) i opublikowała aktualizację. Jest to bardzo niebezpieczna luka zapewniająca osobom atakującym kontrolę nad zaatakowanym komputerem. Luka ta została wykorzystana w kampanii wysoce ukierunkowanych ataków na organizacje znajdujące się na Bliskim Wschodzie – zidentyfikowaliśmy zaledwie kilkanaście ofiar. Uważamy, że ataki te zostały przeprowadzone przez ugrupowanie cyberprzestępcze FruityArmor.           

Pod koniec października zgłosiliśmy Microsoftowi kolejną lukę w zabezpieczeniach – tym razem była to luka dnia zerowego w ‘win32k.sys’ umożliwiając zwiększenie przywilejów – która może zostać wykorzystana przez osobę atakującą w celu uzyskania przywilejów niezbędnych do zapewnienia długotrwałej obecności w systemie ofiary. Luka ta była również wykorzystywana w ograniczonej liczbie ataków na organizacje zlokalizowane na Bliskim Wschodzie. 13 listopada Microsoft opublikował aktualizację dla tej luki (CVE-2018-8589). Zagrożenie to było również wykrywane przy użyciu naszych proaktywnych technologii – zaawansowanej piaskownicy oraz silnika antywirusowego wykorzystywanych w Kaspersky Anti Targeted Attack Platform oraz naszej technologii AEP.     

Rozszerzenia przeglądarek – zwiększenie zasięgu cyberprzestępców

Rozszerzenia przeglądarek mogą ułatwić nam życie, ukrywając nachalne reklamy, tłumacząc tekst oraz pomagając nam wybrać towary, które chcemy kupić w sklepach internetowych itd. Niestety, istnieją również mniej pożądane rozszerzenia, które służą do bombardowania nas reklamami lub gromadzenia informacji o naszych działaniach. Inne kradną nasze pieniądze. Na początku 2018 r. naszą uwagę zwróciło właśnie jedno z takich rozszerzeń, ponieważ komunikowało się z podejrzaną domeną. Szkodliwe rozszerzenie, o nazwie Desbloquear Conteúdo (oznaczającej w j. portugalskim „Odblokuj zawartość”), było wymierzone w klientów brazylijskich serwisów bankowości online, przechwytując loginy i hasła w celu uzyskania dostępu do kont bankowych ofiar.   

We wrześniu hakerzy opublikowali prywatne wiadomości pochodzące z co najmniej 81 000 kont na Facebooku, twierdząc, że jest to zaledwie niewielka część znacznie większej „zdobyczy” obejmującej 120 milionów kont. W ogłoszeniu zamieszczonym w sieci Dark Web osoby atakujące oferowały wiadomości za cenę 10 centów od konta. Dochodzenie w sprawie ataku zostało przeprowadzone przez rosyjski serwis BBC oraz firmę zajmującą się cyberbezpieczeństwem Digitak Shadows. Ustalono, że spośród 81 000 kont większość pochodziło z Ukrainy i Rosji, aczkolwiek były również konta z innych państw, takich jak Wielka Brytania, Stany Zjednoczone oraz Brazylia. Facebook zasugerował, że wiadomości zostały skradzione przy pomocy szkodliwego rozszerzenia przeglądarki.   

Szkodliwe rozszerzenia są stosunkowo nieliczne, jednak ze względu na potencjalne szkody, jakie mogą wyrządzić, nie wolno ich lekceważyć. Należy instalować wyłącznie zweryfikowane rozszerzenia, które posiadają dużą liczbę instalacji przez użytkowników oraz recenzji na Chrome Web Store lub w innym oficjalnym serwisie. Trzeba jednak pamiętać, że mimo środków bezpieczeństwa stosowanych przez właścicieli takich serwisów, wciąż można tam trafić na szkodliwe rozszerzenia. Dlatego dobrym rozwiązaniem jest wykorzystywanie produktu bezpieczeństwa internetowego, który ostrzeże użytkownika, jeżeli rozszerzenie będzie zachowywało się podejrzanie.   

Mistrzostwa Świata w oszustwach

Socjotechnika pozostaje istotnym narzędziem w arsenale wykorzystywanym do wszelkiego rodzaju cyberataków. Oszuści nieustannie szukają możliwości zarobienia pieniędzy na największych wydarzeniach sportowych, a Mistrzostwa Świata FIFA nie są tu wyjątkiem. Na długo przed otwarciem mistrzostw cyberprzestępcy zaczęli tworzyć strony phishingowe i wysyłać wiadomości wykorzystujące temat Mistrzostw Świata. Takie wiadomości phishingowe obejmowały powiadomienia dotyczące fałszywych wygranych na loterii lub wiadomości oferujące bilety na jeden z meczy. Oszuści często zadają sobie wiele trudu, aby podrobić witryny legalnych partnerów, tworząc dobrze zaprojektowane strony, które – dla większej wiarygodności - zawierają nawet certyfikaty SSL. Ponadto oszuści wyłudzają dane, podrabiając oficjalne powiadomienia FIFA: ofiara otrzymuje wiadomość, w której zostaje poinformowana, że z powodu aktualizacji systemu bezpieczeństwa należy ponownie podać wszystkie dane personalne, aby konto nie zostało zablokowane. Tego typu wiadomości zawierają odsyłacz do fałszywej strony, na której oszuści przechwytują informacje osobowe ofiary.    

W tym miejscu znajduje się nasz raport dotyczący sposobów wykorzystania przez cyberprzestępców Mistrzostw Świata w celu zarobienia pieniędzy. Przedstawiliśmy również wskazówki podpowiadające, jak uniknąć oszustw phishingowych – porady, które odnoszą się do wszelkich oszustw tego typu, nie tylko do tych związanych z Mistrzostwami Świata. 

Przed mistrzostwami przeanalizowaliśmy również punkty dostępu bezprzewodowego w 11 miastach, w których odbywały się Mistrzostwa Świata FIFA – łącznie prawie 32 000 hotspotów Wi-Fi. Sprawdzając algorytmy szyfrowania i uwierzytelnienia, policzyliśmy protokoły WPA2 i otwarte sieci, jak również oszacowaliśmy ich udział wśród wszystkich punktów dostępowych. Ponad jedna piąta hotspotów Wi-Fi wykorzystywała niesolidne sieci. To oznaczało, że przestępcy musieli znajdować się blisko punktu dostępowego, aby przechwycić ruch i przejąć dane użytkowników. Około trzy czwarte wszystkich punktów dostępowych stosowało szyfrowanie WPA/WPA2, uważane za jedno z najbezpieczniejszych. Poziom ochrony zależy głównie od ustawień, takich jak siła hasła ustawionego przez właściciela hotspota. Złamanie skomplikowanego klucza szyfrowania może trwać wiele lat. Jednak nawet solidne sieci, takie jak WPA2, nie mogą być automatycznie uznane za całkowicie bezpieczne. Wciąż są podatne na ataki siłowe (brute-force), słownikowe oraz KRACK (Key Installation Attack), na temat których można znaleźć online mnóstwo tutoriali oraz narzędzi otwartego źródła. Wszelka próba przechwycenia ruchu z sieci Wi-Fi z protokołem WPA w publicznych punktach dostępowych może również zostać dokonana poprzez wniknięcie do luki pomiędzy punktem dostępowym a urządzeniem na początku sesji.        

Nasz raport, wraz z zaleceniami odnośnie bezpiecznego korzystania z hotspotów Wi-Fi – poradami, które mają uniwersalne zastosowanie, nie tylko podczas Mistrzostw Świata – jest dostępny w tym miejscu.

Oszustwa finansowe na skalę przemysłową

W sierpniu Kaspersky Lab ICS CERT informował o kampanii phishingowej mającej na celu kradzież pieniędzy z przedsiębiorstw – głównie firm produkcyjnych. Osoby atakujące wykorzystały standardowe techniki phishingowe w celu nakłonienia ofiar do kliknięcia zainfekowanych załączników, wykorzystując w tym celu wiadomości e-mail podszywające się pod oferty handlowe i inne dokumenty finansowe. Przestępcy wykorzystywali legalne aplikacje zdalnej administracji - TeamViewer lub RMS (Remote Manipulator System). Programy te stosowano w celu uzyskania dostępu do urządzenia, wyszukiwania informacji dotyczących obecnych zakupów oraz szczegółów wykorzystywanego przez ofiary oprogramowania finansowego i księgowego. Następnie ofiary wykorzystały różne przynęty w celu kradzieży pieniędzy z firmy – np. poprzez podmianę danych bankowych w transakcjach. Zanim opublikowaliśmy nasz raport, czyli 1 sierpnia, zidentyfikowaliśmy infekcje na około 800 komputerach znajdujących się w co najmniej 400 organizacjach z różnych branż – w tym produkcyjnej, ropy i gazu, metalurgicznej, inżynieryjnej, energetycznej, budowlanej, górniczej oraz logistycznej. Kampania trwała od października 2017 r.       

Nasze badanie pokazuje, że nawet gdy cyberprzestępcy stosują proste techniki i znane szkodliwe oprogramowanie, są w stanie skutecznie zaatakować firmy przemysłowe za pomocą socjotechniki oraz ukrywania kodu w atakowanych systemach – wykorzystując do tego legalne oprogramowanie do zdalnej administracji, aby uniknąć wykrycia przez rozwiązania antywirusowe. 

Więcej na temat wykorzystywania przez osoby atakujące narzędzi zdalnej administracji w celu atakowania celów można znaleźć w tym miejscu. Tutaj natomiast jest dostępny przegląd ataków na systemy ICS w pierwszej połowie 2018.

Ransomware – wciąż stanowi zagrożenie

Spadek liczby ataków z wykorzystaniem oprogramowania ransomware w zeszłym roku znajduje mocne potwierdzenie w liczbach. Mimo to szkodnik ten nadal stanowi poważny problem i wciąż powstają nowe rodziny oprogramowania ransomware. Na początku sierpnia nasz moduł ochrony przed oprogramowaniem ransomware zaczął wykrywać trojana KeyPass. W ciągu zaledwie dwóch dni zidentyfikowaliśmy to szkodliwe oprogramowanie w ponad 20 państwach – najbardziej dotknięte zostały Brazylia i Wietnam, niemniej jednak ofiary zlokalizowane były również w Europie, Afryce oraz na Dalekim Wschodzie.      

KeyPass szyfruje wszystkie pliki, niezależnie od ich rozszerzenia, znajdujące się na dyskach lokalnych oraz w udziałach sieciowych dostępnych z zainfekowanego komputera. Szkodnik ignoruje określone pliki z folderów, które zostały zapisane w nim na stałe. Zaszyfrowane pliki uzyskują dodatkowe rozszerzenie ‘KEYPASS’, a w każdym katalogu zawierającym zaszyfrowane pliki zostaje zapisany tekst dotyczący żądania okupu o nazwie ‘!!!KEYPASS_DECRYPTION_INFO!!!.txt’. Twórcy tego trojana zaimplementowali bardzo prosty schemat. Szkodnik wykorzystuje symetryczny algorytm AES-256 w trybie CFB oraz ten sam 32-bajtowy klucz dla wszystkich plików. Trojan szyfruje maksymalnie 0x500000 bajtów (~5 MB) danych na początku każdego pliku. Tuż po uruchomieniu szkodnik łączy się ze swoim centrum kontroli (C2) i uzyskuje klucz szyfrowania oraz ID infekcji dla aktualnej ofiary. Dane są przekazywane za pośrednictwem zwykłego protokołu HTTP w formie JSON. W przypadku gdy centrum kontroli (C2)nie jest dostępne – na przykład, gdy zainfekowany komputer nie jest połączony z Internetem lub nie działa serwer – szkodnik wykorzystuje zapisany na stałe klucz oraz ID. W efekcie, w przypadku szyfrowania offline, odszyfrowanie plików ofiary jest proste.         

181130-kaspersky-security-bulletin-2018-

Prawdopodobnie najciekawszą cechą trojana KeyPass jest możliwość przejęcia „kontroli ręcznej”. Trojan zawiera formularz, który jest domyślnie ukryty, ale może pojawić się po wciśnięciu specjalnego przycisku na klawiaturze. Za pomocą tego formularza cyberprzestępcy mogą spersonalizować proces szyfrowania poprzez zmianę takich parametrów jak klucz szyfrowania, nazwa notki o okupie, tekst dotyczący okupu, ID ofiary, rozszerzenie zaszyfrowanych plików oraz lista katalogów wykluczonych z szyfrowania. Możliwość ta sugeruje, że stojący za trojanem przestępcy mogą chcieć wykorzystać ją w atakach ręcznych.    

Jednak problemem nie są tylko nowe rodziny oprogramowania ransomware. Półtora roku po epidemii WannaCry nadal znajduje się na szczycie listy najbardziej rozpowszechnionych rodzin cryptorów – jak dotąd zidentyfikowaliśmy 74 621 unikatowych ataków na całym świecie. Ataki te stanowiły 28,72% wszystkich ataków z wykorzystaniem cryptorów w III kwartale 2018 r. W ostatnim roku odsetek ten zwiększył się o dwie trzecie. Jest to tym bardziej niepokojące, jeśli weźmiemy pod uwagę, że łata dla wykorzystanego w ataku WannaCry exploita EternalBlue istniała jeszcze przed pierwotną epidemią w maju 2017 r.

Asacub oraz trojany bankowe

Rok 2018 r. wyróżniał się szczególnie pod względem liczby ataków z udziałem mobilnych trojanów bankowych. Na początku roku wydawało się, że zagrożenie to utrzymywało się na stałym poziomie zarówno pod względem liczby wykrytych unikatowych próbek jak i liczby zaatakowanych użytkowników.

Jednak w drugim kwartale nastąpiła gwałtowna zmiana na gorsze: wykryto rekordowe liczby mobilnych trojanów bankowych oraz zaatakowanych użytkowników. Przyczyna tego znaczącego wzrostu nie jest jasna, wiadomo jednak, że głównymi winowajcami byli twórcy Asacuba i Hqwara. Interesującą cechą trojana Asacub jest jego długowieczność: z naszych danych wynika, że stojąca za nim grupa działa od ponad trzech lat.    

Asacub ewoluował z trojana SMS, który od samego początku posiadał techniki uniemożliwiające kasowanie i przechwytywanie przychodzących połączeń i wiadomości SMS. Następnie jego twórcy skomplikowali logikę programu i rozpoczęli masowe rozprzestrzenianie tego szkodliwego oprogramowania. Wybrany wektor był taki sam jak na samym początku – socjotechnika za pośrednictwem wiadomości SMS. Jednak tym razem numery telefonów zostały pobrane z popularnych tablic ogłoszeń (bulletin board), ponieważ właściciele tych numerów często spodziewają się wiadomości od nieznanych abonentów.     

Opisana technika propagacji spowodowała efekt lawinowy, gdy zainfekowane przez trojana urządzenia zaczęły rozprzestrzeniać infekcję – Asacub samodzielnie rozsyłał się do wszystkich osób z listy kontaktowej ofiary.

„Smart” niekoniecznie znaczy bezpieczny

Inteligentne urządzenia otaczają nas dzisiaj z każdej strony. Mowa tu o przedmiotach codziennego użytku, takich jak telewizory, inteligentne liczniki, termostaty, elektroniczne nianie czy zabawki dziecięce. To jednak nie wszystko. Istnieją też inteligentne samochody, urządzenia medyczne, kamery monitoringowe czy parkometry. Mówi się nawet o inteligentnych miastach. Stwarza to więcej możliwości ataków osobom, które – w różnych celach - chcą wykorzystać słabe punkty w zabezpieczeniach. Zabezpieczenie tradycyjnych komputerów jest trudnym zadaniem. Sprawa staje się jeszcze bardziej problematyczna w przypadku Internetu Rzeczy (IoT), gdzie z powodu braku standaryzacji producenci lekceważą kwestię bezpieczeństwa lub uważają je za sprawę drugorzędną. Nietrudno znaleźć przykłady takiego podejścia.  

W lutym badaliśmy możliwość podatności na ataki centrum zrządzania inteligentnymi urządzeniami. Takie centrum pozwala sterować działaniem innych inteligentnych urządzeń w domu, otrzymując informacje i wydając polecenia. Inteligentne centra zarządzania mogą być obsługiwane za pomocą ekranu dotykowego lub aplikacji mobilnej lub interfejsu sieci web, który, w razie podatności na ataki, stanowiłby pojedynczy punkt awarii. Chociaż zbadane przez nas inteligentne centrum zarządzania nie zawierało istotnych luk w zabezpieczeniach, wykryliśmy błędy logiczne, które wystarczyły naszym badaczom do uzyskania zdalnego dostępu.    

Badacze z Kaspersky Lab ICS CERT zbadali popularną inteligentną kamerę pod kątem jej zabezpieczeń przed hakerami. Inteligentne kamery znajdują się obecnie w powszechnym użytku. Wiele z nich łączy się z chmurą, aby umożliwić podgląd tego, co się dzieje w fizycznie oddalonym miejscu, czy to w celu skontrolowania zwierzaków domowych, monitorowania bezpieczeństwa, czy innym. Zbadany przez nas model jest sprzedawany jako narzędzie ogólnego przeznaczenia – może być wykorzystywany jako elektroniczna niania lub w ramach systemu bezpieczeństwa. Kamera „widzi” w ciemności, potrafi śledzić poruszający się obiekt, przesyłać materiał filmowy na smartfon lub tablet oraz odtwarzać dźwięk przy pomocy wbudowanego głośnika. Niestety, okazało się, że kamera posiada 13 luk w zabezpieczeniach – prawie tyle samo co funkcji – które osoba atakująca mogłaby wykorzystać w celu zmiany hasła administratora, wykonania dowolnego kodu na urządzeniu, stworzenia botnetu zhakowanych kamer lub całkowitego zatrzymania ich działania.    

Potencjalne problemy nie ograniczają się do urządzeń konsumenckich. Na początku tego roku Ido Naor, badacz z naszego Globalnego zespołu ds. badań i analiz, oraz Amihai Neiderman z Azimuth Security wykryli lukę w zabezpieczeniach urządzenia automatyzacji stacji gazowej. Urządzenie to było bezpośrednio połączone z Internetem i odpowiadało za zarządzanie każdym komponentem stacji, łącznie z dystrybutorami paliwa oraz terminalami płatniczymi. Jeszcze bardziej niepokojący jest fakt, że dostęp do interfejsu sieci web urządzenia opierał się na domyślnych danych uwierzytelniających. Dalsze badanie wykazało możliwość zamknięcia wszystkich systemów paliwowych, spowodowania wycieku paliwa, zmiany ceny, obejścia terminalu płatniczego (w celu kradzieży pieniędzy), przechwycenia numerów tablic rejestracyjnych pojazdów oraz tożsamości kierowcy, wykonania kodu w jednostce sterującej, a nawet swobodnego poruszania się w sieci stacji gazowej.     

Technologia prowadzi do usprawnień w służbie zdrowia. Może podnieść jakość i obniżyć koszt usług w tym sektorze. Zapewnić pacjentom i obywatelom większą kontrolę nad swoim zdrowiem, zwiększyć swobodę opiekunów chorych oraz wspierać rozwój nowych lekarstw i metod leczenia. Jednak nowe technologie w zakresie opieki zdrowotnej oraz procedury pracy mobilnej powodują generowanie niespotykanej wcześniej ilości danych, a tym samym więcej możliwości utraty lub kradzieży danych. Wielokrotnie podkreślaliśmy to przez ostatnie kilka lat (można przeczytać na ten temat tutaj, tutaj i tutaj). Nieustannie monitorujemy działania cyberprzestępców, badając, w jaki sposób przenikają oni sieci medyczne oraz jak znajdują i wyprowadzają dane z publicznie dostępnych zasobach medycznych. We wrześniu wzięliśmy pod lupę bezpieczeństwo opieki zdrowotnej. Ponad 60% organizacji medycznych posiadało jakiś rodzaj szkodliwego oprogramowania na swoich komputerach. Ponadto, nieustannie wzrasta liczba ataków w branży farmaceutycznej. Placówki medyczne powinny usunąć wszystkie węzły, które przetwarzają medyczne dane osobowe, regularnie aktualizować oprogramowanie, usuwać zbędne aplikacje i zaprzestać podłączania drogiego sprzętu medycznego do głównej sieci LAN. Szczegółowe wskazówki można znaleźć w tym miejscu.             

W 2018 roku przyjrzeliśmy się również inteligentnym urządzeniom dla zwierząt – konkretnie, tym służącym do monitorowania ich lokalizacji. Tego rodzaju gadżety mogą również uzyskać dostęp do sieci domowej i telefonu właściciela zwierzęcia domowego. Naszym celem było sprawdzenie poziomu zabezpieczeń takich urządzeń. Nasi badacze zbadali kilka popularnych monitorów pod kątem potencjalnych luk w zabezpieczeniach. Cztery z nich komunikowały się ze smartfonem właściciela przy użyciu technologii Bluetooth LE. Ale tylko jeden robił to poprawnie. Pozostałe mogą otrzymywać i wykonywać polecenia od dowolnej osoby. Można je również wyłączyć lub ukryć przed właścicielem – trzeba tylko znaleźć się w odpowiednio bliskiej odległości od monitora. Tylko jedna spośród testowanych aplikacji dla Androida weryfikuje certyfikat swojego serwera bez odwoływania się wyłącznie do systemu. Tym samym pozostałe monitory są podatne na ataki typu man-in-the-middle (MitM) – osoby atakujące mogą przechwycić transmitowane dane “przekonując” ofiary, aby zainstalowały ich certyfikat.       

Niektórzy z naszych badaczy wzięli na warsztat również urządzenia do noszenia na sobie – a konkretnie smartwatche i monitory fitness. Interesował nas scenariusz, w którym zainstalowana na smartfonie aplikacja szpiegująca potrafiłaby przesyłać na zdalny serwer dane z wbudowanych sensorów ruchu (przyspieszeniomierz i żyroskop) i wykorzystać je do odtworzenia aktywności ruchowej właściciela takiego monitora – chodzenie, siedzenie, pisanie na klawiaturze, itd. Przygotowaliśmy smartfona z systemem Android, stworzyliśmy prostą aplikację do przetwarzania i przesyłania danych, a następnie sprawdziliśmy, czego mogliśmy dowiedzieć się z tych danych. Okazało się, że nie tylko byliśmy w stanie stwierdzić, czy właściciel gadżetu siedzi czy chodzi w danej chwili, ale również to, czy wyszedł na spacer lub przesiada się w metrze – wszystko to na podstawie niewielkich różnic rejestrowanych przez przyśpieszeniomierz, dzięki którym monitory fitness rozróżniają pomiędzy chodzeniem a jazdą na rowerze. Nie trudno również rozpoznać, kiedy ktoś pisze na klawiaturze. Jednak stwierdzenie, co pisze, byłoby trudne i wymagałoby wielokrotnego wpisywania tekstu. Naszym badaczom udało się odtworzyć hasło do komputera z 96 proc. dokładnością oraz kod PIN wprowadzany w bankomatach z 87 proc. dokładnością. Jednak uzyskanie innych informacji – takich jak np. numer karty kredytowej lub kod CVC - byłoby znacznie trudniejsze, ponieważ trudno przewidzieć, kiedy ofiara poda takie dane. W rzeczywistości, trudności wiążące się ze zdobyciem tych informacji oznaczają, że osoba atakująca musiałaby być silnie zmotywowana, żeby zaatakować konkretną osobę. Naturalnie, w pewnych sytuacjach mogłaby to być dla niektórych gra wartą świeczki.    

W ostatnich latach obserwowaliśmy również wzrost popularności usług umożliwiających korzystanie ze wspólnych samochodów (ang. car sharing). Tego typu usługi z pewnością oferują większe poczucie niezależności osobom, które chcą poruszać się po dużych miastach. Nasuwa się jednak pytanie o bezpieczeństwo – jak bezpieczne są informacje osobowe użytkowników takich serwisów? W lipcu sprawdziliśmy 13 aplikacji, aby przekonać się, czy ich twórcy wzięli pod uwagę tę kwestię. Wyniki przeprowadzonych przez nas testów nie napawały optymizmem. Okazuje się, że twórcy aplikacji nie rozumieją w pełni obecnych zagrożeń dla platform mobilnych – dotyczy to zarówno etapu projektowania jak i tworzenia infrastruktury. Pierwszym krokiem powinno być rozszerzenie funkcjonalności powiadamiania klientów o podejrzanych działaniach – obecnie tylko jeden serwis wysyła powiadomienia klientom odnośnie prób zalogowania się do ich konta z innego urządzenia. Większość przeanalizowanych przez nas aplikacji została niewłaściwie zaprojektowana z punktu widzenia bezpieczeństwa i wymaga poprawy. Ponadto, wiele programów jest nie tylko bardzo podobnych do siebie, ale w rzeczywistości opiera się na tym samym kodzie. W tym miejscu można przeczytać nasz raport, zawierający m.in. wskazówki dla klientów serwisów umożliwiających korzystanie ze wspólnych samochodów oraz zalecenia dla twórców aplikacji dla takich serwisów.          

Wykorzystywanie inteligentnych urządzeń staje się coraz bardziej rozpowszechnione. Według niektórych szacunków, w 2020 r. ich liczba kilkakrotnie przewyższy liczbę ludzi na świecie. Mimo to producenci nadal nie traktują bezpieczeństwa jako kwestii priorytetowej: nie stosują przypomnień o  zmianie hasła domyślnego podczas początkowej konfiguracji ani powiadomień o udostępnieniu nowych wersji firmware’u. A sam proces aktualizacji może wydawać się przeciętnemu konsumentowi dość skomplikowany. Z tego powodu urządzenia Internetu Rzeczy stanowią główny cel cyberprzestępców. Są łatwiejsze do zainfekowania niż komputery PC, a przy tym często odgrywają istotną rolę w domowej infrastrukturze: niektóre z nich zarządzają ruchem internetowym, inne nakręcają filmy wideo, a jeszcze inne sterują urządzeniami domowymi – np. klimatyzacją. Rośnie nie tylko liczba szkodliwych programów dla inteligentnych urządzeń, ale również ich jakość. Coraz więcej exploitów jest przekształcanych w „narzędzie broni” cyberprzestępców, a zainfekowane urządzenia są wykorzystywane do przeprowadzania ataków DDoS, kradzieży danych osobowych oraz kopania kryptowaluty. We wrześniu opublikowaliśmy raport dotyczący zagrożeń dla Internetu Rzeczy, zaczęliśmy również uwzględniać dane dotyczące ataków IoT w naszych kwartalnych i rocznych raportach statystycznych.    

Jest niezwykle istotne, aby producenci skorygowali swoje podejście do bezpieczeństwa, tak aby kwestia ta była uwzględniana podczas projektowania produktów. Próbując zachęcić producentów inteligentnych urządzeń do myślenia o bezpieczeństwie już na etapie projektowania, rządy niektórych państw tworzą wytyczne. W październiku rząd Wielkiej Brytanii przedstawił swój kodeks postępowania dot. bezpieczeństwa konsumenckich urządzeń Internetu Rzeczy. Niedawno niemiecki rząd opublikował sugestie odnośnie minimalnych standardów dotyczących ruterów szerokopasmowych. 

Równie ważne jest to, aby na bezpieczeństwo zwracali uwagę także klienci rozpatrujący zakup urządzenia połączonego z Internetem. Warto zastosować się do poniższych wskazówek:

  • Zastanowić się, czy dane urządzenie jest naprawdę niezbędne. Jeżeli tak, warto sprawdzić dostępne funkcje i wyłączyć ty, które nie są potrzebne, w celu zminimalizowania ewentualnych możliwości ataków.
  • Poszukać w Internecie informacji o zgłoszonych lukach w zabezpieczeniach.
  • Sprawdzić, czy możliwe jest aktualizowanie firmware’u na urządzeniu.
  • Zmienić hasło domyślne, zastępując je niepowtarzalnym, złożonym ciągiem znaków.
  • Nie ujawniać online numerów seryjnych, adresów IP czy innych wrażliwych danych dotyczących urządzenia.

Nasze dane w ich rękach

Informacje osobowe to towar o dużej wartości. Świadczą o tym regularne doniesienia w mediach o naruszeniu bezpieczeństwa danych. Ofiarą takich incydentów padły między innymi Under Armour, FIFA, Adidas, Ticketmaster, T-Mobile, Reddit, British Airways oraz Cathay Pacific.   

Skandal dotyczący wykorzystania przez firmę Cambridge Analytica danych z Facebooka pokazuje, że dane osobowe są cenne nie tylko dla cyberprzestępców. W wielu przypadkach, dane osobowe stanowią cenę, jaką płacimy za pewne produkty lub usługi takie jak „darmowe” przeglądarki, „darmowe” konta e-mail, „darmowe” konta na portalach społecznościowych itd. Jednak nie w każdym przypadku. Coraz częściej otaczamy się inteligentnymi urządzeniami, które potrafią gromadzić dane dotyczące najdrobniejszych szczegółów naszego życia. Na początku 2018 roku pewien dziennikarz przerobił swoje mieszkanie na inteligentny dom, żeby sprawdzić, ile danych gromadzą producenci urządzeń. Ponieważ tego rodzaju urządzenia zwykle nabywamy za pieniądze, nie można powiedzieć w tym przypadku, że udostępnianie danych to cenach, jaką musimy zapłacić za korzystanie z nich.

Niektóre incydenty naruszenia bezpieczeństwa znalazły finał w postaci kar nałożonych na firmy, które padły ich ofiarą (Brytyjski urząd komisarza ds. informacji ukarał firmy Equifax oraz Facebook). Jednak jak dotąd nałożone kary dotyczyły naruszeń, jakie miały miejsce przed wejściem w życie rozporządzenia RODO w maju 2018 r. W przyszłości kary za poważne naruszenia będą prawdopodobnie znacznie wyższe.

Naturalnie, 100% bezpieczeństwo nie istnieje. Jednak każda organizacja, która przechowuje dane osobowe, ma obowiązek wykazania należytej staranności w zakresie ich zabezpieczenia. A w przypadku, gdy w wyniku incydentu naruszenia bezpieczeństwa dojdzie do kradzieży informacji osobowych, firmy powinny niezwłocznie poinformować o tym swoich klientów, aby mogli podjąć odpowiednie działania w celu ograniczenia potencjalnych szkód.

Chociaż sami nie możemy nic zrobić, aby zapobiec kradzieży naszych informacji osobowych przechowywanych przez dostawcę online, ważne jest, abyśmy podjęli działania w celu zabezpieczenia naszych kont online oraz zminimalizowania wpływu incydentu naruszenia bezpieczeństwa – szczególnie poprzez wykorzystywanie unikatowych haseł dla każdej strony internetowej oraz stosowanie uwierzytelnienia dwuskładnikowego.