Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон-Амебей-Кианохет

Три самых популярных новости этой недели приплыли к нам с теплых (+20) Канарских островов, где 8 и 9 февраля прошла ежегодная конференция экспертов по безопасности Security Analyst Summit, организованная «Лабораторией Касперского». Как и в прошлом году, #TheSAS2016 оказался богат на большие расследования, ставшие результатом многомесячной работы экспертов. Такие расследования дают несколько больше понимания о том, в какую сторону эволюционирует ландшафт угроз, чем важные, но все же разрозненные «рутинные» новости об уязвимостях, взломах и прочем. Что изменилось? Три ключевых презентации на Саммите в прошлом году были посвящены атакам класса APT — сложным кибер-операциям, с использованием самых современных и дорогих в разработке инструментов, направленных на максимально длительное присутствие в системе жертвы. Подробнее о них — здесь ^[1].

В этом году активность threat actors, скорее всего спонсируемых государством, также активно обсуждалась, но ключевые исследования были больше про таргетированные атаки на бизнес. Отличие важное. Дорогие операции а-ля The Equation ^[2] воспринимаются как нечто очень опасное, но непосредственно «рядовым» компаниям не угрожающее. А даже если бизнес и становится предметом интереса организаторов атаки — то, вроде как, ничего и не поделаешь — против лома нет приема (на самом деле приемы есть). Исследования этого года больше касаются business as usual — атак на компании с использованием стандартных инструментов (никаких модифицированных прошивок для жестких дисков), со смекалкой и активной предварительной разведкой. В таких случаях обычно не используется продвинутое кибероружие, но есть ущерб, потеря репутации и полный набор других неприятных последствий для бизнеса.

И еще. Методы атаки и вредоносное ПО, которые квалифицируются по высшему кибер-разряду, очень быстро становятся рутинным инструментом, доступным все большему количеству криминальных групп. Посмотрим на исследования в деталях. Все выпуски дайджеста — тут ^[3].

Банковское ограбление: Carbanak и не только
Новость ^[4]. Блогпост ^[5] с картинками. Исследование ^[6].

Carbanak — это новость с Security Analyst Summit прошлого года. Тогда исследователи «Лаборатории» раскрыли детали сложной атаки на финансовые организации. Атака отличалась как использованием сложного инструментария для проникновения в банковские сети, так и умением использовать банковские инструменты для кражи денег, так, чтобы оставлять как можно меньше следов. В этом году мы обнаружили сразу трех последователей Carbanak — один из них явно дело рук той же киберкриминальной группы, еще два — независимые операции, со своими инструментами и приемами атаки, но преследующие одну и ту же цель: украсть реальные денежные средства.

Подробнее о всех трех атаках можно почитать по ссылкам выше, я же остановлюсь на наиболее интересных деталях. Организаторы атаки Metel применили неординарную систему вывода средств: по результатам взлома банковской сети они получали возможность снимать деньги с карт и сразу же откатывать операцию. То есть по факту в руках злоумышленников оказывались «бездонные» кредитки. Ключевым преимуществом такого подхода стала возможность провести операцию вывода средств в максимально короткие сроки, ограниченным набором карт опустошая банкоматы в ночное время. Опасность подобного метода для компаний понятна: на реагирование и блокировку действий злоумышленников отводится совсем немного времени. Все это находится в полном соответствии с нашими предсказаниями ^[7] конца 2015 года об эволюции атак на бизнес. В отличие от APT, угроз, в которых есть продвинутый инструментарий взлома и тактика длительного пребывания в сети жертвы, новые атаки совсем не обязательно используют действительно сложные методы, да и на всю операцию отводятся не за месяцы, а дни, а то и часы. Хит энд ран.

Группировка GCMAN для вывода средств использовала электронные деньги, а атаковали традиционными методами, в частности путем рассылки фишинговых сообщений. Здесь примечательно использование преимущественно легитимных программ (putty, VNC и так далее). Наконец, главной особенностью атаки Carbanak 2.0 стали и вовсе не методы взлома, а расширение списка потенциальных жертв. Цифровые «ограбления» больше не ограничиваются выводом средств через банкоматы или цепочки банковских счетов: под ударом оказались и финансовые отделения крупных компаний.

Как на самом деле будут ломать энергосети? Отвечает honeypot
Новость ^[8].

Исследователь Деван Чаудхури из компании MalCrawler в своем выступлении на SAS2016 поделился интересным опытом «заманивания» атакующих в специально созданный «энергетический» honeypot. Ханипоты активно применяются для вылавливания вредоносного ПО, и польза от них очевидная: вместо реальной системы атакующему подставляется специально созданная, и особенности атаки выясняются без нанесения реального ущерба. В случае с критической инфраструктурой все сложнее: «эмуляция» должна быть максимально правдоподобной, а это означает необходимость установки специализированного управляющего софта и передачу через него правдоподобных откликов на попытки сломать какую-нибудь электростанцию, при том что в реальности никакой электростанции нет.

Чаудхури изучал тактику атакующих, обеспечивая в приманке заранее предусмотренные уязвимости — неправильную конфигурацию, открытую WiFi сеть и так далее. В большинстве случаев атакующие ограничивались разведкой: выкачивали предусмотрительно разложенные по пути взлома файлы, пытались составить карту физических объектов, к которым предположительно дает доступ атакованная система. Но попадались и те, кого документы и разведка не интересовали — они сразу приступали к попыткам вывести энергосистему из строя.

Насколько вообще реально такими методами устроить блэкаут? По мнению исследователя из MalCrawler, цена «входа» для желающих устроить диверсию по-прежнему высока. Приводя в пример Stuxnet, Чаудхури предполагает, что основной бюджет таких группировок приходится не на «айтишную» часть, а на анализ работы специализированного «железа» и «софта». Прежде чем пытаться что-то обрушить, надо очень четко понимать, как работает энергосеть или подобный объект. По факту это означает строительство реальных моделей, с реальным железом, необходимость разбираться в тонкостях настройки.

Все хорошо? Не совсем. Выше — в истории про взлом банков — речь тоже шла о специализированном софте и доступе к закрытой информации о методах работы финансовых систем. Чтобы провести операцию по созданию «бездонной» кредитки, нужно прежде всего знать, как это делается, как не привлечь внимание систем безопасности и специалистов по ИБ в атакуемой компании. И ведь как-то справились. Поэтому основной вывод из исследования Девана Чаудхури заключается в том, что желающие сломать объекты критической инфраструктуры уже есть, прямо сейчас. Пусть они пока (предположительно) не в состоянии нанести серьезный ущерб, но явно не стоит ждать, когда они наконец-то научатся.

Посейдон. Локализованная таргетированная атака с глобальными последствиями.
Новость ^[9]. Блогпост ^[10]. Исследование ^[11].

Кампанию Poseidon наши эксперты назвали «бутиком по созданию кастомных зловредов». Это объясняет сложность обнаружения атаки: когда под каждую жертву создается уникальный или почти уникальный набор инструментов, очень сложно «объединить» отдельные инциденты в общее расследование. Тем не менее, сделать это удалось, возможно отчасти из-за неординарного способа монетизации: взломав очередную компанию организаторы атак требовали у жертвы деньги за «услуги» по «информационной» «безопасности». Естественно, выплата денег жертвой ничего не гарантировала: в некоторых случаях несанкционированный доступ сохранялся.

Собрав воедино всю информацию о группировке, исследователи «Лаборатории» определили, что она действует минимум 10 лет, причем самый ранний вредоносный код, атрибутированный этой кампании, датируется 2001-м годом. Соответственно, в списке целевых атакованных систем значится даже Windows 95. Самая важная особенность Poseidon — географическая локализация. Большинство жертв кампании находятся в Бразилии. То есть бизнесу из других стран можно расслабиться? Не совсем. Внимание группы привлекали и иностранные компании, либо работающие в стране, либо взаимодействующие с фирмами из Бразилии. Были обнаружены жертвы в США, России, Казахстане, Индии и других странах. Итого: криминальная кампания, создающая таргетированные инструменты взлома для каждой атаки, опять же без суперпродвинутых приемов и кода, но успешно работающая больше 10 лет.

Что еще произошло:
Еще одно исследование специалистов «Лаборатории» на Security Analyst Summit: кросс-платформенный бэкдор Adwind ^[12] на Java. Adwind — представитель стремительно растущего рынка киберкриминальных услуг: авторы бэкдора продают его «за недорого» всем желающим, и обычно такая малварь-по-заказу используется для атаки на пользователей. Но в данном случае мы обнаружили атаки на компании, так что на примере Adwind можно оценить потенциал таргетированных атак даже на малый бизнес: доступ к таким инструментам взлома стоит буквально копейки.

Очередной фейковый антивирус ^[13] для Mac OS X не представлял бы собой ничего особенного, если бы не одно но: данный экземпляр scareware подписан легитимным сертификатом разработчика, и соответственно встроенный в Mac OS X защитник Gatekeeper его не замечает.

Древности:
«Disk-Filler»

Очень опасный «стелс»-вирус, поражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к диску. При заражении Boot-сектора дискеты форматирует на ней дополнительный трек (40-й у 360K и 80-й у 1.2M) и записывает туда свой код. Затем вирус встраивает свою головную часть в Boot-сектор дискеты таким образом, что коды первоначального Boot-сектора практически не изменяются. При заражении винчестера располагает свое тело сразу за MBR. В самой MBR вирус изменяет лишь адрес активного Boot-сектора и устанавливает его на сектор, содержащий начало вируса.

При запуске COMMAND.COM перемещает себя в область памяти с меньшими адресами. В зависимости от системного времени расшифровывает и выводит на экран текст, затем «рисует» в секторах FAT картинку:

Также содержит текст: «command.com». Перехватывает int13h, 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 99.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник ^[14]