216.47
Rating
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
12 February 2016

Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон/Амебей/Кианохет

«Лаборатория Касперского» corporate blogInformation Security
Три самых популярных новости этой недели приплыли к нам с теплых (+20) Канарских островов, где 8 и 9 февраля прошла ежегодная конференция экспертов по безопасности Security Analyst Summit, организованная «Лабораторией Касперского». Как и в прошлом году, #TheSAS2016 оказался богат на большие расследования, ставшие результатом многомесячной работы экспертов. Такие расследования дают несколько больше понимания о том, в какую сторону эволюционирует ландшафт угроз, чем важные, но все же разрозненные «рутинные» новости об уязвимостях, взломах и прочем. Что изменилось? Три ключевых презентации на Саммите в прошлом году были посвящены атакам класса APT — сложным кибер-операциям, с использованием самых современных и дорогих в разработке инструментов, направленных на максимально длительное присутствие в системе жертвы. Подробнее о них — здесь.

В этом году активность threat actors, скорее всего спонсируемых государством, также активно обсуждалась, но ключевые исследования были больше про таргетированные атаки на бизнес. Отличие важное. Дорогие операции а-ля The Equation воспринимаются как нечто очень опасное, но непосредственно «рядовым» компаниям не угрожающее. А даже если бизнес и становится предметом интереса организаторов атаки — то, вроде как, ничего и не поделаешь — против лома нет приема (на самом деле приемы есть). Исследования этого года больше касаются business as usual — атак на компании с использованием стандартных инструментов (никаких модифицированных прошивок для жестких дисков), со смекалкой и активной предварительной разведкой. В таких случаях обычно не используется продвинутое кибероружие, но есть ущерб, потеря репутации и полный набор других неприятных последствий для бизнеса.

И еще. Методы атаки и вредоносное ПО, которые квалифицируются по высшему кибер-разряду, очень быстро становятся рутинным инструментом, доступным все большему количеству криминальных групп. Посмотрим на исследования в деталях. Все выпуски дайджеста — тут.

Банковское ограбление: Carbanak и не только
Новость. Блогпост с картинками. Исследование.

Carbanak — это новость с Security Analyst Summit прошлого года. Тогда исследователи «Лаборатории» раскрыли детали сложной атаки на финансовые организации. Атака отличалась как использованием сложного инструментария для проникновения в банковские сети, так и умением использовать банковские инструменты для кражи денег, так, чтобы оставлять как можно меньше следов. В этом году мы обнаружили сразу трех последователей Carbanak — один из них явно дело рук той же киберкриминальной группы, еще два — независимые операции, со своими инструментами и приемами атаки, но преследующие одну и ту же цель: украсть реальные денежные средства.



Подробнее о всех трех атаках можно почитать по ссылкам выше, я же остановлюсь на наиболее интересных деталях. Организаторы атаки Metel применили неординарную систему вывода средств: по результатам взлома банковской сети они получали возможность снимать деньги с карт и сразу же откатывать операцию. То есть по факту в руках злоумышленников оказывались «бездонные» кредитки. Ключевым преимуществом такого подхода стала возможность провести операцию вывода средств в максимально короткие сроки, ограниченным набором карт опустошая банкоматы в ночное время. Опасность подобного метода для компаний понятна: на реагирование и блокировку действий злоумышленников отводится совсем немного времени. Все это находится в полном соответствии с нашими предсказаниями конца 2015 года об эволюции атак на бизнес. В отличие от APT, угроз, в которых есть продвинутый инструментарий взлома и тактика длительного пребывания в сети жертвы, новые атаки совсем не обязательно используют действительно сложные методы, да и на всю операцию отводятся не за месяцы, а дни, а то и часы. Хит энд ран.

Группировка GCMAN для вывода средств использовала электронные деньги, а атаковали традиционными методами, в частности путем рассылки фишинговых сообщений. Здесь примечательно использование преимущественно легитимных программ (putty, VNC и так далее). Наконец, главной особенностью атаки Carbanak 2.0 стали и вовсе не методы взлома, а расширение списка потенциальных жертв. Цифровые «ограбления» больше не ограничиваются выводом средств через банкоматы или цепочки банковских счетов: под ударом оказались и финансовые отделения крупных компаний.

Как на самом деле будут ломать энергосети? Отвечает honeypot
Новость.

Исследователь Деван Чаудхури из компании MalCrawler в своем выступлении на SAS2016 поделился интересным опытом «заманивания» атакующих в специально созданный «энергетический» honeypot. Ханипоты активно применяются для вылавливания вредоносного ПО, и польза от них очевидная: вместо реальной системы атакующему подставляется специально созданная, и особенности атаки выясняются без нанесения реального ущерба. В случае с критической инфраструктурой все сложнее: «эмуляция» должна быть максимально правдоподобной, а это означает необходимость установки специализированного управляющего софта и передачу через него правдоподобных откликов на попытки сломать какую-нибудь электростанцию, при том что в реальности никакой электростанции нет.



Чаудхури изучал тактику атакующих, обеспечивая в приманке заранее предусмотренные уязвимости — неправильную конфигурацию, открытую WiFi сеть и так далее. В большинстве случаев атакующие ограничивались разведкой: выкачивали предусмотрительно разложенные по пути взлома файлы, пытались составить карту физических объектов, к которым предположительно дает доступ атакованная система. Но попадались и те, кого документы и разведка не интересовали — они сразу приступали к попыткам вывести энергосистему из строя.

Насколько вообще реально такими методами устроить блэкаут? По мнению исследователя из MalCrawler, цена «входа» для желающих устроить диверсию по-прежнему высока. Приводя в пример Stuxnet, Чаудхури предполагает, что основной бюджет таких группировок приходится не на «айтишную» часть, а на анализ работы специализированного «железа» и «софта». Прежде чем пытаться что-то обрушить, надо очень четко понимать, как работает энергосеть или подобный объект. По факту это означает строительство реальных моделей, с реальным железом, необходимость разбираться в тонкостях настройки.

Все хорошо? Не совсем. Выше — в истории про взлом банков — речь тоже шла о специализированном софте и доступе к закрытой информации о методах работы финансовых систем. Чтобы провести операцию по созданию «бездонной» кредитки, нужно прежде всего знать, как это делается, как не привлечь внимание систем безопасности и специалистов по ИБ в атакуемой компании. И ведь как-то справились. Поэтому основной вывод из исследования Девана Чаудхури заключается в том, что желающие сломать объекты критической инфраструктуры уже есть, прямо сейчас. Пусть они пока (предположительно) не в состоянии нанести серьезный ущерб, но явно не стоит ждать, когда они наконец-то научатся.

Посейдон. Локализованная таргетированная атака с глобальными последствиями.
Новость. Блогпост. Исследование.

Кампанию Poseidon наши эксперты назвали «бутиком по созданию кастомных зловредов». Это объясняет сложность обнаружения атаки: когда под каждую жертву создается уникальный или почти уникальный набор инструментов, очень сложно «объединить» отдельные инциденты в общее расследование. Тем не менее, сделать это удалось, возможно отчасти из-за неординарного способа монетизации: взломав очередную компанию организаторы атак требовали у жертвы деньги за «услуги» по «информационной» «безопасности». Естественно, выплата денег жертвой ничего не гарантировала: в некоторых случаях несанкционированный доступ сохранялся.



Собрав воедино всю информацию о группировке, исследователи «Лаборатории» определили, что она действует минимум 10 лет, причем самый ранний вредоносный код, атрибутированный этой кампании, датируется 2001-м годом. Соответственно, в списке целевых атакованных систем значится даже Windows 95. Самая важная особенность Poseidon — географическая локализация. Большинство жертв кампании находятся в Бразилии. То есть бизнесу из других стран можно расслабиться? Не совсем. Внимание группы привлекали и иностранные компании, либо работающие в стране, либо взаимодействующие с фирмами из Бразилии. Были обнаружены жертвы в США, России, Казахстане, Индии и других странах. Итого: криминальная кампания, создающая таргетированные инструменты взлома для каждой атаки, опять же без суперпродвинутых приемов и кода, но успешно работающая больше 10 лет.

Что еще произошло:
Еще одно исследование специалистов «Лаборатории» на Security Analyst Summit: кросс-платформенный бэкдор Adwind на Java. Adwind — представитель стремительно растущего рынка киберкриминальных услуг: авторы бэкдора продают его «за недорого» всем желающим, и обычно такая малварь-по-заказу используется для атаки на пользователей. Но в данном случае мы обнаружили атаки на компании, так что на примере Adwind можно оценить потенциал таргетированных атак даже на малый бизнес: доступ к таким инструментам взлома стоит буквально копейки.

Очередной фейковый антивирус для Mac OS X не представлял бы собой ничего особенного, если бы не одно но: данный экземпляр scareware подписан легитимным сертификатом разработчика, и соответственно встроенный в Mac OS X защитник Gatekeeper его не замечает.

Древности:
«Disk-Filler»

Очень опасный «стелс»-вирус, поражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к диску. При заражении Boot-сектора дискеты форматирует на ней дополнительный трек (40-й у 360K и 80-й у 1.2M) и записывает туда свой код. Затем вирус встраивает свою головную часть в Boot-сектор дискеты таким образом, что коды первоначального Boot-сектора практически не изменяются. При заражении винчестера располагает свое тело сразу за MBR. В самой MBR вирус изменяет лишь адрес активного Boot-сектора и устанавливает его на сектор, содержащий начало вируса.

При запуске COMMAND.COM перемещает себя в область памяти с меньшими адресами. В зависимости от системного времени расшифровывает и выводит на экран текст, затем «рисует» в секторах FAT картинку:



Также содержит текст: «command.com». Перехватывает int13h, 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 99.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:posedionmetelgcmancarbanaksas2016gatekeeperscarewareklsw
Hubs: «Лаборатория Касперского» corporate blog Information Security
+12
10.8k 39
Leave a comment
Security Researcher
Лаборатория КасперскогоМосква
Senior Security Researcher
Лаборатория КасперскогоМосква
Application Security Specialist
Лаборатория КасперскогоМосква
Expert (Consulting, Security Services)
Лаборатория КасперскогоМосква
Senior Security Services Analyst
Лаборатория КасперскогоМосква
Top of the last 24 hours
Information
Founded

21 August 1997

Location

Россия

Employees

1,001–5,000 employees

Registered

9 August 2008