Открыть список
Как стать автором
Обновить
3220.54
Рейтинг
Selectel
IT-инфраструктура для бизнеса

Шифровальщики продолжают наступать: уязвимость в VPN Fortigate привела к остановке двух фабрик из-за ransomware

SelectelИнформационная безопасностьIT-инфраструктураСофт

Постапокалиптические сценарии, главными героями которых являются киберпреступники, становятся все более реальными. То они атакуют (причем успешно) электростанции, то насосные станции, управляющие поставками воды для крупных городов. Теперь и за фабрики принялись (точнее, об этом стало известно именно сейчас — скорее всего, атаки, как успешные, так и не очень, реализовывались в течение многих лет).

В сообщении Swisscom CSIRT указывалось, что в этом году киберпреступники организовали успешную атаку на ряд промышленных объектов Европы с использованием шифровальщика Cring. В нескольких случаях атака привела к временной остановке производственных процессов, в результате чего производство потерпело крупные убытки. Сейчас стали известны подробности атаки.

Так что это за атака такая?


О подробностях рассказали журналисты ArsTechnica, получив информацию из первых рук от Kaspersky ICS CERT (кстати, вот ссылка на оригинал). Для того, чтобы проникнуть в сеть предприятия киберпреступники воспользовались уязвимостью CVE-2018-13379. Она дает возможность извлечь файл сеанса VPN-шлюза. Этот файл включает такие данные, как имя пользователя и пароль в открытом виде.

Речь идет об уязвимости сервера Fortigate, что дает возможность злоумышленнику получить доступ к системным файлам устройства Fortigate SSL-VPN. В текущей ситуации киберпреступники могут получить доступ к файлу «sslvpn_websession» напрямую из интернета без необходимости аутентифицироваться.

Так вот, за несколько дней до начала атаки киберпреступники выполняют тестовые подключения к VPN-шлюзу. Благодаря этому они убеждаются, что на устройстве используется версия ПО, которую можно взломать. Возможно, команда злоумышленников и не выполняла эту работу самостоятельно, а просто приобрела список IP систем, которые поддаются взлому. Стоит напомнить, что речь идет именно о Fortigate.

В пользу последней версии говорит то, что предложение о покупке базы устройств публиковалось на одном из закрытых форумов.


Компания Fortigate была в курсе этой проблемы, поэтому старалась предупреждать пользователей.

Ок, атака удалась, а что потом?


После успешного проникновения в сеть операторы вируса воспользовались утилитой Mimikatz. Она применяется для кражи аутентификационных данных учетных записей пользователей Windows, которые ранее выполнили вход на уже взломанной системе.

В одном случае киберпреступникам удалось скомпрометировать учетку доменного администратора организации, которая была атакована. Ну а с этими данными все было уже просто — команда взломщиков воспользовалась фреймворком Cobalt Strike и инструментарием PowerShell для распространения вредоносного ПО внутри сети предприятия.


После загрузки скрипт расшифровывает нагрузку от Cobalt Strike Beacon — это бэкдор, который дает возможность взломщику удаленно контролировать зараженную систему. Удалось узнать и IP сервера — это 198.12.112[.]204.


Система на крючке


Ну и после этого остается уже минимум телодвижений — загружается cmd-скрипт, который загружает и запускает криптовымогатель Cring. Он сохраняется в %TEMP%\execute.bat (например, C:\Windows\Temp\execute.bat) и запускает PowerShell с именем «kaspersky», для маскировки работы вымогателя.


Кстати, Cring запускается вручную операторами вредоноса. Здесь есть интересный нюанс — у файла в URL расширение .txt, но на самом деле это исполняемый файл.



После запуска программа останавливает работу служб:

  • Veritas NetBackup: BMR Boot Service, NetBackup BMR MTFTP Service
  • Microsoft SQL server: SQLTELEMETRY, SQLTELEMETRY$ECWDB2, SQLWriter

Плюс останавливается служба, которая используется для создания VPN-подключений. Вероятно, это делается для того, чтобы исключить возможность отреагировать со стороны системных администраторов скомпрометированной сети.

Еще завершаются процессы:

  • Microsoft Office: mspub.exe
  • Oracle Database software: mydesktopqos.exe, mydesktopservice.exe

Удаляются файлы и папки в корне диска с названиями, включающими «Backup» или «backup». Вредоносная программа создает специализированный скрипт kill.bat, который выполняется один раз, после чего удаляет сам себя.


Ну и наступает финальный этап — шифрование всех важных файлов, с использованием криптостойких алгоритмов, которые невозможно расшифровать самостоятельно. Файлы шифруются алгоритмом AES, затем ключ шифрования шифруется при помощи открытого ключа RSA, который встроен в исполняемый файл вредоносной программы. Длина ключа — 8192 бита.

Шифруются все файлы с расширениями:

  • .vhdx (виртуальные диски)
  • .ndf (базы данных Microsoft SQL Server)
  • .wk (таблицы Lotus 1-2-3)
  • .xlsx (таблицы Microsoft Excel)
  • .txt (текстовые документы)
  • .doc (документы Microsoft Word)
  • .docx (документы Microsoft Word)
  • .xls (таблицы Microsoft Excel)
  • .mdb (базы данных Microsoft Access)
  • .mdf (образы дисков)
  • .sql (сохраненные запросы SQL)
  • .bak (файлы резервных копий)
  • .ora (базы данных Oracle)
  • .pdf (PDF документы)
  • .ppt (презентации Microsoft PowerPoint)
  • .pptx (презентации Microsoft PowerPoint)
  • .dbf (файлы баз данных dBASE)
  • .zip (архивы)
  • .rar (архивы)
  • .aspx (веб-страницы ASP.NET)
  • .php (веб-страницы PHP)
  • .jsp (веб-страницы Java)
  • .bkf (резервные копии, созданные утилитой Microsoft Windows Backup Utility)
  • .csv (таблицы Microsoft Excel)

После завершения процесса показывается сообщение с требованием денег.


Сейчас известно о случаях остановки производственных процессов на двух крупных фабриках европейской компании (ее название по понятным причинам не афишируется экспертами по информационной безопасности, которые вскрыли проблему). Скорее всего, это далеко не все, а лишь вершина айсберга.

Можно ли обнаружить признаки заражения?


Да, специалисты Kaspersky Lab опубликовали их, так что можно свериться с этим списком:

Пути к файлам

%temp%\execute.bat (скрипт-загрузчик вредоносного ПО)
C:\__output (исполняемый файл Cring)

Контрольные суммы (MD5)

c5d712f82d5d37bb284acd4468ab3533 (исполняемый файл Cring)
317098d8e21fa4e52c1162fb24ba10ae (исполняемый файл Cring)
44d5c28b36807c69104969f5fed6f63f (скрипт-загрузчик вредоносного ПО)

IP-адреса

129.227.156[.]216 (использовался злоумышленниками в ходе атаки)
129.227.156[.]214 (использовался злоумышленниками в ходе атаки)
198.12.112[.]204 (сервер управления Cobalt Strike)
45.67.231[.]128 (хостинг вредоносного ПО)

Теги:fortigateвзломуязвимостипромышленность
Хабы: Selectel Информационная безопасность IT-инфраструктура Софт
Всего голосов 37: ↑37 и ↓0 +37
Просмотры10.6K

Похожие публикации

Лучшие публикации за сутки