Security Week 06: банковский грабеж на потоке, взлом энергосетей и Посейдон

В этом выпуске Константин Гончаров подводит итоги прошедшего Security Analyst Summit 2016 и рассказывает о ключевых докладах конференции. Например, о трех группировках мошенников, грабивших банки, о атаках на энергетические компании и о бутике зловредов Poseidon

Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон/Амебей/Кианохет

Три самые популярные новости этой недели приплыли к нам с теплых (+20) Канарских островов, где 8 и 9 февраля прошла ежегодная конференция экспертов по безопасности Security Analyst Summit, организованная «Лабораторией Касперского». Как и в прошлом году, #TheSAS2016 оказался богатым на большие расследования, ставшие результатом многомесячной работы экспертов. Такие расследования дают несколько больше понимания о том, в какую сторону эволюционирует ландшафт угроз, нежели важные, но все же разрозненные «рутинные» новости об уязвимостях, взломах и прочем.

Что изменилось? Три ключевые презентации на саммите в прошлом году были посвящены атакам класса APT — сложным кибероперациям, с использованием самых современных и дорогих в разработке инструментов, направленных на максимально длительное присутствие в системе жертвы. Подробнее о них — здесь и здесь.

В этом году активность игроков на рынке киберугроз, скорее всего спонсируемых государством, также активно обсуждалась, но ключевые исследования были больше про таргетированные атаки на бизнес. Отличие важное. Дорогие операции а-ля The Equation воспринимаются как нечто очень опасное, но непосредственно «рядовым» компаниям не угрожающее. А даже если бизнес и становится предметом интереса организаторов атаки, то вроде как ничего и не поделаешь — против лома нет приема (на самом деле приемы есть). Исследования этого года больше касаются атак на компании с использованием стандартных инструментов (никаких модифицированных прошивок для жестких дисков), со смекалкой и активной предварительной разведкой. В таких случаях обычно не используется серьезное кибероружие, но есть ущерб, потеря репутации и полный набор других неприятных последствий для бизнеса.

И еще: методы атаки и вредоносное ПО, которые квалифицируются по высшему киберразряду, очень быстро становятся рутинным инструментом, доступным все большему количеству криминальных групп. Посмотрим на исследования в деталях. Все выпуски дайджеста — тут.

Банковское ограбление: Carbanak и не только

Новость. Блогпост с картинками. Исследование.

Carbanak — это новость с Security Analyst Summit прошлого года. Тогда исследователи «Лаборатории» раскрыли детали сложной атаки на финансовые организации. Атака отличалась как использованием сложного инструментария для проникновения в банковские сети, так и умением использовать банковские инструменты для кражи денег так, чтобы оставлять как можно меньше следов. В этом году мы обнаружили сразу трех последователей Carbanak — один из них явно дело рук той же киберкриминальной группы, еще два — независимые операции, со своими инструментами и приемами атаки, но преследующие одну и ту же цель: украсть реальные денежные средства.

Комиксы #TheSAS2016: APT атакуют банки

Подробнее обо всех трех атаках можно почитать по ссылкам выше, я же остановлюсь на наиболее интересных деталях. Организаторы атаки Metel применили неординарную систему вывода средств: по результатам взлома банковской сети они получали возможность снимать деньги с карт и сразу же откатывать операцию. То есть по факту в руках злоумышленников оказывались «бездонные» кредитки. Ключевым преимуществом такого подхода стала возможность провести операцию вывода средств в максимально короткие сроки, ограниченным набором карт опустошая банкоматы в ночное время. Опасность подобного метода для компаний понятна: на реагирование и блокировку действий злоумышленников отводится совсем немного времени.

Все это находится в полном соответствии с нашими предсказаниями конца 2015 года об эволюции атак на бизнес. В отличие от APT, угроз, в которых есть продвинутый инструментарий взлома и тактика длительного пребывания в сети жертвы, новые атаки совсем не обязательно используют действительно сложные методы, да и на всю операцию отводятся не месяцы, а дни, а то и часы. Классическое hit and run (ударил и убежал).

Группировка GCMAN для вывода средств использовала электронные деньги, а атаковала традиционными методами, в частности путем рассылки фишинговых сообщений. Здесь примечательно использование преимущественно легитимных программ (putty, VNC и так далее). Наконец, главной особенностью атаки Carbanak 2.0 стали и вовсе не методы взлома, а расширение списка потенциальных жертв. Цифровые «ограбления» больше не ограничиваются выводом средств через банкоматы или цепочки банковских счетов: под ударом оказались и финансовые отделения крупных компаний.

Как на самом деле будут ломать энергосети? Отвечает honeypot

Новость.

Исследователь Деван Чаудхури из компании MalCrawler в своем выступлении на SAS2016 поделился интересным опытом «заманивания» атакующих в специально созданный «энергетический» honeypot. Ханипоты активно применяются для вылавливания вредоносного ПО, и польза от них очевидная: вместо реальной системы атакующему подставляется специально созданная, и особенности атаки выясняются без нанесения реального ущерба. В случае с критической инфраструктурой все сложнее: «эмуляция» должна быть максимально правдоподобной, а это означает необходимость установки специализированного управляющего софта и передачу через него правдоподобных откликов на попытки сломать какую-нибудь электростанцию, притом что в реальности никакой электростанции нет.

Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон/Амебей/Кианохет

Чаудхури изучал тактику атакующих, создав в приманке заранее предусмотренные уязвимости — неправильную конфигурацию, открытую Wi-Fi-сеть и так далее. В большинстве случаев атакующие ограничивались разведкой: выкачивали предусмотрительно разложенные по пути взлома файлы, пытались составить карту физических объектов, к которым предположительно дает доступ атакованная система. Но попадались и те, кого документы и разведка не интересовали, — они сразу приступали к попыткам вывести энергосистему из строя.

Насколько вообще реально такими методами устроить блэкаут? По мнению исследователя из MalCrawler, цена «входа» для желающих устроить диверсию по-прежнему высока. Приводя в пример Stuxnet, Чаудхури предполагает, что основной бюджет таких группировок приходится не на «айтишную» часть, а на анализ работы специализированного «железа» и софта. Прежде чем пытаться что-то обрушить, надо очень четко понимать, как работают энергосеть или подобный объект. По факту это означает строительство реальных моделей с реальным железом и необходимость разбираться в тонкостях настройки.

Все хорошо? Не совсем. Выше — в истории про взлом банков — речь тоже шла о специализированном софте и доступе к закрытой информации о методах работы финансовых систем. Чтобы провести операцию по созданию «бездонной» кредитки, нужно прежде всего знать, как это делается, как не привлечь внимание систем безопасности и специалистов по ИБ в атакуемой компании. И ведь как-то справились. Поэтому основной вывод из исследования Девана Чаудхури заключается в том, что желающие сломать объекты критической инфраструктуры уже есть, прямо сейчас. Пусть они пока (предположительно) не в состоянии нанести серьезный ущерб, но явно не стоит ждать, когда они наконец-то научатся.

Посейдон. Локализованная таргетированная атака с глобальными последствиями

Новость. Блогпост. Исследование.

Кампанию Poseidon наши эксперты назвали «бутиком по созданию кастомных зловредов». Это объясняет сложность обнаружения атаки: когда под каждую жертву создается уникальный или почти уникальный набор инструментов, очень сложно «объединить» отдельные инциденты в общее расследование. Тем не менее сделать это удалось, возможно, отчасти из-за неординарного способа монетизации: взломав очередную компанию, организаторы атак требовали у жертвы деньги за «услуги по информационной безопасности». Естественно, выплата денег жертвой ничего не гарантировала: в некоторых случаях несанкционированный доступ сохранялся.

Security Week 06: банковский грабеж на потоке, взлом энергосетей, Посейдон/Амебей/Кианохет

Собрав воедино всю информацию о группировке, исследователи «Лаборатории» определили, что она действует минимум 10 лет, причем самый ранний вредоносный код, атрибутированный этой кампании, датируется 2001 годом. Соответственно, в списке целевых атакованных систем значится даже Windows 95. Самая важная особенность Poseidon — географическая локализация. Большинство жертв кампании находятся в Бразилии.

То есть бизнесу из других стран можно расслабиться? Не совсем. Внимание группы привлекали и иностранные компании, либо работающие в стране, либо взаимодействующие с фирмами из Бразилии. Были обнаружены жертвы в США, России, Казахстане, Индии и других странах. Итого: криминальная группировка, создающая таргетированные инструменты взлома для каждой атаки, опять же без суперсложных приемов и кода, но успешно работающая больше 10 лет.

Что еще произошло:

Еще одно исследование специалистов «Лаборатории» на Security Analyst Summit: кросс-платформенный бэкдор Adwind на Java. Adwind — представитель стремительно растущего рынка киберкриминальных услуг: авторы бэкдора продают его «за недорого» всем желающим, и обычно такой троянец-как-услуга используется для атаки на пользователей. Но в данном случае мы обнаружили атаки и на компании, так что на примере Adwind можно оценить потенциал таргетированных атак даже на малый бизнес: доступ к подобным инструментам взлома стоит буквально копейки.

Очередной фейковый антивирус для Mac OS X не представлял бы собой ничего особенного, если бы не одно но: данный экземпляр scareware подписан легитимным сертификатом разработчика, и, соответственно, встроенный в Mac OS X защитник Gatekeeper его не замечает.

Security Week 05: непростые числа в Socat, Virtustotal проверяет BIOS на закладки, тайная жизнь Wi-Fi модулей

Древности:

«Disk-Filler»

Очень опасный «стелс»-вирус, поражает Boot-сектор флоппи-дисков и MBR винчестера при обращении к диску. При заражении Boot-сектора дискеты форматирует на ней дополнительный трек (40-й у 360K и 80-й у 1.2M) и записывает туда свой код. Затем вирус встраивает свою головную часть в Boot-сектор дискеты таким образом, что коды первоначального Boot-сектора практически не изменяются. При заражении винчестера располагает свое тело сразу за MBR. В самой MBR вирус изменяет лишь адрес активного Boot-сектора и устанавливает его на сектор, содержащий начало вируса.

При запуске COMMAND.COM перемещает себя в область памяти с меньшими адресами. В зависимости от системного времени расшифровывает и выводит на экран текст, затем «рисует» в секторах FAT картинку:

sw06-smile

Также содержит текст: «command.com». Перехватывает int13h, 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 99.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.