„Niewidoczne” ataki - cyberprzestępcy uderzyli w 40 krajach
Eksperci wykryli serię „niewidocznych” cyberataków ukierunkowanych, w których wykorzystywane jest wyłącznie legalne oprogramowanie. Nie pobiera ono żadnych szkodliwych plików na dysk, ale ukrywa się w pamięci. To łączone podejście pomaga uniknąć wykrycia i nie pozostawia niemal żadnych śladów czy próbek szkodliwego oprogramowania. Atakujący pozostają w systemie wystarczająco długo, aby zebrać informacje, po czym ich ślady zostają wymazane wraz z pierwszym ponownym uruchomieniem maszyny.
Pod koniec 2016 roku z ekspertami z Kaspersky Lab skontaktowały się banki ze Wspólnoty Niepodległych Państw, które w pamięci swoich serwerów znalazły oprogramowanie do przeprowadzania testów penetracyjnych, Meterpreter (obecnie często wykorzystywane do szkodliwych celów), którego nie powinno było tam być. Kaspersky Lab odkrył, że kod Meterpretera występował razem z wieloma legalnymi skryptami PowerShell oraz innymi narzędziami. Połączone narzędzia zostały zaadaptowane do szkodliwego kodu, który potrafił ukrywać się w pamięci, gromadząc potajemnie hasła administratorów systemów w celu umożliwienia atakującym przejęcia zdalnej kontroli nad systemami ofiar. Wydaje się, że ostatecznym celem cyberprzestępców był dostęp do procesów finansowych.
Kaspersky Lab ustalił następnie, że takie ataki są przeprowadzane na skalę masową: dotkniętych nimi zostało ponad 140 sieci korporacyjnych z wielu różnych branż, przy czym większość ofiar jest zlokalizowana w Stanach Zjednoczonych, we Francji, w Ekwadorze, Kenii, Wielkiej Brytanii i Rosji. W sumie infekcje zostały odnotowane w 40 krajach.
Nie wiadomo, kto stoi za tymi atakami. Wykorzystywanie szkodliwego kodu, który jest dostępny na cyberprzestępczym czarnym rynku, popularnych narzędzi systemu Windows oraz nieznanych domen sprawia, że zidentyfikowanie ugrupowania odpowiedzialnego za ataki jest niemal niemożliwe — nie można nawet stwierdzić, czy mamy tu do czynienia z jedną grupą, czy kilkoma, które wykorzystują te same narzędzia. Spośród znanych ugrupowań stosujących najbardziej zbliżone metody należy wskazać na GCMAN i Carbanak.
Tego rodzaju narzędzia utrudniają również ustalenie szczegółów dotyczących ataku. Standardowy proces reagowania na incydent polega na tym, że osoba prowadząca dochodzenie bada ślady i próbki pozostawione w sieci przez przestępców. O ile dane znajdujące się na dysku twardym mogą być dostępne jeszcze długi czas po incydencie, ukryte w pamięci ślady są usuwane przy pierwszym ponownym uruchomieniu komputera.
"Dążenie cyberprzestępców do ukrywania swojej aktywności oraz utrudniania wykrywania i reagowania na incydenty wpisuje się w najnowszy trend obejmujący techniki antykryminalistyczne oraz szkodliwe oprogramowanie rezydujące w pamięci. Dlatego kryminalistyka pamięci zyskuje zasadnicze znaczenie dla analizy szkodliwego oprogramowania i jego funkcji. W tych konkretnych incydentach atakujący zastosowali wszystkie znane techniki utrudniające prowadzenie cyfrowego śledztwa, dowodząc przy okazji, że aby skutecznie wyprowadzić dane z sieci, nie potrzeba żadnych plików szkodliwego oprogramowania, i że wykorzystanie legalnych oraz ogólnodostępnych narzędzi niemal całkowicie uniemożliwia wskazanie sprawcy" - powiedział Sergiej Golowanow, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Cyberprzestępcy stojący za omawianymi działaniami są nadal aktywni, dlatego należy zaznaczyć, że tego rodzaju atak można wykryć tylko w pamięci RAM, sieci i rejestrze, i w takich przypadkach nawet reguły Yara (wykorzystywane do badania i wykrywania zaawansowanych cyberataków) w oparciu o skanowanie szkodliwych plików nie mają zastosowania.
Szczegóły dotyczące drugiej części operacji, pokazujące, w jaki sposób osoby atakujące zaimplementowały unikatowe taktyki umożliwiające wypłatę pieniędzy za pośrednictwem bankomatów, zostaną przedstawione przez Siergieja Golowanowa i Igora Soumenkowa podczas konferencji Security Analyst Summit, które odbędzie się w dniach 2-6 kwietnia 2017 r.
