Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2014. Spojrzenie w kryształową kulę ataków APT

Tagi:

O kilku lat Globalny Zespół ds. Badań i Analiz firmy Kaspersky Lab (GReAT) rzuca światło na niektóre z największych kampanii APT, w tym RedOctober, Flame, NetTraveler, Miniduke, Epic Turla oraz Careto/Mask. Badając te kampanie, zidentyfikowaliśmy również wiele exploitów 0-day, w tym najnowszą lukę CVE-2014-0546. Również jako jedni z pierwszych donosiliśmy o wyłaniających się trendach w świecie APT, takich jak cybernajemnicy, których można wynająć do przeprowadzenia błyskawicznych ataków, lub ostatnio – ataki przeprowadzane za pośrednictwem nietypowych wektorów takich jak hotelowa sieć Wi-Fi. W ciągu ostatnich lat zespół GReAT firmy Kaspersky Lab monitorował ponad 60 organizacji odpowiedzialnych za cyberataki na całym świecie - organizacji, które wydają się być biegłe w wielu językach, takich jak rosyjski, chiński, niemiecki, hiszpański, arabski, perski i innych.       

map.jpg

Na podstawie dokładnej obserwacji takich organizacji ułożyliśmy listę wyłaniających się zagrożeń w świecie APT. Uważamy, że będą one odgrywały ważną rolę w 2015 roku i zasługują na specjalną uwagę, zarówno z punktu widzenia ich analizy jak i technologii służących do ich zwalczania.  

Połączenie cyberprzestępczości i ataków APT 

Przez wiele lat gangi cyberprzestępcze koncentrowały się wyłącznie na kradzieży pieniędzy użytkowników. Eksplozja kradzieży kart kredytowych, przechwytywanie kont w elektronicznych systemach płatności lub połączeń z bankowością online spowodowały straty klientów w wysokości setek milionów dolarów. Być może rynek ten przestał być lukratywny lub rynek cyberprzestępczy po prostu przeludnił się, ale wygląda na to, że ma miejsce walka o „przetrwanie”. Jak zwykle, walka ta stymuluje ewolucję.

W jednym z incydentów, jakie ostatnio badaliśmy, atakujący zhakowali komputer księgowego i wykorzystali go do wykonania przelewu na dużą sumę z jego banku. Przykład ten wpisuje się w szerszy trend: Ataki ukierunkowane przeprowadzane bezpośrednio na banki, nie na ich użytkowników.   

Wiele incydentów zbadanych przez ekspertów Kaspersky Lab z Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky Lab dotyczyło złamania zabezpieczenia kilku banków przy użyciu metod żywcem wziętych z podręcznika ataków APT. Po przedostaniu się do sieci banków osoby atakujące zgromadziły wystarczające informacje, aby móc ukraść pieniądze bezpośrednio z banku, mając do dyspozycji kilka sposobów:   

  • Zdalne polecenie bankomatom wypłaty gotówki,
  • Wykonanie przelewów z kont różnych klientów, 
  • Manipulowanie systemami bankowości online w celu wykonania przelewów w tle.

Te ataki zwiastują nowy trend, polegający na włączeniu ataków w stylu APT do świata cyberprzestępczego. Jak zwykle, cyberprzestępcy preferują coś, co jest proste: teraz atakują banki bezpośrednio, ponieważ tam znajdują się pieniądze. Uważamy, że jest to istotny trend, który w 2015 roku stanie się jeszcze bardziej znaczący.  

Rozdrobnienie większych grup APT

W 2014 roku różne źródła zdemaskowały publicznie grupy APT. Najbardziej znanym przypadkiem jest prawdopodobnie doprowadzenie przez FBI do oskarżenia pięciu hakerów o różne przestępstwa komputerowe: 

apt-predictions_1.jpg

To publiczne „piętnowanie” oznacza, że można spodziewać się, że niektóre większe i „bardziej widoczne” grupy APT rozpadną się na mniejsze jednostki i będą działały niezależnie.

Czego należy się spodziewać: Spowoduje to bardziej rozproszone ataki, w efekcie czego ich ofiarą padnie więcej firm, ponieważ mniejsze grupy będą dywersyfikować swoje ataki. Jednocześnie, większe firmy, które wcześniej były atakowane przez dwie lub trzy główne grupy APT (np. Comments Crew i Wekby) będą celem bardziej zróżnicowanych ataków z większej liczby źródeł.

Ewolucja technik szkodliwego oprogramowania 

Wraz ze wzrostem mocy i zaawansowania komputerów rośnie również złożoność systemów operacyjnych. Firmy takie jak Microsoft, Google czy Apple poświęcają wiele czasu na udoskonalenie bezpieczeństwa swoich systemów operacyjnych. Ponadto, dostępne są również specjalne narzędzia, takie jak EMET firmy Microsoft, które pomagają odpierać ataki ukierunkowane na dziurawe oprogramowanie. 

apt-predictions_2_auto.jpg

Wobec wzrostu popularności Windows x64 i Apple Yosemite spodziewamy się, że grupy APT uaktualnią swoje zestawy narzędzi omocniejsze” backdoory i technologie służące do obchodzenia rozwiązań bezpieczeństwa.

Czego należy się spodziewać: Obecnie grupy APT rozprzestrzeniają szkodliwe oprogramowanie dla systemów 64-bitowych, w tym 64-bitowe rootkity. W 2015 roku spodziewamy się bardziej wyrafinowanych implantów szkodliwego oprogramowania, udoskonalonych technik unikania wykrycia oraz częstszego wykorzystywania wirtualnych systemów plików (takich jak w przypadku Turla czy Regin) w celu ukrycia cennych narzędzi i skradzionych danych.     

Chociaż obserwujemy wzrost zaawansowania technik niektórzy atakujący podążają w przeciwnym kierunku. Mimo zminimalizowania liczby exploitów oraz ilości skompilowanego kodu, który wprowadzają do skompromitowanych sieci ich praca nadal wymaga wprowadzenia wyrafinowanego kodu lub exploitów, stabilnego punktu wniknięcia do przedsiębiorstwa, narzędzi skryptowych oraz wszelkiego rodzaju eskalacji przywilejów, jak również skradzionych danych uwierzytelniających dostęp w organizacjach ofiar.      

Jak widzieliśmy to w przypadku BlackEnergy 2 (BE2), po wykryciu osoby atakujące aktywnie bronią swojej obecności i tożsamości w obrębie sieci ofiary. Ich techniki utrzymywania się w systemie stają się coraz bardziej zaawansowane i kosztowne. Te same grupy zwiększą ilość i agresywność destrukcyjnych komponentów wykorzystywanych do zacierania swoich śladów i będą one obejmowały większą obsługę systemów *nix, sprzęt sieciowy i obsługę wbudowanego systemu operacyjnego. Już teraz zaobserwowaliśmy pewną ekspansję ze strony organizacji BE2, Yeti oraz Winnti.     

Nowe metody wyprowadzania danych z systemu

Dawno minęły już czasy, gdy osoby atakujące po prostu aktywowały backdoora w sieci korporacyjnej i zaczynały „wysysać” terabajty informacji na serwery FTP na całym świecie. Dzisiaj bardziej zaawansowane grupy regularnie wykorzystują SSL wraz z niestandardowymi protokołami komunikacji.  

Niektóre bardziej zaawansowane grupy otwierają tzw. tylne drzwi w urządzeniach sieciowych i bezpośrednio przechwytują ruch. Inne zaobserwowane techniki obejmują wyprowadzanie danych do serwisów opartych na chmurze, np. za pośrednictwem protokołu WebDAV (wspomaga to współpracę między użytkownikami podczas edytowania i zarządzania dokumentami i plikami przechowywanymi na serwerach sieciowych).   

To z kolei spowodowało, że wiele korporacji zakazało wykorzystywania w swoich sieciach publicznych serwisów opartych na chmurze, takich jak Dropbox. Mimo to, nadal jest to skuteczna metoda obchodzenia systemów wykrywania włamań oraz czarnych list DNS.

Czego należy się spodziewać: W 2015 roku więcej grup będzie wykorzystywać usługi oparte na chmurze, tak aby dane mogły być wyprowadzane w sposób bardziej ukradkowy i trudniejszy do wykrycia. 

Nowe ataki APT z nietypowych miejsc wraz z przystępowaniem do cybernetycznego wyścigu zbrojeń coraz większej liczby państw

W lutym 2014 roku opublikowaliśmy badanie dotyczące Careto/Mask, niezwykle wyrafinowanego aktora na scenie zagrożeń, który wykazał się biegłą znajomością języka hiszpańskiego - języka, który rzadko spotykamy w atakach ukierunkowanych. W sierpniu opublikowaliśmy również raport dotyczący Machete, kolejnego aktora na scenie zagrożeń posługującego się językiem hiszpańskim.  

Wcześniej zaobserwowane przez nas osoby atakujące i operacje APT odznaczały się płynną znajomością stosunkowo niewielkiej liczby języków. Ponadto, wielu profesjonalistów nie wykorzystuje swojego języka ojczystego preferując zamiast tego pisanie w perfekcyjnym angielskim.

W 2014 roku wiele krajów na świecie publicznie wyraziło zainteresowanie rozwojem możliwości ataków APT: 

apt-predictions_3_auto.jpg

Czego należy się spodziewać: Chociaż jak dotąd nie widzieliśmy żadnych ataków APT w języku szwedzkim, przypuszczamy, że więcej krajów przystąpi do „cybernetycznego wyścigu zbrojeń” i będzie rozwijało swoje zdolności cyberszpiegowskie. 

Ataki pod fałszywą banderą 

Atakujący popełniają błędy. W większości analizowanych przez nas przypadków obserwujemy artefakty, które dostarczają wskazówki odnośnie języka, jakim posługują się cyberprzestępcy. Na przykład w przypadku kampanii Red October i Epic Turla ustaliliśmy, że osoby atakujące posługiwały się prawdopodobnie biegle językiem rosyjskim. W przypadku kampanii NetTraveler doszliśmy do wniosku, że agresorzy sprawnie posługiwali się językiem chińskim.    

W niektórych przypadkach, eksperci obserwują inne cechy, które mogą wskazywać na atakujących. Na przykład, przeprowadzenie analizy sygnatur czasowych plików wykorzystanych w ataku może wskazać, w jakiej części świata skompilowano większość próbek. 

Jednak cyberprzestępcy reagują na tę sytuację. W 2014 roku zaobserwowaliśmy kilka operacji pod fałszywą banderą, w których dostarczano „nieaktywne” szkodliwe oprogramowanie, powszechnie wykorzystywane przez inne grupy APT. Wyobraźmy sobie, że zachodnia grupa cyberprzestępcza podrzuca szkodliwe oprogramowanie powszechnie wykorzystywane przez „Comment Crew", znanego chińskiego aktora na scenie zagrożeń. Podczas gdy implanty szkodliwego oprogramowania „Comment Crew" są znane każdemu, niewiele ofiar potrafi dokonać analizy wyrafinowanych nowych implantów. W ten sposób łatwo o zmyłkę, gdy wydaje się, że ofiara została zaatakowana przez chińskiego cyberprzestępcę.   

Czego należy się spodziewać: W 2015 roku, gdy rządy będą coraz bardziej nastawione napiętnowanie” cyberprzestępców, grupy APT będą dostosowywały swoje operacje, tak aby zrzucić winę na inne grupy.   

Aktorzy na scenie zagrożeń uzupełniają swój arsenał o ataki mobilne

Chociaż grupy APT infekują telefony mobilne, nie jest to jeszcze główny trend. Być może atakujący chcą uzyskać dane, które zwykle nie są dostępne na telefonach komórkowych lub nie wszyscy z nich mają dostęp do technologii, które potrafią infekować urządzenia z systemem Android i iOS.  

W 2014 roku odnotowaliśmy kilka nowych narzędzi APT przeznaczonych do infekowania telefonów komórkowych, na przykład moduły mobilne Hacking Team's Remote Control System. 

apt-predictions_4.jpg

Ponadto, podczas protestów w Hong Kongu w październiku 2014 roku zaobserwowaliśmy ataki na użytkowników systemów Android i iOS, które wydają się być powiązane z operacjami APT.

Nawet jeśli na telefonie komórkowym nie znajdują się cenne dokumenty, schematy czy plany ekspansji geopolitycznej na następne 10 lat, urządzenie to wciąż może być cennym źródłem kontaktów. Zaobserwowaliśmy to w przypadku grupy Red October, która potrafiła infekować telefony komórkowe i zamieniać je w mobilne pluskwy.    

Czego należy się spodziewać: W 2015 roku spodziewamy się większej ilości szkodliwego oprogramowania stworzonego specjalnie dla urządzeń mobilnych, szczególnie z systemem Android i iOS złamanym przy użyciu metody jailbreak.  

APT + botnet: precyzyjny atak + masowe szpiegostwo

Ogólnie, grupy APT starają się nie robić za dużo szumu wokół swoich operacji. Dlatego też szkodliwe oprogramowanie wykorzystywane w atakach APT jest znacznie mniej rozprzestrzenione niż powszechne oprogramowanie crimeware, takie jak np. Zeus, SpyEye czy Cryptolocker.

W 2014 roku dwie grupy APT (Animal Farm i Darkhotel) oprócz zwykłych operacji ukierunkowanych wykorzystywały również botnety. Naturalnie botnety mogą stanowić istotny atut w cyberwojnie i mogą być wykorzystywane do przeprowadzania ataków DDoS na wrogie państwa – coś takiego miało miejsce w przeszłości. W tym kontekście zrozumiałe jest, dlaczego niektóre grupy APT mogą chcieć tworzyć botnety oprócz operacji ukierunkowanych.   

Oprócz operacji DDoS botnety mogą również przynosić inną korzyść – mogą stanowić aparat masowej inwigilacji dla „biednego kraju”. Na przykład Flame i Gauss, które wykryliśmy w 2012 roku, zostały stworzone jako narzędzie masowej inwigilacji, automatycznie zbierające informacje z maszyn dziesiątek tysięcy ofiar. Informacje te należało przeanalizować przy użyciu superkomputera, zindeksować i pogrupować w klastry według słów kluczowych i tematów; większość z nich byłaby prawdopodobnie bezużyteczna. Jednak wśród tych setek tysięcy wyprowadzonych dokumentów jeden mógł zawierać kluczowe dane, które mogły przydać się w trudnych sytuacjach. 

Czego należy się spodziewać: W 2015 roku więcej grup APT wpisze się w trend stosowania precyzyjnych ataków wraz z „głośnymi” operacjami i tworzeniem własnych botnetów. 

Ataki na sieci hotelowe

Grupa Darkhotel to jeden z aktorów na scenie zagrożeń APT, który atakował określonych gości podczas ich pobytu w hotelach w niektórych państwach. W rzeczywistości hotele stanowią doskonałe miejsce na atakowanie określonych kategorii osób, takich jak dyrektorzy firm. Atakowanie sieci hotelowych jest również wysoce lukratywne, ponieważ dostarcza dane dotyczące przemieszczania się po świecie osób z wysoką pozycją.  

Włamanie się do systemu rezerwacji hotelowych to prosty sposób przeprowadzenia rekonesansu dotyczącego określonego celu. Pozwala również atakującym dowiedzieć się, w którym pokoju przebywa ofiara, co otwiera możliwości zarówno ataków fizycznych jak i cyberataków.

Jednak przeprowadzenie ataku na hotel nie zawsze jest łatwe. Dlatego tak niewiele grup, elita operatorów ataków APT, stosowało takie ataki w przeszłości i włączy je do swojego zestawu narzędzi. 

Czego należy się spodziewać: W 2015 roku techniki te mogą być stosowane przez kilka kolejnych ugrupowań, pozostaną one jednak poza zasięgiem ogromnej większości ugrupowań APT.

Komercjalizacja ataków APT a sektor prywatny

W ciągu ostatnich kilku lat opublikowaliśmy szerokie badanie dotyczące szkodliwego oprogramowania stworzonego przez firmy takie jak HackingTeam czy Gamma International - dwóch najbardziej znanych producentów „legalnego oprogramowania szpiegowskiego”. Chociaż firmy te utrzymują, że sprzedają swoje oprogramowanie tylko „zaufanym podmiotom rządowym”, z publicznych raportów pochodzących z różnych źródeł, w tym Citizen Lab, wynika, że nie da się kontrolować sprzedaży oprogramowania spyware. Te niebezpieczne programy trafiają do rąk osób lub państw, które nie są szczególnie godne zaufania i mogą wykorzystać je do cyberszpiegowania innych państw lub własnych obywateli.       

Tego rodzaju działania są wysoce dochodowe dla firm rozwijających oprogramowanie cyberszpiegoskie. Cechuje je również niskie ryzyko, ponieważ – jak dotąd – nie zidentyfikowaliśmy ani jednego przypadku skazania jednej z takich firm w sprawie dotyczącej cyberszpiegostwa. Twórcy tych narzędzi są z reguły poza zasięgiem prawa, ponieważ odpowiedzialność spada na użytkowników narzędzia, nie na firmę, która rozwija i wspomaga szpiegostwo.  

Czego należy się spodziewać: Jest to wysoce dochodowy biznes odznaczający się niskim ryzykiem, który doprowadzi do powstania większej liczby firm zajmujących się tworzeniem oprogramowania, które zaczną działać na rynku „legalnych narzędzi inwigilacji”. Z kolei narzędzia te będą wykorzystywane w operacjach cyberszpiegoskich prowadzonych przez państwa przeciwko innym państwom, do inwigilacji w kraju, a nawet sabotażu.   

Wnioski

Ogólnie, rok 2014 można określić jako wyrafinowany i różnorodny pod względem incydentów APT. Wykryliśmy kilka luk zero-day, na przykład CVE-2014-0515, która była wykorzystywana przez grupę o nazwie „Animal Farm". Inną wykrytą luką zero-day była luka CVE-2014-0487, którą wykorzystywała grupa o nazwie DarkHotel. Oprócz luk zero-day zaobserwowaliśmy kilka nowych technik zapewniania ukradkowości i długotrwałej obecności w systemie, które z kolei spowodowały rozwój i implementację kilku nowych mechanizmów ochrony dla naszych użytkowników.  

Jeśli rok 2014 można określić jako „wyrafinowany”, rok 2015 powinien otrzymać miano „nieuchwytnego”. Uważamy, że więcej grup APT w obawie przed zdemaskowaniem podejmie bardziej zaawansowane działania zapobiegające wykryciu ich aktywności.

Niektóre z nich będą również stosować operacje pod fałszywą banderą.