Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trendy w zagrożeniach APT: II kwartał 2017 r.

Tagi:

Wstęp

Od 2014 r. Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab dostarcza wielu klientom na całym świecie złożone raporty dotyczące cyberzagrożeń. Przed wprowadzeniem w życie tej usługi zespół GReAT publikował tego typu badania publicznie w ramach pomocy w walce z narastającym zagrożeniem ze strony zaawansowanych cyberataków. Obecnie, wszystkie szczegóły techniczne zaawansowanych kampanii cyberprzestępczych są na początku oferowane subskrybentom wspomnianej usługi. Oczywiście w pewnych przypadkach, takich jak WannaCry czy ExPetr, publikujemy również publiczne informacje, by pomagać w walce z tymi zagrożeniami.

apt_q2_2017_01_auto.png

Wygląd serwisu Kaspersky Threat Intelligence Portal (TIP)

W pierwszym kwartale 2017 r. opublikowaliśmy nasz pierwszy raport poświęcony trendom w atakach APT, podkreślający najważniejsze odkrycia poczynione w okresie kilku miesięcy. Będziemy w dalszym ciągu publikować tego typu zestawienia obejmujące najważniejsze wydarzenia z danego kwartału. Aby uzyskać więcej informacji na temat naszych raportów, które są dostępne dla subskrybentów, należy skontaktować się z nami pod adresem intelreports@kaspersky.com.

Cyberzagrożenia rosyjskojęzyczne

Drugi kwartał 2017 r. przyniósł wiele incydentów z udziałem rosyjskojęzycznych cyberprzestępców. Wśród atakujących przykuwających największą uwagę znalazły się grupy Sofacy oraz Turla.

Marzec i kwiecień rozpoczęły się od mocnego uderzenia: wykryto trzy exploity dnia zerowego wykorzystane w atakach ugrupowań Sofacy i Turla. Dwa z nich wykorzystywały podatności usługi Encapsulated Postscript (EPS) w aplikacjach pakietu Microsoft Office, a trzeci – w usłudze Local Privilage Escalation (LPE) w systemie Microsoft Windows. Ugrupowanie Sofacy korzystało z obydwóch luk (CVE-2017-0262 – EPS, oraz CVE-2017-0263 – LPE) w okresie Wielkanocy do atakowania użytkowników z Europy. Przed tymi działaniami ugrupowanie Turla korzystało z luki CVE-2017-0261 (inna luka w usłudze EPS). Żadne z tych ugrupowań nie poczyniło jakichkolwiek odstępstw od swoich zwyczajowych szkodliwych modułów: grupa Sofacy umieszczała w atakowanych systemach typowy dla siebie zestaw szkodliwych narzędzi GAMEFISH, a gang Turla korzystał z narzędzi, które nazywamy ICEDCOFFEE (lub Shirime). Cele tych ataków także można uznać za typowe dla tych dwóch ugrupowań. Głównie koncentrowano się na ministerstwach spraw zagranicznych i innych organizacjach rządowych.

Poza materiałami wymienionymi powyżej, zespół GReAT przygotował dodatkowe raporty poświęcone grupom Sofacy i Turla. W kwietniu powiadomiliśmy klientów o dwóch nowych, eksperymentalnych technikach wykorzystywania makr przez Sofacy. Mechanizmy te, mimo że niezbyt wyrafinowane, zwróciły naszą uwagę, ponieważ wcześniej nie obserwowano ich w realnych atakach. Pierwsza metoda obejmuje wykorzystanie narzędzia certutil wbudowanego w system Windows w celu wyekstrahowania szkodliwego ładunku zakodowanego na sztywno w makrze. Druga technika polegała na osadzaniu szkodliwego ładunku zakodowanego w Base64 w metadanych exif zainfekowanych dokumentów. Mimo że cele tych ataków ponownie nie odbiegały od normy dla tego ugrupowania, wart odnotowania jest fakt zauważenia przez nas wśród ofiar członka francuskiej partii politycznej. Miało to miejsce przed wyborami we Francji. W maju i czerwcu opublikowaliśmy dwa dodatkowe raporty poświęcone wymienionym już ugrupowaniom. Pierwszy stanowił uaktualnienie dotyczące trwającej od dłuższego czasu kampanii Mosquito Turla, w której wykorzystywany jest sfałszowany instalator aplikacji Adobe Flash. Działania te są wymierzone w ministerstwa spraw zagranicznych. Drugi dokument to jeszcze jedno uaktualnienie dotyczące unikatowego szkodliwego modułu Zebrocy stosowanego przez Sofacy. 

W czerwcu obserwowaliśmy rozległą epidemię szkodliwego programu ExPetr (określanego także jako NotPetya oraz Petya). Wstępna ocena sytuacji sugerowała, że mamy do czynienia z kolejnym atakiem oprogramowania ransomware, takim jak w przypadku WannaCry, jednak głębsza analiza przeprowadzona przez zespół GReAT wykazała, że działania cyberprzestępców były nastawione na niszczenie danych, a nie

zarobienie pieniędzy z okupów płaconych przez ofiary. Ponadto, zidentyfikowaliśmy wstępny kanał dystrybucji tego szkodnika oraz jego potencjalne powiązanie z grupą BlackEnegy.

apt_q2_2017_02_auto.png

Poniżej zamieszczamy listę tytułów raportów przygotowanych wyłącznie dla Europy Wschodniej. Jak wspomnieliśmy powyżej, więcej informacji na temat tych raportów można uzyskać kontaktując się z nami pod adresem intelreports@kaspersky.com.

  1. Sofacy Dabbling in New Macro Techniques 

  2. Sofacy Using Two Zero Days in Recent Targeted Attacks - early warning 

  3. Turla EPS Zero Day - early warning 

  4. Mosquito Turla Targets Foreign Affairs Globally 

  5. Update on Zebrocy Activity June 2017 

  6. ExPetr motivation and attribution - Early alert 

  7. BlackBox ATM attacks using SDC bus injection 


Cyberzagrożenia anglojęzyczne

Analiza działań cyberprzestępców anglojęzycznych to ciekawe zajęcie ze względu na obszerną historię skomplikowanych narzędzi i kampanii. Grupy takie jak Regin oraz Project Sauron mogą stanowić przykłady autorów nowych technik wykorzystywanych w długotrwałych, trudnych do zidentyfikowania atakach. Przedmiotami naszych ostatnich badań były grupy Equation oraz Lamberts.

Kontynuując naszą tradycję paleontologii szkodliwych programów wraz z badaniem nowych mechanizmów opublikowaliśmy raport poświęcony backdoorowi EquationVector, który pierwotnie został zastosowany w 2006 r. Jest to jeden z pierwszych przypadków zastosowania backdoora NObody Buy US („NOBUS”) w celu przeprowadzania przyszłych ataków. Mimo swojego wieku, backdoor EquationVector (identyfikowany jako PeddleCheap w najnowszych dokumentach ujawnionych przez ShadowBrokers) wykorzystuje wiele zaawansowanych technik pozwalających mu na długotrwałe prowadzenie ukradkowych działań w sieciach ofiar, co umożliwia grupie Equation dostarczanie kolejnych szkodliwych funkcji bez wzbudzania podejrzeń. Raport obejmuje szczegóły dotyczące rozwoju tych narzędzi.

W omawianym okresie kontynuowaliśmy śledzenie narzędzi grupy Lamberts – w czerwcu opublikowaliśmy raport poświęcony jej najbardziej zaawansowanemu dotychczas narzędziu: Gray Lambert. Podobnie jak EquationVector, Gray Lambert jest backdoorem NOBUS. Jego siła leży w możliwości zarządzania wieloma ofiarami w sieci z użyciem poleceń broadcast, multicast oraz unicast. Pozwala to operatorom działać z chirurgiczną precyzją w środowiskach z wieloma zainfekowanymi maszynami. Istotną cechą ataków grupy Lamberts jest precyzyjna selekcja ofiar. Gray Lambert miał na celu infekować głównie cele strategiczne w Azji i na Bliskim Wschodzie. W trakcie prowadzenia dochodzenia badacze z zespołu GReAT wykryli także dwie dodatkowe rodziny backdoorów: Red Lambert oraz Brown Lambert. Szkodniki te są obecnie badane. Omawiane raporty zostały opublikowane pod następującymi tytułami: 

  1. EQUATIONVECTOR - A Generational Breakdown of the PeddleCheap Multifunctional Backdoor 

  2. The Gray Lambert – A Leap in Sophistication to User-land NOBUS Passive Implants 
 

Cyberprzestępcy posługujący się językiem koreańskim

Badacze koncentrujący się na atakach o koreańskim pochodzeniu także mieli ręce pełne roboty w II kwartale, a ich praca zaowocowała publikacją siedmiu raportów poświęconych cyberzagrożeniu WannaCry oraz działaniom grupy Lazarus. Większość raportów dotyczących grupy Lazarus odnosiła się bezpośrednio do jej podgrupy: BlueNoroff, która koncentruje się głównie na pozyskiwaniu pieniędzy, a jej ataki dotyczą przede wszystkim bankomatów, banków i innych instytucji finansowych. Ujawniliśmy naszym subskrybentom informacje o nieznanym wcześniej szkodliwym programie Manuscrypt, wykorzystywanym przez grupę Lazarus do atakowania nie tylko celów dyplomatycznych w Korei Południowej, ale także osób korzystających z waluty wirtualnej i systemów płatności elektronicznej. Ostatnio Manuscrypt stał się jednym z podstawowych narzędzi wykorzystywanych przez podgrupę BlueNoroff do atakowania instytucji finansowych.

Spore zamieszanie wywołał w II kwartale atak szkodliwego programu WannaCry, a nasi analitycy opublikowali na ten temat trzy raporty oraz liczne posty na blogu. Jednym z ciekawszych zagadnień dla badaczy były potencjalne powiazania tego zagrożenia z grupą Lazarus. Analitycy z zespołu GReAT ustalili, że zanim twórcy WannaCry dodali do niego exploit EtertnalBlue w wersji 2 szkodnika, wersja 1 była wykorzystywana do przeprowadzana ataków phishingowych już kilka miesięcy wcześniej. Oto lista raportów z II kwartału 2017 r. poświęconych cyberzagrożeniom o pochodzeniu koreańskim:

  1. Manuscrypt - malware family distributed by Lazarus 

  2. Lazarus actor targets carders 

  3. Lazarus-linked ATM Malware On the Loose In South Korea 

  4. Lazarus targets electronic currency operators 

  5. WannaCry - major ransomware attack hitting businesses worldwide - early alert 

  6. WannaCry possibly tied to the Lazarus APT Group 

  7. The First WannaCry Spearphish and Module Distribution 


Cyberzagrożenia z Bliskiego Wschodu 

Mimo braku szczególnie zaawansowanych działań ze strony bliskowschodnich cyberprzestępców, opublikowaliśmy dwa raporty obejmujące wykorzystanie exploita na lukę dnia zerowego (CVE-2017-0199). Najistotniejsze zdarzenie obejmowało grupę, którą nazywamy BlackOasis. Ugrupowanie to korzystało już wcześniej z exploitów dnia zerowego, o czym informowaliśmy – w maju 2016 r. (CVE-2016-4117), w czerwcu 2016 r. (CVE-2016-0984) oraz w czerwcu 2015 r. (CVE-2015-5119). Uważa się, że BlackOasis jest klientem firmy Gamma Group i stosuje popularny, „legalny” pakiet szpiegowski FinSpy. Poza opisem wykorzystania luki dnia zerowego raport prezentował także jeden z pierwszych znanych przypadków zastosowania pakietu FinSpy, który ciągle jest analizowany przez naszych badaczy.

Po wykryciu luki CVE-2017-0199 zaczęło ją wykorzystywać mnóstwo grup cyberprzestępczych. Między innymi, raportowaliśmy naszym subskrybentom fakt stosowania exploita na tę lukę przez dobrze znaną, bliskowschodnią grupę OilRig. Ugrupowanie OilRig aktywnie atakowało wiele organizacji w Izraelu, korzystając z wiadomości phishingowych podszywających się pod znanych naukowców z Uniwersytetu Ben-Guriona. Omawiane raporty zostały przez nas opublikowane pod następującymi nazwami:

  1. OilRig exploiting CVE-2017-0199 in new campaign 

  2. BlackOasis using Ole2Link zero day exploit in the wild 


 Cyberprzestępcy chińskojęzyczni

W odniesieniu do cyberprzestępców chińskojęzycznych przygotowaliśmy dla naszych subskrybentów dwa raporty. Mimo że grupy te są aktywne niemal bez przerwy, to jednak niewiele zmienia się w ich metodach, a nasi eksperci starają się unikać generowania raportów typu „kolejna wersja zagrożenia X”, tylko po to, by móc pochwalić się imponującą liczbą publikacji. Zamiast tego staramy się skupiać na nowych i interesujących kampaniach, które wymagają więcej uwagi. 

Jeden z tych raportów szczegółowo opisywał bezplikową wersję dobrze znanego szkodliwego programu HiKit, tym razem występującego pod nazwą Hias. Szkodnikiem tym zajmujemy się już od jakiegoś czasu, a jeden z naszych badaczy zdołał rozpracować mechanizm wykorzystywany przez zagrożenie do zapewniania długotrwałego działania w zainfekowanych systemach. Mechanizm ten pozwolił nam powiązać szkodnika Hias z aktywnością grupy cyberprzestępczej, którą nazywamy CloudComputating.

Drugi raport był poświęcony nowej kampanii, którą nazywaliśmy IndigoZebra. Jej celem są byłe republiki sowieckie, a atakujący korzystali z szerokiego wachlarza szkodliwych programów, takich jak MeterpreterPoison Ivy, xDown oraz wcześniej nieznany xCaon. Operacja IndigoZebra ma powiązania z innymi dobrze znanymi chińskimi organizacjami cyberprzestępczymi, jednak dokładne ustalenie autorstwa jest na chwilę obecną niemożliwe. Oto tytuły wspomnianych powyżej raportów: 

  1. Updated technical analysis of Hias RAT 

  2. IndigoZebra - Intelligence preparation to high-level summits in Middle Asia 
 

Cała reszta

Czasami wykrywamy nowe kampanie lub nieznane wcześniej grupy cyberprzestępcze i informujemy o nich naszych subskrybentów, mimo że nie na daną chwilę nie jesteśmy w stanie wykazać przynależności regionalnej. W drugim kwartale do tej kategorii należało kilka raportów. Jeden z nich był poświęcony nowej technice zapewnianiającej długotrwałe działanie w zainfekowanych systemach, polegającej na przechwytywaniu legalnych bibliotek WMI DLL w celu zamieszczania szkodliwego ładunku. Jesienią 2016 r. działania te były wymierzone w organizacje dyplomatyczne, wojskowe i badawcze, jednak do dzisiaj nie zdołaliśmy przypisać ich do żadnej znanej grupy cyberprzestępczej. 

Naukowcy z uniwersytetu w Hongkongu (i nie tylko) byli atakowani przez nowy szkodliwy program dla systemu macOS – Demsty. W czasie pisania tego tekstu nie mamy pewności, czy za tą kampanią stoją cyberprzestępcy chińskojęzyczni, zatem póki co znajduje się ona w kategorii „nieznane”.

W trakcie II kwartału grupa ShadowBrokers kontynuowała swoją aktywność polegającą na publikowaniu narzędzi i dokumentów rzekomo skradzionych grupie cyberprzestępczej Equation. W kwietniu opublikowano kolejną paczkę informacji omawiających szczegółowo ataki na usługi SWIFT. Z racji tego, że wśród naszych klientów znajdują się organizacje finansowe, uznaliśmy za konieczne dokonanie oceny tych danych i zaopiniowanie ich wiarygodności. Do raportów z kategorii „nieznane” należały:

  1. ShadowBrokers’ Lost in translation leak - SWIFT attacks analysis 

  2. ChasingAdder - WMI DLL Hijacking Trojan Targeting High Profile Victims 

  3. University Researchers Located in Hong Kong Targeted with Demsty 


Prognozy

W oparciu o trendy obserwowane przez nas na przestrzeni ostatnich trzech miesięcy, jak również biorąc pod uwagę przewidywalne wydarzenia geopolityczne, przygotowaliśmy kilka prognoz na trzeci kwartał. Przypominamy, że są nie są to założenia naukowe i niektóre z tych prognoz mogą się nie sprawdzić.

  1. Kampanie dezinformacyjne pozostaną istotnym zagrożeniem dla krajów, w których zbliżają się wybory, szczególnie dla Niemiec i Norwegii, które już wcześniej były na celowniku wschodnioeuropejskich cyberprzestępców.
  2. „Legalne” narzędzia szpiegowskie będą w dalszym ciągu wykorzystywane przez rządy, które nie posiadają dobrze zorganizowanych jednostek do prowadzenia działań cybernetycznych, szczególnie na Bliskim Wschodzie. Firmy takie jak Gamma Group, Hacking Team czy NSO będą oferowały takim klientom nowe exploity dnia zerowego. Biorąc pod uwagę to, że cena takich usług nieustannie rośnie, możemy się spodziewać pojawienia się nowych firm oferujących tego typu narzędzia.
  3. Problemem pozostaną destrukcyjne szkodliwe programy udające zwykłe narzędzia ransomware. W ubiegłym kwartale obserwowaliśmy dwa takie przypadki, a biorąc pod uwagę nowe szkodliwe narzędzia i exploity publikowane przez takie grupy jak ShadowBrokers czy Vault7, możemy mieć do czynienia z nowym, alarmującym trendem.
  4. W Chinach ostatnie kilka miesięcy upłynęło pod znakiem kurczącego się wzrostu ekonomicznego, narastających napięć między Koreą Południową a Stanami Zjednoczonymi, a także intensywnych wymian między firmami z Korei Południowej, Japonii i Stanów Zjednoczonych. Dokładając do tego 19 Kongres Partii, który odbędzie się jesienią 2017 r. i biorąc pod uwagę szereg publicznych prognoz, z dużym prawdopodobieństwem może dojść do dużych zmian na najwyższym szczeblu przywództwa. Wydarzenia te mogą mieć znaczne reperkusje regionalne, co z kolei może mieć wpływ na sposób funkcjonowania grup cyberprzestępczych działających w Azji.
  5. Organizacje z branży energetycznej będą coraz częściej znajdować się na celowniku cyberprzestępców. Kraje takie jak Norwegia mogą stać się popularnym celem ataków z racji posiadanej kontroli nad ropą i gazem w regionie. Innym atrakcyjnym celem może być Arabia Saudyjska.
  6. Mniej doświadczeni cyberprzestępcy będą nasilać swoje działania cyberszpiegowskie. Możemy się spodziewać coraz liczniejszych ataków przeprowadzanych z użyciem różnych technik przez mniej znane lub całkowicie nowe grupy cyberprzestępcze.

Jak się chronić

Jednym z najpoważniejszych wyzwań w kontekście wykorzystania eksperckiej wiedzy o cyberzagrożeniach jest ocena jakości tych danych i ich przydatności w zapewnianiu faktycznej ochrony. Przykładem mogą być nasilające się ataki bezplikowe, w przypadku których wskaźniki infekcji są unikatowe dla każdej z ofiar. W takiej sytuacji bardzo ważne jest posiadanie nie tylko wskaźników infekcji na poziomie hostów, ale także na poziomie sieci, a dodatkowo reguł Yara, co pozwoli na zidentyfikowanie szkodliwych programów niezależnie od wektora infekcji.

Kolejnym problemem jest to, że wielu dostawców informacji o cyberzagrożeniach posiada ograniczenia regionalne, w wyniku czego oferowane przez nich dane dotyczą zaledwie części zagrożeń. Firmy mogą także wpaść w pułapkę myślenia: grupa X nie jest dla nas zagrożeniem, ponieważ atakuje tylko dane kraje lub dane branże. Niestety taka postawa może doprowadzić do uśpienia czujności, a cyberprzestępcy nierzadko zmieniają swoje podejście lub sprzedają technologie innym ugrupowaniom, których priorytety mogą być zupełnie inne. 

Jak pokazały rozmaite przykłady, a zwłaszcza funkcje rozprzestrzeniania szkodników WannaCry i ExPetr wykorzystujące exploita EternalBlue, luki pozostają jednym z najważniejszych mechanizmów infekowania. Z tego względu łatanie systemów i aplikacji to konieczność, a biorąc pod uwagę uciążliwość tego zadania, znacznie skuteczniej będzie ono realizowane z zastosowaniem automatyzacji. Nasze rozwiązania, takie jak Kaspersky Endpoint Security for Business Advanced czy Kaspersky Total Security, posiadają funkcję zarządzania lukami i łatami, dzięki czemu proces aktualizacji jest znacznie prostszy i mniej czasochłonny dla personelu IT.

Biorąc pod uwagę powyższe informacje, mechanizmy prewencji (takie jak ochrona punktów końcowych) oraz zaawansowanego wykrywania zagrożeń (takie jak technologia identyfikująca anomalie i kategoryzująca podejrzane pliki) muszą być obecne w systemach użytkowników. Na przykład, rozwiązanie Kaspersky Anti Targeted Attack (KATA) bada zdarzenia pochodzące z różnych poziomów infrastruktury, identyfikuje anomalie i agreguje je do postaci incydentów. Jak większość rozwiązań Kaspersky Lab, KATA korzysta z podejścia HuMachne Intelligence, które polega połączeniu procesów uczenia maszynowego z ekspercką wiedzą naszych specjalistów.

Najlepszym sposobem uniemożliwiania cyberprzestępcom wyszukiwania i wykorzystywania luk w zabezpieczeniach jest wyeliminowanie tych błędów, łącznie z lukami wynikającymi z nieprawidłowej konfiguracji i błędami w aplikacjach. W tym kontekście niezwykle przydatne mogą być dwie usługi Kaspersky  Lab: Penetration Testing oraz Application Security Assesment. Oferują one nie tylko informacje o znalezionych lukach, ale także porady pozwalające na ich załatanie, a tym samym zwiększenie ogólnego bezpieczeństwa organizacji.