Zaawansowane ataki hakerskie tanim kosztem?

Przeczytaj także: 5 kroków cyberprzestępcy. Cyberatak z perspektywy hakera

Wspomniane zmiany w stosowanej przez cyberprzestępców taktyce to wyraźny dowód na to, że infrastruktura IT ciągle zawiera taką ilość słabych punktów, które umożliwiają przeprowadzanie groźnych ataków hakerskich przy zaangażowaniu stosunkowo niedrogich narzędzi.

Dobrym przykładem może być tu zbadana ostatnio przez Kaspersky Lab kampania Microcin, która rozpoczęła się od wykrycia przez Kaspersky Anti Targeted Attack Platform (KATA) wzbudzającego podejrzenia pliku RTF. Okazało się, że zawierał on exploita, czyli szkodliwe oprogramowanie żerujące na lukach w oprogramowaniu, dla szeroko znanej i załatanej już zresztą luki w zabezpieczeniach pakietu biurowego Microsoft Office. Cyberprzestępcy często uciekają się do stosowania exploitów dla znanych luk w celu infekowania urządzeń ofiar ogólnym, masowo rozprzestrzenianym szkodliwym oprogramowaniem, jednak dogłębne badanie wykazało, że ten konkretny plik RTF nie stanowił części żadnej dużej fali infekcji, ale znacznie bardziej wyrafinowanej i wysoce ukierunkowanej kampanii.

Podejrzany dokument był rozprzestrzeniany za pośrednictwem zasobów przeznaczonych dla ściśle określonej grupy ludzi: forów umożliwiających dyskusje na temat spraw związanych z uzyskaniem mieszkania dotowanego przez państwo — przysługującego głównie pracownikom organizacji rządowych i wojskowych w Rosji oraz niektórych państwach sąsiadujących.
Po uruchomieniu exploita na atakowanym komputerze zostaje zainstalowane szkodliwe oprogramowanie o strukturze modułowej. Instalacja danego modułu odbywa się poprzez wstrzyknięcie szkodliwego kodu do systemowego procesu iexplorer.exe, natomiast jego automatyczne uruchamianie jest realizowane poprzez przechwycenie biblioteki .dll. Obie techniki są znane i powszechnie stosowane.

Po zainstalowaniu głównego komponentu z serwera kontroli pobierane są dodatkowe moduły. Co najmniej jeden z nich wykorzystuje steganografię, która polega na ukrywaniu informacji w pozornie nieszkodliwych obiektach, takich jak pliki graficzne, czyli kolejną znaną technikę, tym razem mającą na celu ukradkowe wyprowadzanie skradzionych danych.

Po przygotowaniu całej szkodliwej platformy szkodnik szuka plików z rozszerzeniem .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt i .rtf., które są następnie zapisywane w chronionym hasłem archiwum i przesyłane do osób kontrolujących atak. Oprócz wykorzystywania znanych technik infekowania oraz dalszego rozprzestrzeniania infekcji w sieci wewnętrznej, podczas szukania kluczowych danych i zasobów przestępcy aktywnie wykorzystują podczas operacji mechanizmy znane z poprzednich ataków hakerskich jak również legalne narzędzia przeznaczone do testów penetracyjnych, które zwykle nie są wykrywane przez rozwiązania bezpieczeństwa jako szkodliwe.

Jeśli przeanalizujemy ten atak na poziomie jego elementów, nie stanowi on poważnego zagrożenia. Niemal każdy komponent został dobrze udokumentowany przez branżę bezpieczeństwa i jest stosunkowo łatwy do zidentyfikowania. Co ważniejsze, omawiana szkodliwa kampania nie jest unikatowa. Wygląda na to, że niektórzy przestępcy stosujący cyberszpiegostwo odchodzą od tworzenia trudnych do wykrycia szkodliwych narzędzi na rzecz planowania i przeprowadzania wyrafinowanych operacji, które być może nie wykorzystują złożonego szkodliwego oprogramowania, ale nadal są niebezpieczne i bardzo skuteczne — powiedział Aleksiej Szulmin, główny analityk szkodliwego oprogramowania, Kaspersky Lab.

Organizacjom, które chcą chronić swoją infrastrukturę IT przed atakami hakerskimi takimi jak Microcin, eksperci z Kaspersky Lab zalecają wykorzystywanie narzędzi bezpieczeństwa, które umożliwiają wykrywanie nie tylko samego szkodliwego oprogramowania, ale także szkodliwych operacji w firmowej infrastrukturze IT.

Złożone rozwiązania, takie jak Kaspersky Anti Targeted Attack Platform, zawierają nie tylko technologie ochrony punktów końcowych, ale również technologie umożliwiające śledzenie i powiązywanie wydarzeń z różnych części sieci organizacji, a tym samym identyfikację szkodliwych działań obserwowanych w wyrafinowanych atakach ukierunkowanych. Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują kampanię Microcin i podobne szkodliwe działania.