Legális szoftvereket használnak a láthatatlan célzott támadásokhoz a kiberbűnözők

140-nél is több bank, telekommunikációs cég és kormányzati szervezet hálózatába hatoltak be Európában, Amerikában és Afrikában a Kaspersky legújabb jelentése szerint

A Kaspersky Lab szakértői nemrég olyan „láthatatlan”és célzott támadás-sorozatot észleltek, amelyhez széles körben elterjedt legális szoftvereket használtak, mint például a Windows PowerShell nevű rendszerkezelő, feladatautomatizáló platformját vagy adminisztrációs eszközöket. 

A támadás során a kártékony programokat nem a merevlemezre telepítették, hanem elrejtették az említett szoftverek memóriájába. Ez a metodika lehetővé teszi a rosszindulatú programok elfedését a nyomozók elől, ugyanis az ilyen behatolások során a bűnözők viszonylag kevés ideig „tartózkodnak” a megtámadott rendszeren, csupán információgyűjtésre használják.

 

2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés.

 

Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban. A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat. 

 

 

A megtámadott szervezetek földrajzi eloszlása

 

Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert. 

 

A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt „hátrahagyott” adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz. 

 

"A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért  a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást." – mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója.

 

A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.

 

A kiber roham második részének részleteinek ismertetésével Sergey Golovanov és Igor Soumenkov az idei Biztonsági Elemzés Csúcstalálkozón (április 2-6. között) prezentálják, hogy a támadók miként próbálnak az ATM-eken keresztül egyedi módszerekkel pénzhez jutni. 

 

A Kaspersky Lab termékei sikeresen észlelték a fenti módszereket, technikákat és eljárásokat. Bővebb információt az esetekről és a Yara-szabályok kriminalisztikai elemzéséről a Securelist.com blogon olvashat. A technikai részleteket, beleértve a „behatolásra utaló jeleket” (Indicators of Compromise) az ügyfelek számára a „Kaspersky Intelligence Services” biztosítja.

 

Az olyan csoportos kombinált támadások, mint amilyeneket a GCMAN vagy a Carbanak csoport elkövet, speciális informatikai ismereteket igényel. Az idei Biztonsági Elemzés Csúcstalálkozó során a Kaspersky Lab szakemberei képzést tartanak specialistáknak, hogy segítsenek a kifinomult célzott támadások észlelésében. A „Célzott Támadások vadászata Yara-szabályokkal” kurzusra az alábbi linken lehet jelentkezni. A „Kártékony-program semlegesítő mérnöki kurzus”-ra az alábbi linken lehet jelentkezni. 

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció