piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Niewidoczne ataki: cyberprzestępcy włamują się do przedsiębiorstw w 40 krajach

    Zobacz również

    Eksperci z Kaspersky Lab wykryli serię „niewidocznych” cyberataków ukierunkowanych, w których wykorzystywane jest wyłącznie legalne oprogramowanie: powszechnie dostępne narzędzia do administracji i przeprowadzania testów penetracyjnych, jak również platforma PowerShell do automatyzacji zadań w systemie Windows. Oprogramowanie nie pobiera żadnych szkodliwych plików na dysk twardy, ale ukrywa się w pamięci.

    - Reklama -

    To łączone podejście pomaga uniknąć wykrycia przez technologie białej listy i nie pozostawia osobom prowadzącym badania kryminalistyczne niemal żadnych śladów czy próbek szkodliwego oprogramowania, z którymi mogliby pracować. Atakujący pozostają w systemie wystarczająco długo, aby zebrać informacje, po czym ich ślady zostają wymazane wraz z pierwszym ponownym uruchomieniem maszyny.

    Pod koniec 2016 roku z ekspertami z Kaspersky Lab skontaktowały się banki ze Wspólnoty Niepodległych Państw, które w pamięci swoich serwerów znalazły oprogramowanie do przeprowadzania testów penetracyjnych, Meterpreter (obecnie często wykorzystywane do szkodliwych celów), którego nie powinno było tam być. Kaspersky Lab odkrył, że kod Meterpretera występował razem z wieloma legalnymi skryptami PowerShell oraz innymi narzędziami. Połączone narzędzia zostały zaadaptowane do szkodliwego kodu, który potrafił ukrywać się w pamięci, gromadząc potajemnie hasła administratorów systemów w celu umożliwienia atakującym przejęcia zdalnej kontroli nad systemami ofiar. Wydaje się, że ostatecznym celem cyberprzestępców był dostęp do procesów finansowych.

    Kaspersky Lab ustalił następnie, że takie ataki są przeprowadzane na skalę masową: dotkniętych nimi zostało ponad 140 sieci korporacyjnych z wielu różnych branż, przy czym większość ofiar jest zlokalizowana w Stanach Zjednoczonych, we Francji, w Ekwadorze, Kenii, Wielkiej Brytanii i Rosji. W sumie infekcje zostały odnotowane w 40 krajach.

    Nie wiadomo, kto stoi za tymi atakami. Wykorzystywanie szkodliwego kodu, który jest dostępny na cyberprzestępczym czarnym rynku, popularnych narzędzi systemu Windows oraz nieznanych domen sprawia, że zidentyfikowanie ugrupowania odpowiedzialnego za ataki jest niemal niemożliwe — nie można nawet stwierdzić, czy mamy tu do czynienia z jedną grupą, czy kilkoma, które wykorzystują te same narzędzia. Spośród znanych ugrupowań stosujących najbardziej zbliżone metody należy wskazać na GCMAN i Carbanak.      

    Tego rodzaju narzędzia utrudniają również ustalenie szczegółów dotyczących ataku. Standardowy proces reagowania na incydent polega na tym, że osoba prowadząca dochodzenie bada ślady i próbki pozostawione w sieci przez przestępców. O ile dane znajdujące się na dysku twardym mogą być dostępne jeszcze długi czas po incydencie, ukryte w pamięci ślady są usuwane przy pierwszym ponownym uruchomieniu komputera.   

    – Dążenie cyberprzestępców do ukrywania swojej aktywności oraz utrudniania wykrywania i reagowania na incydenty wpisuje się w najnowszy trend obejmujący techniki antykryminalistyczne oraz szkodliwe oprogramowanie rezydujące w pamięci. Dlatego kryminalistyka pamięci zyskuje zasadnicze znaczenie dla analizy szkodliwego oprogramowania i jego funkcji. W tych konkretnych incydentach atakujący zastosowali wszystkie znane techniki utrudniające prowadzenie cyfrowego śledztwa, dowodząc przy okazji, że aby skutecznie wyprowadzić dane z sieci, nie potrzeba żadnych plików szkodliwego oprogramowania, i że wykorzystanie legalnych oraz ogólnodostępnych narzędzi niemal całkowicie uniemożliwia wskazanie sprawcy — powiedział Sergiej Golowanow, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

    Cyberprzestępcy stojący za omawianymi działaniami są nadal aktywni, dlatego należy zaznaczyć, że tego rodzaju atak można wykryć tylko w pamięci RAM, sieci i rejestrze, i w takich przypadkach nawet reguły Yara (wykorzystywane do badania i wykrywania zaawansowanych cyberataków) w oparciu o skanowanie szkodliwych plików nie mają zastosowania.

    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OPPO Find X8 Pro debiutuje w Europie, a wraz z nim ColorOS 15

    OPPO oficjalnie zaprezentowało najnowsze modele z flagowej serii Find – OPPO Find X8 oraz OPPO Find X8 Pro. Model...