Badacze z Kaspersky Lab obserwują nowy i dość istotny trend dotyczący sposobu działania zaawansowanych cyberprzestępców. Coraz częściej zamiast wyrafinowanych i kosztownych technik ataków, takich jak luki dnia zerowego, stosują oni ściśle ukierunkowane kampanie socjotechniczne w połączeniu ze znanymi, skutecznymi i sprawdzonymi „szkodliwymi” metodami. W efekcie atakujący są w stanie przeprowadzać szkodliwe kampanie, które są niezwykle trudne do wykrycia przy użyciu tradycyjnych
rozwiązań bezpieczeństwa klasy korporacyjnej.
Ta zmiana w zakresie sposobu działania cyberprzestępców pokazuje, że infrastruktura IT współczesnych organizacji zawiera wystarczająco dużo słabych punktów, aby cyberprzestępcy, dysponując stosunkowo niedrogim zestawem narzędzi do przeprowadzania ataków, mogli zrealizować swoje cele przestępcze. Przykładem takiego niedrogiego, ale groźnego ataku jest zbadana niedawno przez specjalistów z Kaspersky Lab kampania cyberprzestępcza Microcin.
Wszystko zaczęło się od wykrycia podejrzanego pliku RTF przez narzędzie Kaspersky Anti Targeted Attack Platform (KATA). Plik ten zawierał exploita (szkodliwe oprogramowanie wykorzystujące słabe punkty w zabezpieczeniach w powszechnie wykorzystywanym oprogramowaniu w celu zainstalowania dodatkowych szkodliwych komponentów) dla znanej i załatanej już luki w zabezpieczeniach pakietu Microsoft Office. Cyberprzestępcy często wykorzystują exploity dla znanych luk w celu infekowania urządzeń ofiar ogólnym, masowo rozprzestrzenianym szkodliwym oprogramowaniem, jednak dogłębne badanie wykazało, że ten konkretny plik RTF nie stanowił części żadnej dużej fali infekcji, ale znacznie bardziej wyrafinowanej i wysoce ukierunkowanej kampanii.
Podejrzany dokument był rozprzestrzeniany za pośrednictwem zasobów przeznaczonych dla ściśle określonej grupy ludzi: forów umożliwiających dyskusje na temat spraw związanych z uzyskaniem mieszkania dotowanego przez państwo — przysługującego głównie pracownikom organizacji rządowych i wojskowych w Rosji oraz niektórych państwach sąsiadujących.
Po uruchomieniu exploita na atakowanym komputerze zostaje zainstalowane szkodliwe oprogramowanie o strukturze modułowej. Instalacja danego modułu odbywa się poprzez wstrzyknięcie szkodliwego kodu do systemowego procesu iexplorer.exe, natomiast jego automatyczne uruchamianie jest realizowane poprzez przechwycenie biblioteki .dll. Obie techniki są znane i powszechnie stosowane.
Po zainstalowaniu głównego komponentu z serwera kontroli pobierane są dodatkowe moduły. Co najmniej jeden z nich wykorzystuje steganografię, która polega na ukrywaniu informacji w pozornie nieszkodliwych obiektach, takich jak pliki graficzne, czyli kolejną znaną technikę, tym razem mającą na celu ukradkowe wyprowadzanie skradzionych danych.
Po przygotowaniu całej szkodliwej platformy szkodnik szuka plików z rozszerzeniem .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt i .rtf., które są następnie zapisywane w chronionym hasłem archiwum i przesyłane do osób kontrolujących atak. Oprócz wykorzystywania znanych technik infekowania oraz dalszego rozprzestrzeniania infekcji w sieci wewnętrznej, podczas szukania kluczowych danych i zasobów przestępcy aktywnie wykorzystują podczas operacji mechanizmy znane z poprzednich ataków, jak również legalne narzędzia przeznaczone do testów penetracyjnych, które zwykle nie są wykrywane przez rozwiązania bezpieczeństwa jako szkodliwe.
– Jeśli przeanalizujemy ten atak na poziomie jego elementów, nie stanowi on poważnego zagrożenia. Niemal każdy komponent został dobrze udokumentowany przez branżę bezpieczeństwa i jest stosunkowo łatwy do zidentyfikowania. Co ważniejsze, omawiana szkodliwa kampania nie jest unikatowa. Wygląda na to, że niektórzy przestępcy stosujący cyberszpiegostwo odchodzą od tworzenia trudnych do wykrycia szkodliwych narzędzi na rzecz planowania i przeprowadzania wyrafinowanych operacji, które być może nie wykorzystują złożonego szkodliwego oprogramowania, ale nadal są niebezpieczne i bardzo skuteczne — powiedział Aleksiej Szulmin, główny analityk szkodliwego oprogramowania, Kaspersky Lab.
Organizacjom, które chcą chronić swoją infrastrukturę IT przed atakami takimi jak Microcin, eksperci z Kaspersky Lab zalecają wykorzystywanie narzędzi bezpieczeństwa, które umożliwiają wykrywanie nie tylko samego szkodliwego oprogramowania, ale także szkodliwych operacji w firmowej infrastrukturze IT.
Złożone rozwiązania, takie jak Kaspersky Anti Targeted Attack Platform, zawierają nie tylko technologie ochrony punktów końcowych, ale również technologie umożliwiające śledzenie i powiązywanie wydarzeń z różnych części sieci organizacji, a tym samym identyfikację szkodliwych działań obserwowanych w wyrafinowanych atakach ukierunkowanych.
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują kampanię Microcin i podobne szkodliwe działania.