Kaspersky Security Bulletin 2014. APT-угрозы: взгляд в магический кристалл
Скачать PDF
Прогнозы на 2015 год Основная статистика за 2014 год Развитие угроз в 2014 году APT-угрозы: взгляд в магический кристалл В последние годы Центр глобальных исследований и анализа угроз «Лаборатории Касперского» (GReAT) пролил свет на некоторые из крупнейших кампаний APT-класса, в том числе RedOctober, Flame, NetTraveler, Miniduke, Epic Turla, Careto/Mask и др. В процессе их изучения мы обнаружили несколько эксплойтов нулевого дня, включая последний по времени — CVE-2014–0546. Мы также были среди первых, кто сообщил о новых тенденциях в области APT-угроз, таких как появление кибернаемников, готовых оказывать услуги по проведению «молниеносных» атак, или, относительно недавно, использование необычных векторов атаки, таких как Wi-Fi сети в отелях. В последние годы Центр глобальных исследований и анализа угроз «Лаборатории Касперского» отслеживал деятельность более 60 преступных групп, ответственных за кибератаки, проводимые по всему миру. Их участники говорят на разных языках: русском, китайском, немецком, испанском, арабском, персидском и других.
Скрупулезное наблюдение за деятельностью этих преступных групп позволило нам составить список, отражающий, как мы считаем, нарождающиеся угрозы APT-класса. По нашему мнению, эти угрозы будут играть важную роль в 2015 году и заслуживают особого внимания — как в плане изучения, так и с целью создания технологий для их нейтрализации.
Слияние киберпреступности и APT-угроз В течение многих лет усилия киберпреступных групп были направлены только на кражу денег у конечных пользователей. Взрывной рост активности, связанной с кражей кредитных карт, взломом учетных записей в системах электронных платежей и перехватом соединений с системами онлайн-банкинга, привел к потере пользователями сотен миллионов долларов. Возможно, этот рынок стал менее прибыльным, или киберпреступников на нем стало слишком много, но нынешняя обстановка очень похожа на борьбу за «выживание». Как всегда, подобная борьба приводит к развитию.
Чего ожидать: в ходе инцидента, который мы недавно расследовали, злоумышленники взломали компьютер бухгалтера и запустили с этого компьютера крупный денежный перевод в свой банк. Несмотря на то, что, на первый взгляд, тут нет ничего особенного или необычного, мы считаем это проявлением новой интересной тенденции к проведению целевых атак против самих банков, а не их клиентов.
В нескольких инцидентах, которые расследовали эксперты Центра глобальных исследований и анализа угроз «Лаборатории Касперского», IT-системы банков были взломаны с помощью методов, как будто бы взятых из учебника по проведению атак APT-класса. Получив доступ к сети банка, злоумышленники собирали достаточно информации для того, чтобы красть средства непосредственно у банка, используя при этом несколько методов:
Давая банкоматам удаленные команды на выдачу наличных Выполняя переводы через систему SWIFT со счетов клиентов банков Манипулируя системами онлайн-банкинга для выполнения денежных переводов без ведома пользователей. Эти атаки свидетельствуют о появлении новой тенденции — использовании киберпреступниками методов, характерных для атак APT-класса. Как обычно, злоумышленники стремятся все упростить: теперь они напрямую атакуют банки, потому что деньги есть именно у них. Мы считаем, что на эту тенденцию следует обратить внимание, потому что она получит значительное развитие в 2015 году.
Фрагментация крупных APT-группировок В 2014 году несколько источников опубликовали информацию об APT-группировках. Вероятно, самое нашумевшее дело — это предъявление Федеральным бюро расследований США обвинений в различных компьютерных преступлениях пяти хакерам:
Мы ожидаем, что в результате такой публичности некоторые из наиболее крупных и известных APT-группировок распадутся на более мелкие группы, действующие независимо друг от друга.
Чего ожидать: результатом станут атаки по более широкому фронту. Соответственно, пострадает большее число компаний, поскольку атаки более мелких групп будут более диверсифицированными. В то же время большие компании, взломом сетей которых до сих пор занимались две-три крупные APT-группировки (например, Comments Crew и Wekby), теперь будут вынуждены защищаться от атак, исходящих из гораздо более широкого круга источников.
Развитие вредоносных методов и приемов По мере роста сложности и мощности современных компьютеров операционные системы также усложняются. Корпорации Apple и Microsoft потратили много времени и усилий на повышение безопасности своих операционных систем. Кроме того, теперь есть специальные средства, такие как EMET от Microsoft, помогающие защититься от целевых атак, направленных на уязвимости в ПО.
Мы ожидаем, что с ростом популярности Windows x64 и Apple Yosemite APT-группировки обновят свой инструментарий, включив в него более мощные бэкдоры и технологии, созданные для обхода защитных решений.
Чего ожидать: уже сейчас APT-группировки постоянно применяют вредоносное ПО для 64-разрядных систем, в том числе 64-разрядные руткиты. В 2015 году мы ожидаем появления более сложных внедряемых вредоносных модулей, усовершенствованных методов обхода защиты и более активного использования виртуальных файловых систем (в качестве примеров можно привести кампании Turla и Regin) для сокрытия ценного инструментария и украденных данных.
Одновременно с наблюдаемой нами тенденцией к широкому применению сложных приемов и методов, некоторые злоумышленники движутся в противоположном направлении. Они стараются свести к минимуму общее число эксплойтов и количество скомпилированного кода, загружаемого во взломанные сети. Однако при взломе инфраструктуры предприятий им тоже необходим сложный код или эксплойты, разнообразные скрипты и инструменты для повышения привилегий в системе, а также украденные у представителей организации логины и пароли доступа.
Как мы видели в случае BlackEnergy 2 (BE2), в случае обнаружения злоумышленники активно защищают свое присутствие во взломанных сетях, а также данные, по которым их можно было бы идентифицировать. Методы, применяемые киберпреступниками для закрепления в инфраструктуре жертв, становятся все более изощренными и агрессивными. APT-группировки, о которых мы писали выше, наращивают объем и активность деструктивных компонентов, применяемых в попытке замести следы. Кроме того, все чаще встречается поддержка Unix-подобных операционных систем, сетевого оборудования и встроенных ОС. Мы уже столкнулись с подобным «широким» подходом со стороны киберпреступников, стоящих за такими угрозами, как BE2, Yeti и Winnti.
Новые методы передачи краденых данных Давно прошли те времена, когда злоумышленники могли просто установить бэкдор в корпоративной сети и начать загружать терабайты данных на разбросанные по всему миру FTP-серверы. Сегодня продвинутые группировки регулярно используют SSL, а также нестандартные протоколы передачи данных.
Некоторые из наиболее изощренных в технологическом плане групп предпочитают устанавливать бэкдоры в сетевые устройства и перехватывать трафик c них, отправляя данные непосредственно на командные серверы. Кроме того, мы сталкивались с передачей данных в облачные сервисы — например, с использованием протокола WebDAV (применяемого для упрощения совместной работы пользователей, связанной с редактированием и управлением документами, размещенными на веб-серверах).
В результате многие крупные компании запретили доступ к публичным облачным сервисам, таким как Dropbox, из своих сетей. Тем не менее, это остается эффективным способом обхода систем обнаружения вторжений и фильтров DNSBL.
Чего ожидать: в 2015 году еще ряд группировок включат в свой арсенал использование облачных сервисов, что позволит им более эффективно скрывать отправку данных, украденных у жертв.
Новые APT-кампании из неожиданных источников: к гонке кибервооружений присоединяются новые страны В феврале 2014 года мы опубликовали отчет об исследовании Careto/«Маски» — чрезвычайно сложной кампании. Ее организаторы, по-видимому, хорошо владеют испанским языком, который редко встречается в целевых атаках. В августе мы также опубликовали результаты анализа Machete — еще одной кампании, в которой использовался испанский язык.
До этого момента мы, как правило, сталкивались с APT-кампаниями и киберпреступниками, владевшими относительно немногими языками. Кроме того, многие профессиональные киберпреступники не пишут на родном языке, а предпочитают изъясняться на прекрасном английском.
В 2014 году мы столкнулись с тем, что несколько стран публично выразили заинтересованность в обладании возможностями по проведению атак APT-класса:
Чего ожидать: несмотря на то, что мы пока не видели APT-атак, в которых был бы использован шведский язык, мы прогнозируем, что в «гонку кибервооружений» вступят новые страны, которые обзаведутся инструментами для кибершпионажа.
Атаки «под чужим флагом» Иногда киберпреступники совершают ошибки. В абсолютном большинстве анализируемых нами атак мы находим признаки, указывающие на язык, на котором говорят злоумышленники. Например, в случае RedOctober и Epic Turla мы пришли к выводу, что злоумышленники, вероятнее всего, хорошо говорят по-русски. В случае NetTraveler мы заключили, что организаторы атак хорошо говорят по-китайски.
В некоторых случаях эксперты обнаруживают другие метаданные, указывающие на национальную принадлежность атакующих. Например, по результатам анализа временных меток файлов, использованных в ходе атаки, иногда можно сделать вывод о том, в какой части света скомпилирована большая часть вредоносных образцов.
Однако, злоумышленники начинают реагировать на эту ситуацию. В 2014 году мы обнаружили несколько атак «под чужим флагом», в ходе которых атакующие применяли «неактивное» вредоносное ПО, обычно используемое другими APT-группировками. Представьте себе, что западная APT-группировка в ходе атаки загружает на компьютеры жертв вредоносное ПО, которое, как правило, использует Comment Crew — известная группировка из Китая. Всем знакомы вредоносные модули Comment Crew; при этом немногие из жертв способны выполнить квалифицированный анализ сложных новых модулей. В результате может быть сделан ошибочный вывод, что атаку провела вышеупомянутая китайская группировка.
Чего ожидать: учитывая растущее стремление государственных органов публично обличать злоумышленников, мы считаем, что в 2015 году APT-группировки внесут соответствующие изменения в организацию своей деятельности и будут чаще проводить вредоносные кампании «под чужим флагом».
Добавление атак на мобильные устройства в арсенал APT-группировок Несмотря на то, что известны случаи, когда APT-группировки заражали мобильные устройства, это пока не стало серьезной тенденцией. Возможно, злоумышленников интересуют данные, которые, как правило, не хранятся на мобильных устройствах, а может быть, не все злоумышленники располагают технологиями, позволяющими заражать устройства под управлением Android и iOS.
В 2014 году мы столкнулись с несколькими новыми средствами, применяемыми в ходе атак APT-класса для заражения мобильных устройств — например, с мобильными модулями программы Remote Control System, производимой компанией HackingTeam.
Кроме того, в ходе протестов в Гонконге в октябре 2014 года были выявлены атаки на пользователей Android и iOS. По-видимому, эти атаки имеют отношение к APT-кампаниям.
Даже если на мобильном телефоне не хранятся ценные документы, схемы или планы геополитического развития на ближайшие 10 лет, он может быть использован как источник контактной информации, а также для подслушивания. Мы видели подобный функционал, разработанный группировкой RedOctober, которая заражала смартфоны и превращала их в «закладки» — мобильные подслушивающие устройства.
Чего ожидать: в 2015 году мы ожидаем активного применения вредоносного ПО для мобильных устройств, прежде всего для устройств под управлением Android и прошедшей джейлбрейк iOS.
APT+ботнет: точно рассчитанная атака + массовая слежка В целом, APT-группировки стараются не привлекать к своей деятельности излишнего внимания. Именно поэтому вредоносное ПО, применяемое в атаках APT-класса, значительно менее широко распространено, чем такие зловреды, как ZeuS, SpyEye и Cryptolocker.
В 2014 году мы столкнулись с использованием двумя APT-группировками (Animal Farm и Darkhotel) ботнетов в дополнение к обычным целевым атакам. Несомненно, ботнеты могут стать важным средством ведения кибервойны. Их можно применять для проведения DDoS-атак против враждебных стран, и такие случаи имели место. Становится понятно, почему некоторые APT-группировки в дополнение к проведению целевых атак организуют ботнеты.
Помимо проведения DDoS-атак, ботнеты дают еще одну возможность — они могут применяться как аппарат массовой слежки. Например, Flame и Gauss, обнаруженные в 2012 году, могли использоваться как инструменты массовой слежки, автоматически собирая информацию с компьютеров десятков тысяч жертв. Затем эту информацию должен был бы проанализировать суперкомпьютер — проиндексировать, сгруппировать по ключевым словам и темам. Вероятно, большая часть этой информации оказалась бы бесполезной. Но среди сотен тысяч украденных документов мог быть один, содержащий важные для злоумышленников сведения — в сложной ситуации такая находка способна сыграть решающую роль.
Чего ожидать: В 2015 году к тенденции использования точечных атак в сочетании с привлекающими к себе внимание кампаниями и организацией собственных ботнетов присоединятся новые APT-группировки.
Атаки на гостиничные сети Группировка Darkhotel — одна из APT-групп, проводящих атаки на конкретных посетителей отелей в некоторых странах. В действительности, гостиницы дают прекрасные возможности для атак на определенные категории людей — например, на высшее руководство крупных компаний. Атаковать отели также чрезвычайно выгодно, поскольку это позволяет получать сведения о перемещениях высокопоставленных лиц по миру.
Взлом системы бронирования отелей — простой путь разведать планы конкретного лица, интересующего киберпреступников. Это также обеспечивает злоумышленников информацией о том, в каком номере остановилась жертва, что позволяет организовать на нее физическое нападение, а не просто кибератаку.
Организовать атаку на отель не так уж просто. Именно поэтому лишь немногие группировки — можно сказать, APT-элита — осуществляли подобные атаки в прошлом и продолжат использовать их как часть своего инструментария в будущем.
Чего ожидать: возможно, в 2015 году еще несколько группировок возьмут на вооружение подобные приемы, однако для большинства организаторов кампаний APT-класса подобные атаки останутся за пределами возможностей.
Коммерциализация APT-кампаний и частный сектор За последние годы мы опубликовали много материалов о вредоносных программах, созданных такими компаниями, как HackingTeam и Gamma International — наиболее известными производителями «легального» шпионского ПО. Несмотря на заверения этих компаний, что они продают свое ПО только «заслуживающим доверия государственным органам», в опубликованных отчетах различных организаций, в том числе Citizen Lab, неоднократно продемонстрировано, что продажи шпионского ПО невозможно контролировать. В результате эти опасные программные продукты оказываются в руках лиц и государств, заслуживающих доверия в значительно меньшей степени. Те, в свою очередь, применяют их для кибершпионажа против других стран или против собственного народа.
Тем не менее, подобная деятельность очень выгодна компаниям, производящим ПО для кибершпионажа. К тому же она сопряжена с минимальным риском, поскольку на данный момент не зафиксировано ни одного случая успешного уголовного преследования этих компаний за кибершпионаж. Правоохранительные органы, как правило, неспособны добраться до разработчиков подобного инструментария, поскольку ответственность ложится на тех, кто применял эти инструменты на практике, а не на компанию, разработавшую средства слежки.
Чего ожидать: Это высокодоходный бизнес с низким уровнем риска. Поэтому можно ожидать появления новых игроков на рынке «легальных» средств слежки. Эти средства будут применяться для кибершпионских операций против других государств, слежки за собственными гражданами и, возможно, даже для подрывной деятельности.
Выводы В целом, 2014 год ознаменовался достаточно сложными и разнообразными APT-атаками. Мы обнаружили несколько эксплойтов нулевого дня, например, CVE-2014–0515 — он применялся группировкой, известной как Animal Farm. Еще один обнаруженный нами эксплойт нулевого дня — CVE-2014–0487 — использовался группировкой, получившей название DarkHotel. Кроме новых, ранее неизвестных эксплойтов, мы столкнулись с несколькими новыми приемами закрепления в зараженной системе и сокрытия активности вредоносного ПО. Результатом этих открытий стала разработка и внедрение нескольких новых защитных механизмов для обеспечения безопасности наших пользователей.
Если 2014 году подходит определение «сложный», то 2015 год можно будет охарактеризовать словом «неуловимый». По нашему мнению, все больше APT-группировок будут стараться избежать обнаружения, применяя для этого все более сложные технические приемы.
Наконец, некоторые из подобных группировок будут действовать «под чужим флагом». Вот те изменения, которых мы ожидаем в следующем году и детали которых будем, как обычно, освещать в своих отчетах.
Полный текст статьи читайте на Лаборатория Касперского