Цифровое Бали, или Как киберпреступники атакуют организации в Юго-Восточной Азии

157ad2e3b538efe5fa1e321f319670c5.jpg

Страны Юго-Восточной Азии с их вечным летом, теплыми морями и быстрорастущими экономиками привлекают не только туристов и цифровых кочевников со всего мира, но и организованных киберпреступников. Это регион разительных контрастов: ультрасовременный Сингапур сильно опережает слаборазвитую Мьянму по уровню цифровизации и кибербезопасности. Мы всесторонне исследовали деятельность 20 APT-группировок, которые атаковали организации стран АСЕАН в период с января 2020-го по апрель 2024 года (география APT-атак в исследовании представлена на рисунке ниже). В результате выяснилось, что больше всего киберпреступников в регионе интересуют такие страны, как Филиппины и Вьетнам, а тройка самых атакуемых отраслей включает госучреждения, телекоммуникации и ВПК.

Читайте под катом подробнее о целях, подходах, техниках и инструментах киберпреступных групп, действующих на юго-востоке Азии. Полный текст нашего исследования доступен по ссылке на сайте.

Цифровизация и кибербезопасность

Пандемия COVID-19, с одной стороны, серьезно ударила по экономике стран Юго-Восточной Азии. В 2020 году, впервые после Азиатского финансового кризиса 1997–1998 годов, средний темп роста ВВП в странах АСЕАН был отрицательным.

С другой стороны, кризис стал катализатором начала технологической и цифровой трансформации региона. Сингапур, Малайзия, Таиланд, Вьетнам, Филиппины и Индонезия стали основными движущими силами внедрения новых технологий в регионе. Доходы от цифровой экономики в Юго-Восточной Азии в 2023 году оцениваются в 100 млрд долл. США, что в 1,7 раза больше, чем в 2021 году. Основной вклад в этот рост вносят электронная коммерция, туризм и СМИ. По состоянию на начало 2024 года уровень проникновения интернета в регионе превысил 70% во всех странах, за исключением Лаоса, Мьянмы и Восточного Тимора.

Интересно: в период локдауна остро проявилась проблема недоступности цифровых технологий для большинства населения. По данным АСЕАН за 2020 год, только 53% сельских детей и подростков в регионе имели возможность выйти в интернет из дома, а в Камбодже, Лаосе и Мьянме к широкополосному интернету были подключены менее 5% домов.

Уровень киберзрелости стран Юго-Восточной Азии сильно варьируется и напрямую зависит от политического и экономического развития того или иного государства. Наиболее высоких индексов кибербезопасности достигли сильнейшие экономические игроки региона — Малайзия и Сингапур. С другой стороны Мьянма, которая долгие годы находилась в условиях политической изоляции и военных конфликтов, занимает одно из самых последних мест как по показателям развития цифровой экономики, так и по индексу кибербезопасности.

Самые привлекательные

Борьба за ресурсы богатого региона неминуемо проявляется в киберпространстве и приводит к сложным, тщательно спланированным целенаправленным кибератакам, которые называют APT-атаками. Их совершают объединения профессиональных киберпреступников — APT-группировки. Проникнув в сеть организации-жертвы, они могут сохранять свое присутствие в ней в течение нескольких месяцев и даже лет, собирая разведданные. Последствия APT-атак могут затронуть экономику страны, критически значимую информационную инфраструктуру и национальную безопасность.

В Юго-Восточной Азии в пятерку стран-лидеров по числу атакующих их APT-группировок входят Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%).

География действий киберпреступников (доля APT-группировок, атакующих страны региона)

География действий киберпреступников (доля APT-группировок, атакующих страны региона)

Эксперты отмечают, что активность киберпреступников в регионе во многом обусловлена территориальными спорами в Южно-Китайском море между членами АСЕАН и Китаем, а также противостоянием Пекина и Вашингтона за лидерство в регионе. В частности, атаки на госсектор и ВПК Филиппин усилились после прихода к власти в этой стране нового президента, при котором укрепились отношения с США и прошли американо-филиппинские военные учения. В августе 2023 года на фоне обострения напряженности в отношениях между Филиппинами и Китаем APT-группа Mustang Panda атаковала организации в южной части Тихого океана, в результате которых было скомпрометировано госучреждение на Филиппинах.

Более половины (60%) рассмотренных APT-группировок атакуют Индонезию. Здесь, как и в других странах Юго-Восточной Азии, идет переход на цифровую экономику, активно развиваются электронная коммерция и финтех. Однако уровень цифровой грамотности населения все еще остается невысоким, а расходы страны на кибербезопасность (0,02% от ВВП) — самые низкие в Юго-Восточной Азии. Интерес киберпреступников в Индонезии в первую очередь направлен на промышленные предприятия: строительные, горнодобывающие и авиационные.

Самые атакуемые отрасли

Все изученные нами APT-группировки, действующие в Юго-Восточной Азии, проводят кибератаки на государственные учреждения, а половина из них также атакуют организации военно-промышленного комплекса региона.

Атакуемые отрасли (доля APT-группировок)

Атакуемые отрасли (доля APT-группировок)

60% действующих в регионе APT-группировок атакуют также поставщиков телекоммуникационных услуг. Получив доступ к оператору связи, киберпреступники могут воспользоваться им для дестабилизации ситуации в момент обострения геополитического конфликта. Кроме того, кибершпионы взламывают провайдеров, чтобы получить доступ к конфиденциальной информации их клиентов и использовать ее для дальнейших атак. Поскольку темпы внедрения новых технологий в Юго-Восточной Азии выше темпов развития кибербезопасности, быстрое развертывание в регионе технологии 5G может привести к росту числа кибератак на эту отрасль.

Кроме того, более трети всех киберпреступных группировок, действующих в этой части мира, атакуют предприятия из сфер науки и образования (45%), промышленности (40%) и финансов (35%).

Цифровые ОПГ атакуют. Начало

Перед началом активной фазы своего вторжения киберпреступники готовят плацдарм. Мы выяснили, что больше половины APT-групп (55%) приобретают ресурсы для создания инфраструктуры, необходимой для управления и контроля за ходом атаки, 40% группировок приобретают ресурсы и инструменты для атаки, а каждая четвертая структура использует для своих атак ранее скомпрометированную инфраструктуру. 

Исследование также показало, что три четверти исследованных APT-группировок начинают кибератаки с фишинговых рассылок. Фишинговые кампании нередко привязаны по времени к значимым для региона событиям, например саммитам АСЕАН.

Интересно: некоторые злоумышленники использовали для своих рассылок ранее скомпрометированные адреса электронной почты или похищенные документы. Таким образом фишинг становился успешнее. Например, группа Earth Krahang использовала взломанный аккаунт электронной почты одного госучреждения для фишинговой рассылки на адреса правительств других стран.

Половина всех APT-групп эксплуатируют уязвимости в общедоступных системах, например в почтовых серверах Microsoft Exchange, которые используют сотни тысяч компаний по всему миру. В 2023 году группировка Earth Lusca атаковала правительственные ведомства и телекоммуникационные компании в странах Юго-Восточной Азии, эксплуатируя связку уязвимостей ProxyShell в Microsoft Exchange.

Наиболее распространенные техники получения первоначального доступа

Наиболее распространенные техники получения первоначального доступа

Ряд APT-группировок (30%) используют в качестве первоначального этапа атаку типа watering hole, размещая на веб-сайтах скрипты, которые незаметно загружают на компьютеры посетителей вредоносные программы.

Чтобы закрепиться в инфраструктуре жертвы и продвигаться в ней дальше в поисках ценной информации, злоумышленники применяют разные техники. Три четверти APT-группировок, атакующих организации в странах Юго-Восточной Азии, используют легитимные процессы для выполнения вредоносных действий. Столько же групп прибегают к закреплению с помощью планировщика заданий, который позволяет запускать вредоносный код каждый раз при старте системы или по расписанию в определенное время.

Для исследования среды, в которой они оказались, большинство APT-группировок (80%), по нашим данным, стремятся идентифицировать пользователей скомпрометированных узлов. Эту информацию можно использовать для повышения привилегий или продвижения в инфраструктуре. 70% исследованных группировок собирают данные о конфигурации сети, а также просматривают файлы и каталоги в поисках полезной информации. Больше половины (60%) групп изучают запущенные на узле процессы, что помогает им составить представление об установленных средствах защиты.

Сбор и выгрузка трофеев

Важный этап для злоумышленников — сбор информации, представляющей интерес с точки зрения кибершпионажа. Источниками ценных данных становятся локальные файлы на рабочих станциях сотрудников, браузеры, электронная почта, общие сетевые хранилища, облачные хранилища, репозитории кода.

Большинство (65%) группировок ищут интересующую их информацию в локальных файлах на скомпрометированных устройствах. Злоумышленники делают скриншоты экранов и перехватывают данные, которые вводит жертва. Зачастую обе эти техники реализуются с помощью одних и тех же программных средств. Например, группа Gallium в кибератаке на правительственные организации одной из стран Юго-Восточной Азии использовала троян Quasar, в котором есть функции слежки за клавиатурой и записи экрана.

Три из четырех группировок архивируют или шифруют полученную информацию. Сжатие данных позволяет злоумышленникам передавать собранную информацию намного быстрее, а кодирование и шифрование помогает скрыть украденные данные.

В ходе исследования эксперты установили, что больше половины киберпреступных группировок выгружают похищенные данные через легитимные веб-сервисы. Например, группа Dark Pink в атаках на страны Юго-Восточной Азии в конце 2022 года использовала для передачи украденных данных Telegram и Dropbox. Earth Estries, со своей стороны, выгружала похищенные трофеи в анонимные файлообменники AnonFiles2 и File.io с помощью утилиты Curl.

Киберпреступники могут автоматизировать выгрузку данных из скомпрометированной инфраструктуры. Например, инфостилер группы SideWinder умеет автоматически отправлять собранные данные на специальный адрес электронной почты или другой сетевой ресурс злоумышленника.

Наиболее распространенные техники выгрузки похищенных данных

Наиболее распространенные техники выгрузки похищенных данных

В арсенале APT-группировок предусмотрено множество техник обхода механизмов защиты и сокрытия вредоносной активности. Почти все APT-группировки, атакующие Юго-Восточную Азию, пытаются затруднить обнаружение и анализ исполняемых файлов путем сжатия, кодирования, шифрования и запутывания вредоносного кода (95%), а также маскируют свою деятельность под легитимные операции, процессы, файлы и команды (90%).

Большинство APT-группировок стараются усложнить работу специалистов по кибербезопасности, скрывая или стирая следы активности. Например, в арсенале группы APT23 есть инструмент собственной разработки для очищения журналов событий на скомпрометированном компьютере.

Арсенал

На вооружении изученных нами APT-группировок есть множество инструментов, в том числе уникальное ПО собственной разработки. В то же время все они используют в атаках легитимные программы, известные под общим термином living off the land, которые злоумышленникам не нужно загружать извне, потому что они уже есть в скомпрометированной системе. Их использование имеет неоспоримые преимущества: позволяет киберпреступникам замаскировать свою деятельность под действия IT-персонала и тем самым избежать обнаружения средствами защиты, а также минимизировать затраты на разработку собственного ПО.

Наиболее распространенные инструменты, используемые в APT-атаках на страны АСЕАН  (доля APT-группировок)

Наиболее распространенные инструменты, используемые в APT-атаках на страны АСЕАН (доля APT-группировок)

Семь из десяти APT-группировок применяют Cobalt Strike — коммерческое ПО, которое создавалось как инструмент для тестирования на проникновение, но обширные функциональные возможности которого сегодня активно эксплуатируются злоумышленниками. Например, подгруппа Earth Longzhi группировки APT41 в атаках на организации Филиппин, Таиланда, Малайзии и Индонезии использовала специальные версии загрузчиков Cobalt Strike со сложными механизмами защиты от обнаружения. Вкупе с другими техниками это позволило злоумышленникам оставаться незамеченными в инфраструктуре жертв с сентября 2021 года по июнь 2022-го.

Выводы

Для защиты критически значимой инфраструктуры и национальной безопасности государствам Юго-Восточной Азии нужно уделить особое внимание укреплению своего оборонительного киберпотенциала. В целях реализации этой глобальной задачи нужно:

  • Повышать уровень осведомленности о важности кибербезопасности и расширять региональное сотрудничество в этой сфере.

  • Разрабатывать комплексные меры реагирования на национальном и региональном уровнях.

  • Стимулировать совместные инициативы с участием частного сектора и экспертов по кибербезопасности.

  • Принять подход, основанный на идее результативной кибербезопасности. Инфраструктура и процессы должны быть выстроены таким образом, чтобы даже в случае проникновения злоумышленников в сеть организации они не смогли нанести ей неприемлемый ущерб.

Для борьбы со сложными целевыми атаками и построения эффективной системы защиты необходимо предпринять следующий ряд мер на основе принципов результативной ИБ:

  • Провести инвентаризацию всех IT-активов: идентифицировать и классифицировать каждый из них.

  • С помощью современных средств защиты отслеживать события безопасности, анализировать их и своевременно реагировать на инциденты.

  • Поскольку люди остаются слабым звеном, нужно повышать уровень киберграмотности сотрудников.

  • Регулярно проводить мероприятия по оценке защищенности, в том числе принимать участие в программах багбаунти.

Ознакомиться с полным перечнем тактик и техник APT-группировок, действующих в Юго-Восточной Азии, можно в исследовании на нашем сайте.

44f47e78eec197d3bb7dce9aaec341df.jpgЯна Авезова

Старший аналитик исследовательской группы, Positive Technologies

© Habrahabr.ru