Infractorii cibernetici s-au specializat in atacuri invizibile si lovesc tinte din intreaga lume

Miercuri, 08 Februarie 2017, ora 15:02
6242 citiri
Infractorii cibernetici s-au specializat in atacuri invizibile si lovesc tinte din intreaga lume
Foto: CC0 Public Domain

Bancile, companiile de telecomunicatii si organizatiile guvernamentale din Europa, SUA, America de Sud si Africa sunt tintele unor atacuri cibernetice "invizibile", realizate cu ajutorul unui virus ascuns in programe cunoscute si inofensive.

Expertii Kaspersky Lab au descoperit o serie de atacuri "invizibile" cu tinta precisa, care folosesc doar software legitim: teste de intruziune foarte raspandite si instrumente ca PowerShell pentru automatizarea proceselor de lucru in Windows - fara sa lase fisiere malware pe hard drive, ci ascunzandu-le in memorie, se arata intr-un comunicat remis Business24.

Aceasta abordare din doua perspective ajuta la evitarea detectiei prin tehnologii de "whitelisting" si nu le lasa investigatorilor prea multe mostre de malware sau alte dovezi cu care sa lucreze.

Atacatorii sunt prezenti doar atata vreme cat au nevoie sa-si stranga informatii, inainte sa li se stearga urmele din sistem, la primul restart.

La finalul anului 2016, expertii Kaspersky Lab au fost contactati de banci din CIS care gasisera programul pentru teste de intruziune, Meterpreter - folosit adesea ca instrument de atac - in memoria serverelor lor, desi nu ar fi trebuit sa fie acolo.

Kaspersky Lab a descoperit ca acest cod Meterpreter a fost folosit impreuna cu mai multe script-uri PowerShell legitime si cu alte instrumente. Acestea au fost adaptate si transformate intr-un cod malware capabil sa se ascunda in memorie, fara sa fie vazut, si sa colecteze parolele administratorilor de sistem, pentru ca atacatorii sa poata controla de la distanta sistemele victimei. Scopul final pare sa fie accesarea proceselor financiare.

Kaspersky Lab a dezvaluit ca aceste atacuri se intampla la scara larga, lovind peste 140 de retele ale companiilor mari din mai multe domenii de activitate, cele mai multe victime fiind localizate in SUA, Franta, Kenya, Marea Britanie si Rusia.

Nu se stie cine se afla in spatele atacurilor. Folosirea unui cod exploit de tip open source, a instrumentelor Windows obisnuite si a domeniilor necunoscute face aproape imposibil sa determini grupul responsabil - sau daca este un singur grup sau sunt mai multe care folosesc aceleasi instrumente. GCMAN si Carbanak sunt doua grupuri cunoscute care actioneaza in mod similar.

Astfel de instrumente ingreuneaza, de asemenea, dezvaluirea detaliilor unui atac. Cursul normal in cazul unui raspuns la incident include investigarea urmelor si a mostrelor lasate in retea de atacatori. Si, daca datele de pe un hard drive pot ramane disponibile timp de un an dupa un incident, cele din memorie vor fi sterse la primul restart al computerului. Din fericire, in acest caz, expertii le-au obtinut in timp.

"Hotararea atacatorilor de a-si ascunde activitatea si de ingreuna detectia si raspunsul in cazul unui incident explica ultima tendinta a programelor malware rezidente in memorie. De aceea este foarte importanta analiza malware la nivel de memorie. In cazul acestor incidente, atacatorii au folosit toate tehnicile pentru a-si ascunde urmele, demonstrand ca nu este nevoie de fisiere malware pentru extragerea cu succes a datelor dintr-o retea si ca folosirea instrumentelor legitime si open source face atribuirea aproape imposibila", a spus Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.

Atacatorii sunt activi inca, asa ca este important de notat ca detectia unui astfel de atac se poate face doar in memoria RAM, retea si registru - si ca, in astfel de cazuri, folosirea regulilor Yara bazate pe scanarea fisierelor malware sunt inutile.

Detaliile celei de-a doua parti a operatiunii, care arata cum au implementat atacatorii tactici unice pentru a retrage bani de la bancomate, vor fi prezentate de Sergey Golovanov si Igor Soumenkov la Security Analyst Summit, care va avea loc intre 2 si 6 aprilie 2017.

Produsele Kaspersky Lab detecteaza operatiuni care folosesc tacticile, tehnicile si procedurile de mai sus.

Mai multe informatii pe aceasta tema si regulile Yara pentru investigarea incidentelor pot fi gasite pe blogul Securelist.com.

De asemenea, detalii tehnice, inclusiv Indicatorii de Compromitere, au fost oferite clientilor Kaspersky Intelligence Services.

Combaterea atacurilor venite din partea unor grupuri ca GCMAN sau CARBANAK necesita un set abilitati specifice ale specialistilor in securitate care apara organizatia vizata.

In timpul Security Analysis Summit 2017, experti de top de la Kaspersky Lab vor sustine sesiuni de training pe securitate, menite sa ii ajute pe specialisti sa detecteze atacuri complexe cu tinta precisa.

Va puteti inscrie aici pentru un training pe tema "Detectarea atacurilor cu tinta precisa cu ajutorul regulilor Yara".

Pentru un training pe tema dezasamblarii malware-ului, va puteti inscrie aici.

#Kaspersky Lab, #malware ascuns, #hackeri atac invizibil , #Internet hacking