26 апреля, 2019
Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.
Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.
Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.
А теперь – главные новости о SAS-2019.
Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.
Our cybersecurity research makes a lot of people unhappy. It’s tough job but somebody got to do it. @craiu at #TheSAS2019 pic.twitter.com/iEPoxZVzhT
— Eugene Kaspersky (@e_kaspersky) April 10, 2019
Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.
1. TajMahal
Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.
Платформа состоит из двух частей: Tokyo и Yokohama. Первая часть — это основной бэкдор, выполняющий ещё и функцию доставки второго вредоноса. Вторая часть обладает весьма широким функционалом: кража cookies, перехват документов из очереди на печать, запись VoIP-звонков (в том числе через вотсап и фейстайм), создание снимков экрана и многое другое. Операция TajMahal работает уже не менее 5 лет. Подобная APT-махина вряд ли построена лишь для атаки на одну цель. Остальные, скорее всего, нам ещё предстоит обнаружить.
Подробнее про этого «зверя» здесь.
2. Gaza Cybergang
О группировке Gaza Cybergang, промышляющей кибершпионажам, мы писали ещё в сентябре 2015 года, а действует она по нашим данным аж с 2012. В основном орудует на территории стран Ближнего Востока и Средней Азии. Хотя наибольшее количество атак нами было зафиксировано в Палестине, + немало попыток заражения также зафиксированы в Иордании, Израиле и Ливане. Больше всего Gaza Cybergang интересуют политики, дипломаты, журналисты и политические активисты.
Группировка «сложносоставная», состоящая из как минимум трёх подгрупп. У всех групп разный стиль работы и разные техники, поэтому мы не сразу смогли понять, что они действуют заодно. О двух группах с более серьезным техническим уклоном мы уже писали (тут и тут). А вот третья группа MoleRATs была впервые упомянута на SAS-2019. Отметилась она операцией SneakyPastes (названа так за активное использование pastebin.com).
Многоэтапные атаки начинаются с хитрого фишинга. Письма на актуальную политическую тематику, которые якобы содержат какие-то протоколы переговоров или послания легитимных и уважаемых организаций. В общем, не открыть такое письмо неподготовленному чиновнику сложно. А на самом деле ссылки ведут на вредонос, а безопасные, на первый взгляд, вложенные файлы сами содержат зловреды, запускающие цепочки заражения. Проникнув в систему, злоумышленники маскируют свое присутствие от защитных решений и постепенно выстраивают следующие этапы атаки.
В конце концов на устройство устанавливается RAT-зловред с весьма широкими возможностями: он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать данные. Зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет себе на командный сервер. Вот он современный шпионаж!
Ещё больше букв про эту историю здесь.
3. Финансовый фрод и цифровые двойники
Если вы успели подумать, что все наши расследования касаются только атак, которые тянут на сюжет шпионских детективов, то вы ошибаетесь. Третье расследование, о котором я хочу рассказать, касается огромного количества людей. Просто киберпреступления, о которых пойдет речь, стали такой обыденностью, что о них не трубят СМИ. А надо бы! Речь идет о финансовом мошеничестве. По оценкам только в 2018 году убытки от махинаций с кредитными картами составили около 24 млрд долларов. Вдумайтесь, 24 лярда!! Для сравнения годовой бюджет NASA – 21,5 млрд долларов. В Токио вот Олимпийские игры за 25 млрд проведут!
Для махинаций с карточками придумали специальный термин – кардинг. Так вот: кардинг живее всех живых, и убытки от него растут с каждым годом. И хотя банки и платёжные системы уделяют особое внимание безопасности, мошенники не менее активно работают над новыми инструментами для кражи денег с наших кредиток.
На SAS мы рассказали про ещё одну отрасль финансового фрода — Сергей Ложкин обнаружил в даркнете целый рынок под названием Genesis, где продаются «цифровые маски». Это по сути пакет данных о поведении пользователя в сети и его цифровой отпечаток — история посещения сайтов, информация о его операционной системе, браузере и так далее. Зачем всё это нужно? Именно эти данные используют различные онлайн-системы защиты от мошенничества для проверки пользователей. Если цифровая маска совпадает с ранее использованной, то защитное решение узнает человека и одобрит транзакцию. Например, на покупку в интернет-магазине или перевод денег в онлайн-банке. Цена на такую маску скачет от 5 до 200 долларов в зависимости от объёма данных.
Как же эти отпечатки собираются? С помощью самых разных зловредов. Например, малвара может обосноваться на вашем компьютере и тихо-мирно, по чуть-чуть собирать о вас данные, до которых сможет добраться. Вы скорее всего ничего не заметите.
Мошенники придумали ещё один способ обойти защиту – выглядеть для системы незнакомым, то есть абсолютно новым пользователем. Это можно сделать с помощью специального сервиса под названием Sphere. Он обнуляет цифровую личность и все её параметры. Так преступник чист для системы защиты.
Как защититься? Банки должны быть в курсе всех самых современных мошеннических схем и использовать двухфакторную аутентификацию. Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным (паролям, номерам карт, использованию компьютеров в публичных местах, а также подключениям к публичному вайфаю) и, конечно, использовать защитные решения, которые смогут распознать все зловреды, нацелившиеся на вашу цифровую личность.
На самом деле на SAS-2019 было ~70 докладов, которые тщательно отбирались, чтобы было очень интересно, но про них всех в одном блоге не расскажешь. Скоро мы опубликуем запись концеренции на нашем Youtube-канале, следите за новостями.
Но в заключение всё же добавлю про два совершенно сногсшибательные выступления в самом конце конференции.
4. The secret power of YARA
Под занавес конференции в режиме «печа-куча» Виталий Камлюк показал на что способна YARA (это такой текстовый поисковик разной аттрибутики в исполняемых файлах, очень помогает при анализе киберзловредов).
В своей презентации «The secret power of Yara» он вытворял чудеса, магию, чародейство, джедайские кульбиты и прочее волшебство с этой популярной тулзой, а в самом конце при помощи неведомой химии и хитрости рук через Yara вывел на большой экран на офигевание публике реал-тайм-видео в ASCII-псевдографике! А потом, словно издеваясь над уже полностью ошалевшей от YARA-колдовства публикой, в том же ASCII-режиме начал резаться в первый DOOM. Публика медленно стекла на пол…
5. Работы — непочатый край
В заключительном выступлении директор нашего отряда элитных кибер-нинздя GReAT Костин Раю серьёзно загрузил публику теоретически возможными способами проникновения киберзловредов глубоко внутрь системы, на уровень железа, а также потенциальными методами их сокрытия на самом низком «железном» уровне. Был задан серьёзный вопрос: что делать, если эти гипотезы вдруг станут реальностью? Что на это может ответить индустрия кибербезопасности? В целом, всю презентацию можно оценивать как этакий юзер-гайд «куда пойти стартапить».
Вот таких и множество других выступлений наслушались многочисленные гости SAS-2019. До нового SAS’а и до новых открытий, мальчики и девочки!