26 апреля, 2019

Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Платформа состоит из двух частей: Tokyo и Yokohama. Первая часть — это основной бэкдор, выполняющий ещё и функцию доставки второго вредоноса. Вторая часть обладает весьма широким функционалом: кража cookies, перехват документов из очереди на печать, запись VoIP-звонков (в том числе через вотсап и фейстайм), создание снимков экрана и многое другое. Операция TajMahal работает уже не менее 5 лет. Подобная APT-махина вряд ли построена лишь для атаки на одну цель. Остальные, скорее всего, нам ещё предстоит обнаружить.

Подробнее про этого «зверя» здесь.

2. Gaza Cybergang

О группировке Gaza Cybergang, промышляющей кибершпионажам, мы писали ещё в сентябре 2015 года, а действует она по нашим данным аж с 2012. В основном орудует на территории стран Ближнего Востока и Средней Азии. Хотя наибольшее количество атак нами было зафиксировано в Палестине, + немало попыток заражения также зафиксированы в Иордании, Израиле и Ливане. Больше всего Gaza Cybergang интересуют политики, дипломаты, журналисты и политические активисты.

Группировка «сложносоставная», состоящая из как минимум трёх подгрупп. У всех групп разный стиль работы и разные техники, поэтому мы не сразу смогли понять, что они действуют заодно. О двух группах с более серьезным техническим уклоном мы уже писали (тут и тут). А вот третья группа MoleRATs была впервые упомянута на SAS-2019. Отметилась она операцией SneakyPastes (названа так за активное использование pastebin.com).

Многоэтапные атаки начинаются с хитрого фишинга. Письма на актуальную политическую тематику, которые якобы содержат какие-то протоколы переговоров или послания легитимных и уважаемых организаций. В общем, не открыть такое письмо неподготовленному чиновнику сложно. А на самом деле ссылки ведут на вредонос, а безопасные, на первый взгляд, вложенные файлы сами содержат зловреды, запускающие цепочки заражения. Проникнув в систему, злоумышленники маскируют свое присутствие от защитных решений и постепенно выстраивают следующие этапы атаки.

В конце концов на устройство устанавливается RAT-зловред с весьма широкими возможностями: он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать данные. Зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет себе на командный сервер. Вот он современный шпионаж!

Ещё больше букв про эту историю здесь.

3. Финансовый фрод и цифровые двойники

Если вы успели подумать, что все наши расследования касаются только атак, которые тянут на сюжет шпионских детективов, то вы ошибаетесь. Третье расследование, о котором я хочу рассказать, касается огромного количества людей. Просто киберпреступления, о которых пойдет речь, стали такой обыденностью, что о них не трубят СМИ. А надо бы! Речь идет о финансовом мошеничестве. По оценкам только в 2018 году убытки от махинаций с кредитными картами составили около 24 млрд долларов. Вдумайтесь, 24 лярда!! Для сравнения годовой бюджет NASA – 21,5 млрд долларов. В Токио вот Олимпийские игры за 25 млрд проведут!

Для махинаций с карточками придумали специальный термин – кардинг. Так вот: кардинг живее всех живых, и убытки от него растут с каждым годом. И хотя банки и платёжные системы уделяют особое внимание безопасности, мошенники не менее активно работают над новыми инструментами для кражи денег с наших кредиток.

На SAS мы рассказали про ещё одну отрасль финансового фрода — Сергей Ложкин обнаружил в даркнете целый рынок под названием Genesis, где продаются «цифровые маски». Это по сути пакет данных о поведении пользователя в сети и его цифровой отпечаток — история посещения сайтов, информация о его операционной системе, браузере и так далее. Зачем всё это нужно? Именно эти данные используют различные онлайн-системы защиты от мошенничества для проверки пользователей. Если цифровая маска совпадает с ранее использованной, то защитное решение узнает человека и одобрит транзакцию. Например, на покупку в интернет-магазине или перевод денег в онлайн-банке. Цена на такую маску скачет от 5 до 200 долларов в зависимости от объёма данных.

Как же эти отпечатки собираются? С помощью самых разных зловредов. Например, малвара может обосноваться на вашем компьютере и тихо-мирно, по чуть-чуть собирать о вас данные, до которых сможет добраться. Вы скорее всего ничего не заметите.

Мошенники придумали ещё один способ обойти защиту – выглядеть для системы незнакомым, то есть абсолютно новым пользователем. Это можно сделать с помощью специального сервиса под названием Sphere. Он обнуляет цифровую личность и все её параметры. Так преступник чист для системы защиты.

Как защититься? Банки должны быть в курсе всех самых современных мошеннических схем и использовать двухфакторную аутентификацию. Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным (паролям, номерам карт, использованию компьютеров в публичных местах, а также подключениям к публичному вайфаю) и, конечно, использовать защитные решения, которые смогут распознать все зловреды, нацелившиеся на вашу цифровую личность.

На самом деле на SAS-2019 было ~70 докладов, которые тщательно отбирались, чтобы было очень интересно, но про них всех в одном блоге не расскажешь. Скоро мы опубликуем запись концеренции на нашем Youtube-канале, следите за новостями.

Но в заключение всё же добавлю про два совершенно сногсшибательные выступления в самом конце конференции.

4. The secret power of YARA

Под занавес конференции в режиме «печа-куча» Виталий Камлюк показал на что способна YARA (это такой текстовый поисковик разной аттрибутики в исполняемых файлах, очень помогает при анализе киберзловредов).

В своей презентации «The secret power of Yara» он вытворял чудеса, магию, чародейство, джедайские кульбиты и прочее волшебство с этой популярной тулзой, а в самом конце при помощи неведомой химии и хитрости рук через Yara вывел на большой экран на офигевание публике реал-тайм-видео в ASCII-псевдографике! А потом, словно издеваясь над уже полностью ошалевшей от YARA-колдовства публикой, в том же ASCII-режиме начал резаться в первый DOOM. Публика медленно стекла на пол…

5. Работы — непочатый край

В заключительном выступлении директор нашего отряда элитных кибер-нинздя GReAT Костин Раю серьёзно загрузил публику теоретически возможными способами проникновения киберзловредов глубоко внутрь системы, на уровень железа, а также потенциальными методами их сокрытия на самом низком «железном» уровне. Был задан серьёзный вопрос: что делать, если эти гипотезы вдруг станут реальностью? Что на это может ответить индустрия кибербезопасности? В целом, всю презентацию можно оценивать как этакий юзер-гайд «куда пойти стартапить».

Вот таких и множество других выступлений наслушались многочисленные гости SAS-2019. До нового SAS’а и до новых открытий, мальчики и девочки!

Прочитать комментарии 0
Оставить заметку
Facebook

23 апреля, 2024

Две ночи на «Королеве».

В Дубае для нашей первой международной киберимунной конференции мы выбрали, пожалуй, одно из самых необычных «мест обитания». Настолько необычное, что пребывание в нём заслуживает отдельного поста с подробной экскурсией. Знакомьтесь: корабль Queen Elizabeth 2 (QE2), который после списания был приобретён Эмиратами и переоборудован в настоящую гостиницу.

22 апреля, 2024

Есть первая международная кибериммунная!

Несмотря на все погодные приключения в Дубае, мы всё же успешно провели запланированное мероприятие — первую международную конференцию по кибериммунитету. Что такое кибериммунитет? Это наш подход построения киберсистем, конструктивно безопасных, устойчивых к хакерским атакам. То, что называют «secure by design». Есть много разговоров насчёт того, что это такое, что, мол, программировать надо правильно и секюрно. Что нужны вот такие […]

19 апреля, 2024

Потоп кибериммунитету не помеха.

Всем привет из Дубая! Здесь у нас знаковое мероприятие — первая международная конференция по кибериммунитету. Но этот рассказ мы отложим до следующего раза. А пока что, так сказать, добро пожаловать в Объединённые Арабские Эмираты! Почему «так сказать»? Потому что фотка выше сделана через два дня после катастрофического потопа, заполнившего заголовки и ленты всех СМИ и соцсетей […]

18 апреля, 2024

Еду-пою по пути в Усть-Неру.

Планирование дальнейших рассказов об автопутешествии Якутск-Тикси-Якутск оказалось нетривиальной задачей. Ведь нужно же отметиться по всем сегментам наших передвижений, про дороги и зимники, про обычные и особые моменты пребывания, про где мы жили и как всё это было, а также про всё-всё-остальное, включая, например, цены на топливо, которым мы кормили наши автомашинки. Глядя на предыдущий абзац моих рассказов… Так и тянет […]

17 апреля, 2024

Танки Арктики не боятся.

По следам экспедиции Якутск-Тикси-Якутск мне задают много вопросов о наших средствах передвижения, очевидно отметившихся на фотках прозвучавших рассказов. Как говорится, «хороший вопрос»! Сразу замечу, что машинки и маршрут следования путешествия мы выбирали не самостоятельно. Как, куда и на чём ехать: это нам предложили — без лишней скромности заявляю — лучшие эксперты по арктическому автотранспорту. Это Александр Еликов и Евгений Шаталов. […]

16 апреля, 2024

А вы были в Хандыге?

Продолжаю рассказы об автопутешествии Якутск-Тикси-Якутск. Разогревочные темы зимников, наледей и трассы Р-504 «Колыма» рассказаны и закрыты. Пора уже за руль — и в дорогу! Начало наших последующих приключений — в Якутске, — а потом почти тысяча километров по «Колыме», затем в планах свернуть на север — и по зимникам добраться аж до Тикси. Что есть нетривиальная задачка, даже в условиях полной […]

Еще

Блог о путешествиях