„Neviditelné“ útoky: kyberzločinci napadli firmy ve 40 státech za využití skrytého malwaru

Banky, telekomunikační společnosti a vládní organizace v USA, Jižní Americe, Evropě a Africe jsou mezi nejvyhledávanějšími cíli zločinných skupin GSMAN a Carbanak, které patří mezi hlavní podezřelé. (TZ)

Odborníci Kaspersky Lab odhalili sérii „neviditelných“ cílených útoků, které využívají pouze legální software, jako jsou široce dostupné penetrační testy a správcovské nástroje nebo PowerShell aplikační rámce pro automatizaci úloh v systému Windows. Nezanechávají přitom žádné malwarové soubory na pevném disku, nýbrž je ukrývají v operační paměti. Tento kombinovaný přístup zabraňuje odhalení malwaru běžnými technologiemi, přičemž nezanechává téměř žádné stopy ani malwarové vzorce pro případné vyšetřování. Útočníci se v systému zdržují jen na nezbytně dlouhou dobu, během níž shromažďují informace ještě před tím, než se jejich stopy v systému vymažou prvním restartováním.

Na konci roku 2016 kontaktovalo společnost Kaspersky Lab několik bank ze zemí spadajících do Společenství nezávislých států, které našly v paměti svých serverů software penetračních testů (Meterpreter). Ten se v současnosti často využívá k zákeřným účelům. Experti Kaspersky Lab přišli na to, že kód Meterpreteru byl zkombinován s řadou skript legálního PowerShell a s dalšími utilitami. Takto zkombinované nástroje byly přetvořeny ve škodlivý kód, který se dovedl ukrýt v operační paměti a nenápadně sbírat hesla systémových administrátorů. Díky tomu mohli následně útočníci vzdáleně ovládat systém oběti, přičemž přístup k finančním transakcím byl jejich hlavním cílem.

Od té doby se odborníkům Kaspersky Lab podařilo odkrýt, jak obrovského rozsahu se dané útoky týkají. Napadeno bylo více než 140 firemních sítí z různých oborů. Nejvíce obětí bylo ve Spojených státech, Francii, Ekvádoru, Keni, Velké Británii a Rusku. Celkově byla infekce zaznamenána ve 40 zemích po celém světě.

Země, v nichž došlo k nejvíce útokům „neviditelným“ malwarem.

Původce útoků není znám. Využití škodlivého open source kódu, běžných Windows funkcí a neznámých domén totiž činí odhalení pachatelů téměř nemožným. Navíc není jisté, zda má útoky na svědomí jedna či více skupin sdílejících stejné nástroje. Mezi známé skupiny, které používají velmi podobný přístup, patří GCMAN a Carbanak.

Tyto nástroje také znesnadňují odhalení větších detailů o útoku. Za normálních okolností při prošetřování podobných incidentů vyšetřovatel sleduje stopy a vzorce, které útočníci v síti zanechali. Zatímco data na pevném disku zůstávají přístupná ještě třeba rok po události, stopy ukryté v operační paměti se vymažou při prvním restartování počítače. V tomto případě se však naštěstí experti dostali k datům včas.

Útočníci stále vykazují aktivitu, proto je důležité mít na paměti, že takovýto útok lze detekovat pouze v paměti RAM, v síti a v registru. Za těchto podmínek se tedy využití Yara pravidel, založených na skenování nebezpečných souborů, mine účinkem.

Druhou část útoku, zahrnující unikátní taktiku útočníků jak vybrat peníze z bankomatů, budou prezentovat Sergey Golovanov a Igor Soumenkov na Security Analyst Summitu, který se uskuteční od 2. do 6. dubna 2017.

Produkty společnosti Kaspersky Lab úspěšně detekují útoky zahrnující výše popsané taktiky, techniky a postupy. Další informace o těchto útocích a Yara pravidlech, využívaných při forenzní analýze, najdete na blogu Securelist.com. Technické detaily včetně Indicators of Compromise byly rovněž poskytnuty zákazníkům Kaspersky Intelligence Services.

Potírání útoků kyberzločineckých skupin jako jsou GCMAN nebo Carbanak vyžaduje od bezpečnostních specialistů napadených organizací specifické dovednosti. V průběhu Security Analyst Summitu 2017 povedou špičkoví specialisté z Kaspersky Lab školení navržené tak, aby pomohlo firemním IT profesionálům detekovat sofistikované cílené útoky. Na školení „Hunting targeted attacks with Yara rules“ se lze přihlásit zde. Přihlášky na školení o malwarovém reversním inženýrství lze podávat zde.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a funguje již od roku 1997. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.