Kaspersky Security Bulletin 2013. Zagro偶enia korporacyjne

  1. Motywy
  2. Atakowane organizacje
  3. Przygotowywanie ataku
  4. Techniki w艂ama艅
  5. Technologie
  6. Co jest kradzione
  7. Powstanie cybernajemnik贸w
  8. Konsekwencje ujawniania informacji

Liczba powa偶nych cyberatak贸w wykrytych na przestrzeni ostatnich dw贸ch lat zwi臋kszy艂a si臋 do tego stopnia, 偶e nowe ataki rzadko stanowi膮 niespodziank臋. Publikowanie przez firmy z bran偶y antywirusowej raport贸w dotycz膮cych wykrycia kolejnego botnetu lub wysoce wyrafinowanej kampanii wykorzystuj膮cej szkodliwe oprogramowanie, kt贸rej celem jest gromadzenie danych, nie nale偶y dzisiaj do rzadko艣ci.

Firmy coraz cz臋艣ciej padaj膮 ofiar膮 cyberatak贸w. Wed艂ug badania przeprowadzonego przez Kaspersky Lab i B2B International, 91% badanych organizacji do艣wiadczy艂o cyberataku przynajmniej jeden raz w ci膮gu 12 miesi臋cy, natomiast 9% pad艂o ofiar膮 atak贸w ukierunkowanych.

corporate_threats_01_auto.png

Powszechne wykorzystywanie komputer贸w i innych urz膮dze艅 cyfrowych we wszystkich dziedzinach biznesu tworzy idealne warunki dla program贸w cyberszpiegowskich i szkodliwego oprogramowania potrafi膮cego kra艣膰 dane korporacyjne. Potencja艂 jest tak wielki, 偶e kradzie偶 informacji firmowych mo偶e by膰 wkr贸tce przeprowadzana wy艂膮cznie przez szkodliwe programy, kt贸re ca艂kowicie zast膮pi膮 pod tym wzgl臋dem z艂odziei b臋d膮cych pracownikami danej firmy. To jednak nie koniec zagro偶e艅, na jakie jest nara偶ony sektor korporacyjny. Zale偶no艣膰 od niezawodnego dzia艂ania komputer贸w oraz 艂膮cz膮cych je kana艂贸w oznacza, 偶e cyberprzest臋pcy maj膮 do dyspozycji ca艂y wachlarz innych sposob贸w atakowania firm przy u偶yciu destrukcyjnych program贸w, od program贸w szyfruj膮cych (encryptor) i s艂u偶膮cych do usuwania plik贸w/folder贸w (shredder), kt贸re rozprzestrzeniaj膮 si臋 jak plaga w 艣rodowisku korporacyjnym, po armi臋 zombie, kt贸ra poch艂ania wszystkie dost臋pne zasoby na serwerach sieciowych oraz w sieciach wymiany danych.    

Motywy

  1. Kradzie偶 informacji. Kradzie偶 cennych danych korporacyjnych, tajemnic handlowych, osobistych danych personelu i klient贸w oraz monitorowanie dzia艂alno艣ci firmy - takie s膮 najcz臋stsze cele przy艣wiecaj膮ce firmom, kt贸re zwracaj膮 si臋 do cyberprzest臋pc贸w, aby przenikn臋li sieci ich konkurencji lub agencji rz膮dowych.        
  2. Usuni臋cie danych lub zablokowanie dzia艂ania infrastruktury. Niekt贸re szkodliwe programy s膮 wykorzystywane do przeprowadzania swoistego sabota偶u - niszczenia krytycznych danych lub zak艂贸cania firmowej infrastruktury technicznej. Przyk艂adem mog膮 by膰 trojany Wiper i Shamoon, kt贸re nieodwracalnie usuwaj膮 dane systemowe ze stacji roboczych i serwer贸w.
  3. Kradzie偶 pieni臋dzy. Firmy mog膮 ponie艣膰 straty finansowe na skutek aktywno艣ci wyspecjalizowanych program贸w troja艅skich, kt贸re potrafi膮 kra艣膰 pieni膮dze za po艣rednictwem system贸w bankowo艣ci online lub przeprowadzaj膮 ataki ukierunkowane na wewn臋trzne zasoby centr贸w przetwarzania danych.
  4. Zszarganie reputacji firmy. Szkodliwi u偶ytkownicy bior膮 na celownik odnosz膮ce sukcesy firmy oraz oficjalne strony internetowe posiadaj膮ce du偶膮 liczb臋 klient贸w i odwiedzaj膮cych, zw艂aszcza z sektora us艂ug internetowych. Zhakowana strona korporacyjna, kt贸ra przekierowuje odwiedzaj膮cych do szkodliwych zasob贸w, szkodliwych baner贸w reklamowych lub baner贸w wy艣wietlaj膮cych manifesty polityczne mo偶e wyrz膮dzi膰 znacz膮ce szkody na reputacji takiej firmy w oczach jej klient贸w. Inne powa偶ne ryzyko dotycz膮ce reputacji wi膮偶e si臋 z kradzie偶膮 certyfikat贸w cyfrowych. Utrata certyfikat贸w lub w艂amanie do infrastruktury certyfikat贸w cyfrowych mo偶e w niekt贸rych przypadkach prowadzi膰 do ca艂kowitego podwa偶enia zaufania do publicznych centr贸w certyfikacji, a w konsekwencji do zamkni臋cia plac贸wki.      
  5. Straty finansowe. Popularn膮 metod膮 wyrz膮dzania bezpo艣rednich szk贸d firmie lub organizacji jest poddawanie jej atakom DDoS. Cyberprzest臋pcy nieustannie wymy艣laj膮 nowe sposoby przeprowadzania takich dzia艂a艅. Atak DDoS na dost臋pny publicznie zas贸b sieciowy firmy mo偶e spowodowa膰 wy艂膮czenie go na kilka dni. W takich przypadkach klienci nie tylko nie maj膮 dost臋pu do us艂ug firmy - co prowadzi do bezpo艣rednich strat finansowych dla firmy - ale zaczynaj膮 rozgl膮da膰 si臋 za bardziej wiarygodnym dostawc膮, co powoduje uszczuplenie bazy klient贸w i d艂ugotrwa艂e straty finansowe.   

W 2013 roku wzros艂a popularno艣膰 atak贸w DNS Amplification, w kt贸rych szkodliwi u偶ytkownicy, przy u偶yciu botnet贸w, wysy艂aj膮 powtarzaj膮ce si臋 zapytania do serwer贸w DNS, kt贸re z kolei kieruj膮 odpowiedzi do atakowanego systemu. Tak膮 taktyk臋 zastosowano w jednym z najpowa偶niejszych atak贸w  DDoS tego roku - ataku na stron臋  Spamhaus.

Atakowane organizacje

Je偶eli chodzi o masow膮 dystrybucj臋 szkodliwych program贸w, jej celem mo偶e sta膰 si臋 ka偶da firma. Znane trojany bankowe, takie jak ZeuS i SpyEye, mog膮 przenikn膮膰 do komputer贸w nawet niewielkich organizacji komercyjnych, powoduj膮c utrat臋 pieni臋dzy i w艂asno艣ci intelektualnej.

Z drugiej strony, znane s膮 liczne przypadki dok艂adnie zaplanowanej aktywno艣ci, kt贸rej celem jest zainfekowanie infrastruktury sieciowej okre艣lonej organizacji lub osoby. Wyniki naszego badania pokazuj膮, 偶e w 2013 roku w艣r贸d ofiar takich ukierunkowanych atak贸w znalaz艂y si臋 firmy z bran偶y naftowej i telekomunikacyjnej, centra naukowo-badawcze oraz firmy dzia艂aj膮ce w takich sektorach, jak przestrze艅 kosmiczna, przemys艂 stoczniowy oraz inne bran偶e hi-tech.    

Przygotowanie ataku

Cyberprzest臋pcy dysponuj膮 du偶ym arsena艂em wyrafinowanych narz臋dzi, przy pomocy kt贸rych mog膮 przenikn膮膰 sieci korporacyjne. Planowanie ataku ukierunkowanego na firm臋 mo偶e trwa膰 kilka miesi臋cy. Po tym czasie zostan膮 wyczerpane wszystkie dost臋pne taktyki, pocz膮wszy od socjotechniki, a sko艅czywszy na exploitach dla nieznanych luk w oprogramowaniu.

Osoby atakuj膮ce skrupulatnie sprawdzaj膮 profil atakowanej firmy, jej publiczne zasoby, strony internetowe, profile pracownik贸w na portalach spo艂eczno艣ciowych, og艂oszenia i wyniki r贸偶nych prezentacji, wystaw itd. w poszukiwaniu wszelkich u偶ytecznych informacji. Podczas planowania strategii ataku, a nast臋pnie kradzie偶y danych, cyberprzest臋pcy mog膮 bada膰 infrastruktur臋 sieciow膮 firmy, zasoby sieciowe oraz centra komunikacji.   

Planuj膮c atak, cyberprzest臋pcy mog膮 stworzy膰 fa艂szyw膮 stron臋 zawieraj膮c膮 szkodliwe oprogramowanie, kt贸ra stanowi dok艂adn膮 kopi臋 witryny atakowanej firmy, i zarejestrowa膰 j膮 z podobn膮 nazw膮 domeny. Strona ta zostanie nast臋pnie wykorzystana do zmylenia u偶ytkownik贸w i zainfekowania ich komputer贸w. 

Techniki w艂ama艅

Jedn膮 z najpopularniejszych technik "wprowadzenia" szkodliwego oprogramowania do sieci korporacyjnych w 2013 r. by艂o wysy艂anie pracownikom firm e-maili zawieraj膮cych szkodliwe za艂膮czniki. Zawarte w tych e-mailach dokumenty cz臋sto posiada艂y popularne formaty: Word, Excel lub PDF. W przypadku otwarcia za艂膮czonego pliku, zosta艂a wykorzystana luka w oprogramowaniu - je偶eli istnia艂a - i system zosta艂 zainfekowany szkodliwym programem.   

S艂abe ogniwo

Odbiorcami szkodliwych e-maili cz臋sto s膮 pracownicy, kt贸rzy musz膮 regularnie komunikowa膰 si臋 z osobami spoza swojej struktury korporacyjnej. Nierzadko osoby te pracuj膮 w dziale PR. 

R贸wnie偶 dzia艂y zajmuj膮ce si臋 zatrudnianiem nowych pracownik贸w otrzymuj膮 mn贸stwo e-maili od u偶ytkownik贸w zewn臋trznych. Cyberprzest臋pca mo偶e udawa膰 potencjalnego kandydata do pracy i wys艂a膰 CV w zainfekowanym pliku PDF. Naturalnie, plik zostanie otwarty przez pracownika dzia艂u HR i je艣li na jego komputerze znajduje si臋 luka w zabezpieczeniach, maszyna zostanie zainfekowana.    

Dzia艂y finansowe mog膮 r贸wnie偶 dostawa膰 szkodliwe wiadomo艣ci zamaskowane jako pro艣by lub 偶膮dania z urz臋du skarbowego, natomiast dzia艂y prawne - wiadomo艣ci, kt贸re wydaj膮 si臋 pochodzi膰 od organ贸w s膮dowych, policji lub innych agencji rz膮dowych.

Socjotechnika

Tre艣膰 wiadomo艣ci ma na celu wzbudzenie ciekawo艣ci pracownika, do kt贸rego jest adresowana, i dotyczy jego obowi膮zk贸w zawodowych lub og贸lnie bran偶y, w kt贸rej dzia艂a firma.  Na przyk艂ad, w ramach jednego ataku ukierunkowanego grupa hakerska Winnti wys艂a艂a wiadomo艣ci prywatnym producentom gier wideo, proponuj膮c potencjaln膮 wsp贸艂prac臋:

corporate_threats_02_auto.png

Oprogramowanie spyware o nazwie Miniduke by艂o rozprzestrzeniane w li艣cie dotycz膮cym plan贸w Ukrainy w zakresie polityki zagranicznej oraz stosunk贸w Ukraina - NATO:

corporate_threats_03.png

Luki w zabezpieczeniach i exploity

Cyberprzest臋pcy aktywnie wykorzystuj膮 exploity dla znanych luk w zabezpieczeniach oprogramowania.

S艂awny szkodnik o nazwie Red October wykorzystywa艂 co najmniej trzy r贸偶ne exploity dla znanych luk w zabezpieczeniach pakietu Microsoft Office: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) oraz CVE-2012-0158 (MS Word). Nettraveler wykorzystywa艂 exploita dla luki CVE-2013-2465,  kt贸ra znajduje si臋 w wersjach 5, 6 i 7; dziura ta zosta艂a za艂atana przez Oracle dopiero w czerwcu 2013 r.  

Jednak najgro藕niejsze s膮 tzw. luki zero-day, czyli dziury, kt贸rych producent oprogramowania nie jest jeszcze 艣wiadomy. Cyberprzest臋pcy aktywnie przeszukuj膮 popularne programy w celu znalezienia nieznanych luk i tworz膮 dla nich exploity. Je偶eli oprogramowanie zawiera tak膮 luk臋, zostanie ona najprawdopodobniej wykorzystana.   

Technologie

Cyberprzest臋pcy nieustannie udoskonalaj膮 szkodliwe oprogramowanie, wykorzystuj膮c niekonwencjonalne podej艣cie i rozwi膮zania w celu kradzie偶y informacji.

Red October, po zagnie偶d偶eniu si臋 w systemie, dzia艂a艂 jako wielofunkcyjna platforma modu艂owa. W zale偶no艣ci od za艂o偶onego celu dodawa艂 do zainfekowanego systemu r贸偶ne modu艂y. Ka偶dy z tych modu艂贸w wykonywa艂 okre艣lony zestaw dzia艂a艅: od gromadzenia informacji na temat zainfekowanego komputera oraz jego infrastruktury sieciowej po kradzie偶 r贸偶nych hase艂, rejestrowanie wciskanych klawiszy, samodzielne rozprzestrzenianie si臋, wysy艂anie skradzionych informacji itp.  

Warto wspomnie膰, 偶e cyberprzest臋pcy wykorzystali r贸wnie偶 rozw贸j technologii mobilnych i rozpowszechnienie urz膮dze艅 przeno艣nych w 艣rodowiskach korporacyjnych. Wsp贸艂czesny smartfon lub tablet to w rzeczywisto艣ci pe艂noprawny komputer przechowuj膮cy ogromn膮 ilo艣膰 danych, przez co stanowi potencjalny cel cyberprzest臋pc贸w. Tw贸rcy szkodnika Red October opracowali wyspecjalizowane modu艂y okre艣laj膮ce, kiedy smartfony dzia艂aj膮ce pod kontrol膮 systemu Apple iOS, Windows Mobile oraz telefony kom贸rkowe produkowane przez firm臋 Nokia 艂膮cz膮 si臋 z zainfekowan膮 stacj膮 robocz膮, kopiuj膮 z niej dane i wysy艂aj膮 je na serwer kontroli (C&C).   

Tw贸rcy zagro偶enia Kimsuky zintegrowali ze swoim szkodnikiem ca艂y modu艂 potrafi膮cy zdalnie zarz膮dza膰 zainfekowanymi systemami. Co ciekawe, uczynili to z pomoc膮 TeamViewera, legalnego narz臋dzia do zdalnego zarz膮dzania, poprzez wprowadzenie niewielkich modyfikacji do jego kodu. Dzi臋ki temu operatorzy mogli r臋cznie po艂膮czy膰 si臋 z zainfekowanymi komputerami w celu zebrania i skopiowania interesuj膮cych ich informacji.

Grupa hakerska Winnti ukrad艂a certyfikaty cyfrowe z korporacyjnych sieci producent贸w gier online i wykorzysta艂a je do podpisania swojego szkodliwego sterownika, infekuj膮c nast臋pnie inne firmy. Certyfikat cyfrowy zosta艂 skradziony mi臋dzy innymi z po艂udniowokorea艅skiej firmy  KOG. Poinformowali艣my firm臋 o kradzie偶y i fa艂szywy certyfikat zosta艂 anulowany.

Poni偶ej anulowany certyfikat:

corporate_threats_04_auto.png

Ponadto, 64-bitowy kod szkodnika zawiera艂 modu艂 w pe艂ni funkcjonalnego trojana. Jest to pierwszy znany nam przypadek wykorzystania 64-bitowego szkodliwego programu z wa偶nym podpisem cyfrowym nale偶膮cym do legalnej firmy.

Program spyware o nazwie Miniduke wykorzystywa艂 Twittera do otrzymywania informacji z serwer贸w kontroli (C&C). Operatorzy Miniduke'a wykorzystywali specjalne konta w celu publikowania specjalnie stworzonych tweet贸w, kt贸re obejmowa艂y zaszyfrowany adres URL serwera kontroli. 

corporate_threats_05.png

Trojan czyta艂 Twittera na zainfekowanym komputerze i wykorzystywa艂 adres do 艂膮czenia si臋 z centrum kontroli.

Co jest przedmiotem kradzie偶y

Cyberprzest臋pc贸w interesuje kradzie偶 wszelkiego rodzaju informacji. Mo偶e to by膰 prze艂omowa technologia rozwijana przez firmy i instytuty badawcze, kody 藕r贸d艂owe oprogramowania, dokumenty finansowe i prawne, informacje osobiste dotycz膮ce pracownik贸w i klient贸w oraz wszelkie inne informacje, kt贸re mog膮 stanowi膰 tajemnic臋 handlow膮. Tego rodzaju informacje cz臋sto s膮 pisane czystym tekstem i przechowywane w sieciach korporacyjnych w formie dokument贸w elektronicznych, dokument贸w roboczych, raport贸w, rysunk贸w, prezentacji, obraz贸w itd.    

Jak pisali艣my wcze艣niej, cyberprzest臋pcy stosuj膮 r贸偶ne podej艣cia do gromadzenia danych. Niekt贸re szkodliwe programy zbieraj膮 praktycznie wszystkie rodzaje dokument贸w elektronicznych. Na przyk艂ad, Red October by艂 zainteresowany dokumentami w formatach txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau itp. i wysy艂a艂 je wszystkie do serwer贸w kontroli.  

Inne podej艣cie, kt贸re zidentyfikowali艣my na przyk艂adzie Kimsuky i Icefog, polega na r臋cznej analizie danych przechowywanych w sieciach korporacyjnych przy u偶yciu technologii zdalnego dost臋pu, kt贸re s膮 zintegrowane w szkodliwym oprogramowaniu znajduj膮cym si臋 na zainfekowanych stacjach roboczych, a nast臋pnie kopiowaniu dokument贸w poszukiwanych przez lub stanowi膮cych warto艣膰 dla cyberprzest臋pc贸w. Przeprowadzaj膮c takie ataki, cyberprzest臋pcy uwzgl臋dniaj膮 wszystkie dane dotycz膮ce atakowanej firmy i dok艂adnie wiedz膮, jakie formaty danych s膮 w niej wykorzystywane i jakie rodzaje informacji s膮 tam przechowywane. A zatem, podczas atak贸w Kimsuky i Icefog firmy, kt贸re stanowi艂y cel tych szkodnik贸w, utraci艂y dokumenty specyficzne dla ich dzia艂alno艣ci, przechowywane w formacie HWP, kt贸ry jest powszechnie wykorzystywany w Korei Po艂udniowej.  

Powstanie cybernajemnik贸w

Podczas analizy najnowszych atak贸w ukierunkowanych doszli艣my do wniosku, 偶e wy艂oni艂a si臋 nowa kategoria os贸b atakuj膮cych. Okre艣lamy ich mianem cybernajemnik贸w. S膮 to zorganizowane grupy wysoce wykwalifikowanych haker贸w, kt贸rzy mog膮 zosta膰 wynaj臋ci przez rz膮dy lub prywatne firmy w celu zorganizowania i przeprowadzenia z艂o偶onych, skutecznych atak贸w ukierunkowanych, kt贸rych celem jest kradzie偶 informacji oraz niszczenie danych lub infrastruktury. 

Cybernajemnicy otrzymuj膮 kontrakt, w kt贸rym wyszczeg贸lnione s膮 cele i znajduje si臋 opis zadania do wykonania, po czym zaczynaj膮 staranne przygotowania do ataku i przeprowadzaj膮 go. O ile wcze艣niejsze ataki by艂y przeprowadzane w celu kradzie偶y wszystkich rodzaj贸w informacji, obecnie cybernajemnicy  d膮偶膮 do zdobycia bardzo konkretnych dokument贸w lub kontakt贸w os贸b, kt贸re mog膮 znajdowa膰 si臋 w posiadaniu poszukiwanych informacji.   

W 2013 roku badali艣my aktywno艣膰 grupy cybernajemnik贸w Icefog, kt贸ra przeprowadza艂a ataki ukierunkowane pod t膮 sam膮 nazw膮. Podczas badania uda艂o nam si臋 zlokalizowa膰 dziennik aktywno艣ci operatora Icefoga, w kt贸rym wyszczeg贸lnione by艂y wszystkie aktywno艣ci zwi膮zane z atakiem. Z dziennika tego wynika艂o, 偶e cyberprzest臋pcy nie tylko dobrze znaj膮 j臋zyk chi艅ski, korea艅ski i japo艅ski, ale r贸wnie偶 wiedz膮 dok艂adnie, gdzie szuka膰 informacji, kt贸re ich interesuj膮.

Konsekwencje ujawniania informacji

W 2013 roku zosta艂y ujawnione informacje o atakach przeprowadzonych przy u偶yciu oprogramowania spyware zwi膮zanych, bezpo艣rednio lub po艣rednio, z dzia艂alno艣ci膮 r贸偶nych rz膮d贸w. Rewelacje te mog艂yby potencjalnie spowodowa膰 utrat臋 zaufania do globalnych serwis贸w oraz korporacji i wi臋kszego zainteresowania stworzeniem krajowych odpowiednik贸w globalnych serwis贸w. Mog艂oby to prowadzi膰 do swoistej deglobalizacji, powoduj膮c rosn膮ce zapotrzebowanie na technologie informacyjne w og贸le, a jednocze艣nie fragmentacj臋 u偶ytkownik贸w globalnej sieci i swego rodzaju segmentacj臋 serwis贸w online. W wielu pa艅stwach istniej膮 lokalne wersje globalnych serwis贸w, 艂膮cznie z krajowymi wyszukiwarkami, serwisami pocztowymi, krajowymi komunikatorami, a nawet lokalnymi portalami spo艂eczno艣ciowymi.     

T臋 rosn膮c膮 liczb臋 nowych krajowych produkt贸w w postaci oprogramowania i us艂ug oferuj膮 krajowi producenci. Firmy te maj膮 zwykle mniejsze rozmiary i bud偶ety ni偶 liderzy na globalnym rynku. W efekcie, ich produkty mog膮 nie by膰 tak wysokiej jako艣ci jak te oferowane przez wi臋ksze mi臋dzynarodowe korporacje. Nasze do艣wiadczenie w zakresie badania cyberatak贸w sugeruje, 偶e im mniejszy i mniej do艣wiadczony tw贸rca oprogramowania, tym wi臋cej luk w zabezpieczeniach zostanie wykrytych w kodzie. W rezultacie, ataki ukierunkowane staj膮 si臋 艂atwiejsze i bardziej efektywne.   

Co wi臋cej, poniewa偶 pa艅stwa przejmuj膮 inicjatyw臋 w kontrolowaniu zasob贸w informacyjnych i sprz臋towych, niekt贸re z nich mog膮 prawnie obligowa膰 lokalne firmy do wykorzystywania krajowych produkt贸w w postaci oprogramowania lub serwis贸w online, co w konsekwencji mo偶e wp艂yn膮膰 r贸wnie偶 na bezpiecze艅stwo sektora korporacyjnego.

殴ród艂o:
Kaspersky Lab