Новости из Блогов Анализ тактик хакерских группировок

Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.

Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:

1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;
2. атаки на цепочки поставок;
3. атаки типа Watering Hole («водопой»);
4. атаки через уязвимости сетевого оборудования и операционных систем;
5. атаки через перехват DNS.

По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.

Фишинг
В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:

• жертву заманивают на безобидный сайт, который контролируется злоумышленником;
• на сайте имеется скрипт, который отслеживает поведение жертвы: как только она переключается на другую вкладку или длительное время не выполняет действий, содержимое сайта меняется на страницу авторизации в почте или социальной сети, а favicon сайта на favicon соответствующего сервиса — Gmail, Facebook и т.д.
• вернувшись на вкладку, жертва обнаруживает, что её «разлогинило» и без сомнений вводит свои учётные данные;
• скрипт передаёт логин и пароль злоумышленнику, а затем переадресовывает жертву на соответствующий сервис, который и не думал никого разлогинивать.

Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.

Атаки на контрагентов
Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

Атака типа «водопой»
«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.

Уязвимости ОС и сетевого оборудования
Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

Атаки через DNS
Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Выводы
Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.
Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.

https://habr.com