A Kaspersky Lab szakértői nemrég olyan „láthatatlan”és célzott támadás-sorozatot észleltek, amelyhez széles körben elterjedt legális szoftvereket használtak, mint például a Windows PowerShell nevű rendszerkezelő, feladatautomatizáló platformját vagy adminisztrációs eszközöket.
A támadás során a kártékony programokat nem a merevlemezre telepítették, hanem elrejtették az említett szoftverek memóriájába. Ez a metodika lehetővé teszi a rosszindulatú programok elfedését a nyomozók elől, ugyanis az ilyen behatolások során a bűnözők viszonylag kevés ideig „tartózkodnak” a megtámadott rendszeren, csupán információgyűjtésre használják.
2016 végén a Kaspersky Lab szakemberei felvették a kapcsolatot a FÁK tagállamok (a Szovjetunió 15 volt tagországának szövetsége) olyan bankjaival, amelyek behatolás-tesztelő programokat észleltek a szerverhálózatok memóriájában, mint például a Meterpreter programot. Ezt a programot manapság főként rosszindulatú célokra használják. A Kaspersky Lab fedezte fel, hogy a Meterpreter programkódját kombinálták a PowerShell legális szoftver parancsállományával és más egyéb szkriptekkel. Ez a kombináció alkalmas arra, hogy elrejtőzzön a memóriában és észrevétlenül gyűjtse az információkat, mint például rendszergazda jelszavakat és ilyen módon akár távolról is átvegye az irányítást az áldozat rendszerén. Úgy tűnik, a végső célja a kiberbűnözöknek a pénzügyi folyamatokhoz való teljes hozzáférés.
Kiderült, hogy a fent említett esetek nem egyediek, valójában tömeges támadásról beszélhetünk: több mint 140 vállalati hálózat elleni támadást regisztráltak számos üzleti szektorban. A legtöbb áldozat az Egyesült Államokban, Franciaországban, Ecuadorban, Kenyában, az Egyesült Királyságban és Oroszországban található. Összesen 40 országban észleltek fertőzött hálózatokat.
A megtámadott szervezetek földrajzi eloszlása
Egyelőre ismeretlen a támadások elkövetője. A nyílt forráskód, a Windows segédprogramok és az ismeretlen domain nevek használata szinte lehetetlenné teszi, hogy meghatározzák a támadások elkövetőit. Jelenleg azt sem lehet megállapítani, hogy egy vagy akár több csoport használja ugyanazokat az eszközöket a támadásokra. A GCMAN és a Carbanak bűnöző csoport használ ehhez hasonló módszert.
A fent említett eszközök használata azt is megnehezíti, hogy a támadás részleteit megismerhessük. Egy kiber incidens során a szokásos felderítő eljárás folyamán a nyomozó követi a nyomokat és a mintákat, amit a támadók a fertőzött hálózatban hagytak. Míg a merevlemezen tárolt „hátrahagyott” adatokat akár a támadás után egy évvel is észlelni lehet, addig a memóriában tárolt kártékony programsorok a számítógép első újraindítása után törlődnek. Szerencsére ebben az esetben a szakértők időben hozzáfértek az adatokhoz.
"A támadók alapvető szándéka, hogy elrejtsék a tevékenységüket valamint nehezítsék a felderítésüket, ezért a memória-alapú támadások egyre elterjedtebbek, ami tovább nehezíti a kártékony programok és azok funkcióinak elemzését. A fenti esetekben a támadók minden elképzelhető technikát felhasználtak és bemutatták, hogy már nem szükséges a malware-ek használata egy eredményes támadáshoz: a legális szoftverek és/vagy nyílt forráskódok alkalmazása tökéletesen ellehetetleníti a detektálást." – mondta Sergey Golovanov, Kaspersky Lab fő biztonsági kutatója.
A támadók még mindig aktívak, ezért fontos megjegyezni, hogy egy ilyen támadás észlelése csak a memóriában és a hálózatban lehetséges valamint ilyen esetekben a Yara szabályok használata a nem használt kártevő fájlok átvizsgálásán alapul.
A kiber roham második részének részleteinek ismertetésével Sergey Golovanov és Igor Soumenkov az idei Biztonsági Elemzés Csúcstalálkozón (április 2-6. között) prezentálják, hogy a támadók miként próbálnak az ATM-eken keresztül egyedi módszerekkel pénzhez jutni.
A Kaspersky Lab termékei sikeresen észlelték a fenti módszereket, technikákat és eljárásokat. Bővebb információt az esetekről és a Yara-szabályok kriminalisztikai elemzéséről a Securelist.com blogon olvashat. A technikai részleteket, beleértve a „behatolásra utaló jeleket” (Indicators of Compromise) az ügyfelek számára a „Kaspersky Intelligence Services” biztosítja.
Az olyan csoportos kombinált támadások, mint amilyeneket a GCMAN vagy a Carbanak csoport elkövet, speciális informatikai ismereteket igényel. Az idei Biztonsági Elemzés Csúcstalálkozó során a Kaspersky Lab szakemberei képzést tartanak specialistáknak, hogy segítsenek a kifinomult célzott támadások észlelésében. A „Célzott Támadások vadászata Yara-szabályokkal” kurzusra az alábbi linken lehet jelentkezni. A „Kártékony-program semlegesítő mérnöki kurzus”-ra az alábbi linken lehet jelentkezni.