Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.
1. TajMahalПрошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.
Платформа состоит из двух частей:
Tokyo и
Yokohama. Первая часть — это основной
бэкдор, выполняющий ещё и функцию доставки второго вредоноса. Вторая часть обладает весьма широким функционалом: кража cookies, перехват документов из очереди на печать, запись VoIP-звонков (в том числе через вотсап и фейстайм), создание снимков экрана и многое другое. Операция TajMahal работает уже не менее 5 лет. Подобная APT-махина вряд ли построена лишь для атаки на одну цель. Остальные, скорее всего, нам ещё предстоит обнаружить.
Подробнее про этого «зверя»
здесь.
2. Gaza CybergangО группировке Gaza Cybergang, промышляющей кибершпионажам, мы
писали ещё в сентябре 2015 года, а действует она по нашим данным аж с 2012. В основном орудует на территории стран Ближнего Востока и Средней Азии. Хотя наибольшее количество атак нами было зафиксировано в Палестине, + немало попыток заражения также зафиксированы в Иордании, Израиле и Ливане. Больше всего Gaza Cybergang интересуют политики, дипломаты, журналисты и политические активисты.
Группировка «сложносоставная», состоящая из как минимум трёх подгрупп. У всех групп разный стиль работы и разные техники, поэтому мы не сразу смогли понять, что они действуют заодно. О двух группах с более серьезным техническим уклоном мы уже писали (
тут и
тут). А вот третья группа MoleRATs была впервые упомянута на SAS-2019. Отметилась она операцией SneakyPastes (названа так за активное использование pastebin.com).
Многоэтапные атаки начинаются с хитрого фишинга. Письма на актуальную политическую тематику, которые якобы содержат какие-то протоколы переговоров или послания легитимных и уважаемых организаций. В общем,
не открыть такое письмо неподготовленному чиновнику сложно. А на самом деле ссылки ведут на вредонос, а безопасные, на первый взгляд, вложенные файлы сами содержат зловреды, запускающие цепочки заражения. Проникнув в систему, злоумышленники маскируют свое присутствие от защитных решений и постепенно выстраивают следующие этапы атаки.
В конце концов на устройство устанавливается
RAT-зловред с весьма широкими возможностями: он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать данные. Зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет себе на командный сервер. Вот он современный шпионаж!
Ещё больше букв про эту историю
здесь.
3. Финансовый фрод и цифровые двойникиЕсли вы успели подумать, что все наши расследования касаются только атак, которые тянут на сюжет шпионских детективов, то вы ошибаетесь. Третье расследование, о котором я хочу рассказать, касается огромного количества людей. Просто киберпреступления, о которых пойдет речь, стали такой обыденностью, что о них не трубят СМИ. А надо бы! Речь идет о финансовом мошеничестве. По оценкам только
в 2018 году убытки от махинаций с кредитными картами составили около 24 млрд долларов. Вдумайтесь, 24 лярда!! Для сравнения
годовой бюджет NASA – 21,5 млрд долларов. В
Токио вот Олимпийские игры за 25 млрд проведут!
Для махинаций с карточками придумали специальный термин –
кардинг. Так вот: кардинг живее всех живых, и убытки от него растут с каждым годом. И хотя банки и платёжные системы уделяют особое внимание безопасности, мошенники не менее активно работают над новыми инструментами для кражи денег с наших кредиток.
На SAS мы рассказали про ещё одну отрасль финансового фрода —
Сергей Ложкин обнаружил в даркнете целый рынок под названием Genesis, где продаются «цифровые маски». Это по сути пакет данных о поведении пользователя в сети и его цифровой отпечаток — история посещения сайтов, информация о его операционной системе, браузере и так далее. Зачем всё это нужно? Именно эти данные используют различные онлайн-системы защиты от мошенничества для проверки пользователей. Если цифровая маска совпадает с ранее использованной, то защитное решение узнает человека и одобрит транзакцию. Например, на покупку в интернет-магазине или перевод денег в онлайн-банке. Цена на такую маску скачет от 5 до 200 долларов в зависимости от объёма данных.
Как же эти отпечатки собираются? С помощью самых разных зловредов. Например, малвара может обосноваться на вашем компьютере и тихо-мирно, по чуть-чуть собирать о вас данные, до которых сможет добраться. Вы скорее всего ничего не заметите.
Мошенники придумали ещё один способ обойти защиту – выглядеть для системы незнакомым, то есть абсолютно
новым пользователем. Это можно сделать с помощью специального сервиса под названием
Sphere. Он обнуляет цифровую личность и все её параметры. Так преступник чист для системы защиты.
Как защититься? Банки должны быть в курсе всех самых современных мошеннических схем и использовать
двухфакторную аутентификацию. Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным (паролям, номерам карт, использованию компьютеров в публичных местах, а также подключениям к публичному вайфаю) и, конечно, использовать
защитные решения, которые смогут распознать все зловреды, нацелившиеся на вашу цифровую личность.
На самом деле на SAS-2019 было ~70 докладов, которые тщательно отбирались, чтобы было очень интересно, но про них всех в одном блоге не расскажешь. Скоро мы опубликуем запись концеренции на нашем
Youtube-канале, следите за новостями.
Но в заключение всё же добавлю про два совершенно сногсшибательные выступления в самом конце конференции.
4. The secret power of YARA Под занавес конференции в режиме
«печа-куча» Виталий Камлюк показал на что способна
YARA (это такой текстовый поисковик разной аттрибутики в исполняемых файлах, очень помогает при анализе киберзловредов).
В своей презентации
«The secret power of Yara» он вытворял чудеса, магию, чародейство, джедайские кульбиты и прочее волшебство с этой популярной тулзой, а в самом конце при помощи неведомой химии и хитрости рук через Yara вывел на большой экран на офигевание публике реал-тайм-видео в
ASCII-псевдографике! А потом, словно издеваясь над уже полностью ошалевшей от YARA-колдовства публикой, в том же ASCII-режиме начал резаться в первый DOOM. Публика медленно стекла на пол…
5. Работы — непочатый крайВ заключительном выступлении директор
нашего отряда элитных кибер-нинздя GReAT Костин Раю серьёзно загрузил публику теоретически возможными способами проникновения киберзловредов глубоко внутрь системы, на уровень железа, а также потенциальными методами их сокрытия на самом низком «железном» уровне. Был задан серьёзный вопрос: что делать, если эти гипотезы вдруг станут реальностью? Что на это может ответить индустрия кибербезопасности? В целом, всю презентацию можно оценивать как этакий юзер-гайд «куда пойти стартапить».
Вот таких и множество других выступлений наслушались многочисленные гости SAS-2019. До нового SAS’а и до новых открытий, мальчики и девочки!