Не станьте звеном в атаке через цепочку поставок

Даже если ваш бизнес не представляет интереса для целевых атак, вас все равно могут использовать для доставки вредоносного ПО.

Мы часто слышим: «Мы маленькая компания, мы не интересны организаторам APT!» На самом деле это заблуждение. Вот, например, история из жизни о том, как злоумышленники использовали небольшую организацию в цепочке атаки на крупные компании.

На конференции по кибербезопасности Kaspersky Security Analyst Summit, которая прошла в этом месяце, наши коллеги из Avast рассказали о случае с Piriform — небольшой британской компанией, которую Avast купила в прошлом году. Самый известный ее продукт — приложение CCleaner для чистки реестра Windows. Выпустили его давно, одним из первых среди аналогов, и число скачавших его пользователей уже перевалило за 2 млрд. Видимо, поэтому злоумышленники и выбрали именно эту программу для распространения шпионского ПО.

Атака с использованием CCleaner

Сначала преступники скомпрометировали среду компиляции Piriform. Им удалось инфицировать сервер сборки приложений, после чего программы с чистым исходным кодом при компиляции получали в довесок вредоносное ПО. Его потом и использовали для атаки. Причем за счет изменений в библиотеке компилятора снабженное вредоносом ПО получало подлинную цифровую подпись Piriform. В результате компания распространяла зараженные CCleaner 5.33.6162 и CCleaner Cloud 1.7.0.3191.

Схема самой атаки была довольно сложной и состояла как минимум из трех этапов. Вредоносное ПО, внедренное в популярную программу со 100 млн активных пользователей, распространялось целый месяц. За это время зараженный CCleaner скачали 2,27 млн человек, и как минимум 1,65 млн экземпляров вредоносного ПО попытались связаться с серверами злоумышленников. Позднее выяснилось, что на командном сервере работал простой скрипт, который выбирал жертв для второго этапа атаки: ими становились те, кто, судя по доменным именам, мог оказаться сотрудником крупных ИТ-компаний и поставщиков. На этом этапе отобрали всего 40 компьютеров, на которые затем отправили дополнительное шпионское ПО.

На следующем этапе преступники еще больше сузили список жертв: собрав и проанализировав информацию с этих 40 компьютеров (вероятно, уже вручную), они выбрали четыре наиболее интересные цели.

На эти устройства установили специально доработанную версию ShadowPad — известного вредоносного ПО, которым уже пользуются китайские киберпреступники. Это и было конечной целью атаки — доставить бэкдор на компьютеры определенных сотрудников крупных компаний.

Как защититься?

Мораль истории — в начале этого поста: даже если ваша компания не представляет интереса для целевых атак, вас все равно могут использовать как звено в цепи доставки вредоносного ПО. Особенно если ваше приложение скачали миллиард раз. Чтобы минимизировать возможный ущерб, необходима комплексная стратегия защиты: начиная с предотвращения и обнаружения атак и заканчивая реагированием, устранением уязвимостей и прогнозированием возможных рисков. Справиться со всем этим самостоятельно порой непросто, так что не стоит стесняться обращаться за помощью к внешним экспертам.

Чтобы обезопасить свою компанию, нужно активно искать возможные угрозы в своей инфраструктуре. Успешная целевая атака может долго оставаться незамеченной — как в случае с Piriform, когда компания, сама того не подозревая, больше месяца распространяла вредоносное ПО. Избежать таких инцидентов помогут опытные «охотники за угрозами».

И тут мы можем вам помочь: в рамках сервиса обнаружения активных целевых атак Targeted Attack Discovery эксперты «Лаборатории Касперского» отслеживают подозрительную активность в вашей сети (будь то шпионаж или другие виды киберпреступлений), расследуют инциденты и выясняют, почему они произошли. Они также помогают устранить последствия инцидентов и предотвратить атаки в будущем. Кроме того, вы можете воспользоваться нашей службой Kaspersky Managed Protection, обеспечивающей круглосуточный мониторинг и анализ событий информационной безопасности.

Чтобы узнать, как наши эксперты вычисляют передовые угрозы, посетите сайт сервиса Kaspersky Threat Hunting.

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.