11 июня 2015

Grabit – шпионская кампания против малого и среднего бизнеса

Бизнес

«Лаборатория Касперского» сообщила об обнаружении новой кибершпионской кампании. В отличие от прошлых угроз, эта направлена против целей поменьше, а именно на малый и средний бизнес. Это уже становится интересным.

Grabit так грабить

Grabit — довольно новая кампания. Собранные на текущий момент данные указывают на то, она была запущена примерно в конце февраля 2015 года. Так как почти половина от общего числа заражений (44.87%) зафиксированы в Таиланде (Индия на втором месте с отрывом — 24,36%, и США на третьем с ещё большим отрывом — 10,26%), это могла быть локальная операция. Тем не менее, первые образцы попали к экспертам «Лаборатории Касперского» от партнеров компании в США.

Grabit распространяется через почтовое вложение формата Microsoft Office Word (.doc), содержащее вредоносный макрос AutoOpen.

Ниже цитата из тщательного (по обыкновению) анализа вредоносной программы на Securelist:

«Этот макрос просто открывает сокет по TCP и посылает HTTP-запрос на удаленный сервер, взломанный группой хакеров для использования в качестве вредоносного хаба, прежде чем загрузить вредоносную программу. В некоторых случаях вредоносный макрос защищен паролем, но создатели угрозы, по-видимому, забыли, что файл .doc на самом деле представляет собой архив, и если архив открыть в удобном редакторе по выбору, строки макроса отображаются в виде обычного текста.

Вредоносная программа вся на виду, модифицирует привычные записи в реестре, такие как настройки запуска, и следы за собой не заметает. Её исполняемые файлы не удаляются в большинстве случаев, коммуникации её даны прямым текстом, в котором жертва может перехватить сообщение и учётные данные FTP/SMTP-сервера».

Нападавшие контролируют своих жертв, используя кейлоггер Hawkeye, коммерческий шпионский инструмент от HawkEyeProducts, и модуль конфигурации, содержащий набор средств дистанционного администрирования (RATs).

wide

По мнению исследователей «Лаборатории Касперского», вредоносная программа почти не скрывает свое присутствие, хотя и имеет очень серьезную защиту от анализа: «слабый рыцарь в тяжелых доспехах», как пишет Securelist.

Как бы ни странно само по себе это было, скорее всего, факт намекает на то, что лишь часть вредоносной программы написана с нуля, остальное могло быть приобретено где-то ещё.

Но независимо от этого угрозу нельзя недооценивать. Кейлоггер, обнаруженный только в одном из контрольных серверов, смог украсть 2887 паролей, 1053 письма и 3023 имени пользователей с 4928 разных хостов, как внутренних, так и внешних, включая Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn и Twitter, а также банковские учётные данные и прочее.

Рекомендации бизнесу для самозащиты:

Проверьте тут: C:Users<имя-компьютера>AppDataRoamingMicrosoft. Если папка содержит исполняемые файлы, вы можете быть инфицированы вредоносными программами. Это предупреждение не следует игнорировать.

Системные конфигурации Windows не должны содержать grabit1.exe в таблице автозагрузки. Запустите «msconfig» и убедитесь, что в нем нет записей grabit1.exe.

Не открывайте вложения и ссылки от людей, которых вы не знаете. Если вы не можете открыть вложение, не пересылайте его другим – заручитесь поддержкой ИТ-администратора.

Используйте продвинутое, обновленное по максимуму защитное решение и всегда следуйте указаниям антивируса в отношении всего списка подозрительных процессов.

Возможно, отключение макросов по умолчанию – тоже не худшая идея.

Выбор целей помельче

Кибершпионаж на самом деле рассматривают как угрозу высокого пошиба — крупным корпорациям, предприятиям, государственным организациям и т.д. Кибершпионаж – не простая атака вредоносных программ, которая часто требует от злоумышленника только знания того, где получить нужный кусок кода.

Шпионить и при этом оставаться незамеченным и не получать отпора — такое требует недюжинных технических навыков, так что скрипт-кидди этим заниматься не спешат. Известные шпионские кампании, как правило, построены на довольно продвинутых инструментах, в основном, сработанных заказных, и операторы их чётко мотивированы получить нечто конкретное, даже если в списке их очевидных интересов очень много пунктов, как это было в случае с APT-кампанией Crouching Yeti.

Тем не менее, злоумышленники всех видов переходят на более удобные цели, и кибершпионы в этом не исключение. На то есть свои причины.

Причина 1. Оплот и приспешники

Крупные предприятия работают совсем не в вакууме: каждая такая опора окружена созвездием небольших подрядчиков и поставщиков. Логично предположить, что они могут обладать, по крайней мере, частью информации, нужной хакерам.

Причина 2. Мишени попроще

Предприятие, которое работает с информацией, представляющей особый интерес для кибершпионов, как правило, хорошо защищено, и в него трудно проникнуть. А вот спутники могут быть гораздо более удобными целями, более жидкими на расправу.

Причина 1+2. Они могут что-то знать

Учитывая все это, злоумышленники могут либо использовать «спутников» как слабое место для проникновения в сети основной цели — крупного предприятия, либо «собирать полную мозаику» из доступных битов и кусков без фактического вторжения в сети опоры.

И если есть возможность извлечь данные, представляющие интерес, из «лёгких мишеней», хакеры, безусловно, воспользуются ей, особенно, когда в игре кибернаёмники: как бизнесмены они крайне заинтересованы в оптимизации соотношения усилий и результата.

В данном конкретном случае действительно похоже на работу наёмников: малые предприятия, атакованные вредоносной программой Grabit, работают в таких разнообразных отраслях, как химическая, нанотехнологическая, образовательная, сельское хозяйство, средства массовой информации, строительство и многие другие.

Возможно (пускай это пока лишь предположение), это широкий невод своеобразной разведывательной операции. А вот то, что он по-прежнему активен и в ближайшее время может расшириться далеко за пределы текущих географических пределов, — совсем не спекуляция.

Поэтому рекомендуем быть настороже.