Верить нельзя никому: как обезопасить себя от инфицированного защитного ПО

Летом 2016 года группа StrongPity, занимающаяся целевыми атаками, заразила сразу пару инсталляторов ПО для шифрования.

Новости полны сообщений об утечках и прочих инцидентах, связанных с информационной безопасностью. Пользователи все чаще задумываются о защите своих данных и частной жизни в киберпространстве. К сожалению, это прекрасно понимают и злоумышленники. Последние успешно пользуются этим трендом, инфицируя ПО, которое теоретически должно защищать данные пользователей. Таким образом атакующие получают доступ к самой ценной информации.

Что случилось?

Летом 2016 года группа StrongPity, занимающаяся целевыми атаками, заразила сразу пару инсталляторов ПО для шифрования. Для распространения версий программ с неприятной добавкой злоумышленники изменили официальные сайты локализаторов ПО в некоторых регионах. В этот раз их целью были две конкретные страны — Италия и Бельгия. Такая тактика напоминает приемы, использовавшиеся в ходе атаки Dark Hotel в Азии. Теперь пришел черед Европы.

Наш анализ действий StrongPity показывает, что эта группа не только настойчива в достижении своих целей, но также обладает достаточными ресурсами и довольно инновационна в своих методах. В течение этого лета злоумышленниками был скомпрометирован сайт регионального дистрибьютора WinRAR (он заинтересовал атакующих из-за своей функции шифрования) и создано фальшивое зеркало страницы свободно распространяющегося ПО для полнодискового шифрования TrueCrypt, располагавшейся на ресурсе Sourceforge.

Официальные дистрибутивы специализированного ПО злоумышленники заражают не впервые. В начале 2014 года группа Crouching Yeti уже добавляла трояны в установщики ПО, использующегося на промышленных предприятиях. Тогда пострадали драйверы промышленных камер; вредоносное ПО распространялось через скомпрометированные сайты разработчиков этих драйверов, на которых оригинальные дистрибутивы были заменены на троянизированные.

Летом 2016 года участники StrongPity применили ровно ту же тактику. Для начала они зарегистрировали доменное имя (ralrab[.]com), схожее с официальным сайтом, через который распространяется WinRAR (rarlab[.]com). Затем ведущие на этот домен ссылки на вредоносы они выложили на взломанных ими сайтах европейских дистрибьюторов WinRAR.

winrar-be_sp_introduced-2-1024x700

Сайт Winrar[.]be с «рекомендованной ссылкой», ведущей на вредоносный ralrab[.]com.

Помимо этого StrongPity перенаправляют на свои модифицированные установщики пользователей популярных сайтов для скачивания ПО. Так, на полную реплику официального сайта TrueCrypt — контролируемый ими true-crypt[.]com — группа отправляла посетителей tamindir[.]com.

 

tamindir-truecrypt_redirect

Страница TrueCrypt на Tamindir с перенаправлением на вредонос.

Модули StrongPity («дропперы»), скачиваемые попавшимися на эти трюки пользователями, часто подписаны необычными цифровыми сертификатами. Они записывают на диск сразу несколько файлов, дающих атакующим полный контроль над системой жертвы и (чем и обусловлен выбор дистрибутивов для заражения) возможность красть в том числе и зашифрованные данные. На сегодня мы видим, что более чем на тысяче систем либо находятся эти модули StrongPity, либо были попытки загрузки зараженного установщика.

Детальный отчет об операции вы можете прочесть здесь.

Защитные меры

Повторимся, мы не впервые видим атаку, авторы которой компрометируют как ранее доверенные продукты, так и сайты их производителей или компаний-локализаторов для перенаправления пользователей на вредоносные сайты. Наш прогноз — число вредоносов, притворяющихся доверенным ПО, будет только расти. Качественные списки разрешенных приложений, отсекающие такие попытки атакующих, становятся абсолютно необходимым элементом комплексной защиты. Да, мы не устанем повторять, что на самом деле работает только продуманная многоуровневая защита.

Понятно, в кого целились атакующие в случае компрометации сайтов и продуктов индустриальных вендоров. Кому, кроме предприятий, может потребоваться драйвер для промышленной камеры? Теперь же цель атаки стала даже более изощренной: злоумышленники сделали своей мишенью софт для шифрования, то есть, по сути, защищенные данные и связь жертв.

Корректно развернутые защитные механизмы могут предотвратить заражение на ранней стадии атаки. Комплексные защитные меры должны включать в себя использование эвристики, машинного обучения и всех других алгоритмов, выработанных индустрией ИБ за годы борьбы с вредоносами. Если говорить о продуктах «Лаборатории Касперского», все эти меры реализованы в Kaspersky Endpoint Security для бизнеса, а также в разработке для небольшого бизнеса Kaspersky Small Office Security.

Последний продукт упомянут не случайно. В случае StrongPity выбранные атакующими продукты — WinRAR и TrueCrypt — в основном используются людьми, не тратящими серьезные средства на шифрование. Вряд ли корпорация будет пользоваться ими, а вот домашние пользователи или средний бизнес — вполне могут. Их данные и падут первыми жертвами дистрибутивов, которые изначально должны были их защитить. Наш совет: не верьте никому, кроме вашей комплексной защиты.

Советы