11 декабря 2015

Новые волны Sofacy: уловки множатся

Бизнес

Вы работаете с правительственными или военными подрядчиками? Или вы сами такой подрядчик? Тогда имейте в виду: преступники, управляющие атаками Sofacy, активизировали свою деятельность и могут заинтересоваться вашими данными.

Sofacy — высокопрофессиональный русскоязчный источник угроз, известный своими лихими атаками на правительственные и военные цели и активный примерно с 2008 года. Sofacy подозревается в связи с пресловутыми авторами Miniduke и примечателен обширным применением эксплойтов нулевого дня. Так как атаки проходят весьма динамично, и Sofacy постоянно перебирает мишени в поисках новых жертв, почти невозможно предсказать, кто и даже где в мире может стать следующей целью.

В прошлом Sofacy находил себе жертв в таких странах, как Украина, Франция, Греция, Великобритания, Иордания и Бельгия. Группа также имеет на своём счету нападения на военных подрядчиков, поставляющих вооружения в несколько государств-членов НАТО и ряд других стран.

В этом году, однако, в истории развития направленных атак Sofacy случился новый поворот. Группа активизировала свою деятельность почти десятикратно, являя собой классический пример того, насколько сложные атаки отличаются от необъятного моря вредоносного «ширпотреба». Поддержав свою репутацию властителей уязвимостей нулевого дня, преступники задействовали не менее пяти новых эксплойтов, нацеленных на Java, Flash, Microsoft Windows и Office.

Новые возможности — новые проблемы

Сперва, в июле 2015 года, авторы Sofacy выдали два совершенно новых эксплойта — для багов в Microsoft Office и Oracle Java. Затем в августе, во время новой волны атак на цели, связанные с оборонной промышленностью, они разработали абсолютно новую версию своего имплантата первого уровня под названием Azzy, который специально ориентирован на жертв самого крупного пошиба.

Держа на прицеле такие сверхважные мишени, злоумышленники внимательно следят за текущими шпионскими операциями, стремительно и с убийственной эффективностью реагируя на каждое оборонительное действие своих жертв. В конкретном случае соответствующая подпись после применения продолжала статически выявлять вредоносную программу Azzy всего один час или около того, после чего этот метод атаки был прекращён. К тому времени очень быстро работавшие злоумышленники уже собрали второй бэкдор x64, который, естественно, избежал последующего обнаружения статической подписью. Тем не менее, технология поведенческого анализа System Watcher «Лаборатории Касперского» [1] без особого труда распознала эту новую версию.

Между тем, чрезвычайно скорое появление нового бэкдора позволяло предположить, что, скорее, вместо применения эксплойта бэкдор загружался вредоносной программой, уже прописавшейся в целевой системе. Дальнейшие изыскания подтвердили эту догадку.

Новый, ранее неизвестный вредонос был найден в виде файла .dll в одной из скрытых системных папок жертвы. А вот то, как эта вредоносная программа проникла в целевую систему, остаётся неизвестным.

Что усугубляет ситуацию, ещё один вредоносный .dll служил в качестве агента связи, взаимодействуя с контрольными серверами злоумышленников. Такой модульный подход позволил преступникам снизить шансы на обнаружение вредоносной активности системой поведенческого анализа и человеком.

Кроме того, памятуя о полной изоляции сетей, которую часто используют атакуемые для охраны секретов, авторы Sofacy разработали семейство модулей USBSTEALER. Они призваны помочь шпионскому программному обеспечению связываться со своими создателями посредством сообщений, попадающих на портативных USB-устройствах через охраняемый периметр во внешний мир.

1

..Но это решаемо

Принцип действия Sofacy даёт очень ясно понять, что «общего» подхода к информационной безопасности определённо недостаточно для противодействия таким ловким злоумышленникам. Как это частно бывает, лучшей защитой от направленных атак является всеобъемлющая стратегия, полагающаяся на многоуровневый подход к  обеспечению безопасности.

Сочетание антивредоносных технологий с управлением исправлениями, хост-системой предотвращения вторжений (HIPS) и, в идеале, белых списков и запрета по умолчанию существенно снизит шансы на успешное вторжение злоумышленников, действующих подобным образом.

При всём том, что атака просредством дисков хранения USB уже зачастую считается пережитком прошлого в современном ландшафте угроз, нельзя недооценивать опасность, которую представляют такие устройства.

Использование технологии Device Control поможет ограничить использование USB-устройств и предотвратить утечку данных за пределы защитного периметра, а также перемещение вредоносных компонентов из инструментария преступников внутрь изолированных сетей или наружу.

2

Использование нескольких небольших модулей, каждый из которых ответственен лишь за малую часть атаки, с целью избежать обнаружения движком поведенческого анализа является всего одним из множества трюков. Чтобы значительно повысить шансы на детектирование, требуется с высоты птичьего полета охватить сразу все виды активности на разных уровнях ИТ-инфраструктуры (как в сети, так на конечных точках), а также уметь каким-либо образом выявлять и сопоставлять ряд, казалось бы, безобидных отдельных событий, несущих в совокупности угрозу безопасности.

Вывод

Конечно, такие атаки, по существу, — проблемы крупного бизнеса. Новая волна Sofacy фокусируется, в первую очередь, на военных подрядчиках, которые теоретически могли бы обеспечить точки входа в оборонку как таковую. Однако, пожалуйста, будьте в курсе новых тенденций в мире кибербезопасности, даже если ваш собственный бизнес не велик и не имеет никаких клиентов из ВПК. Цепочки, по которым злоумышленники добираются до своих целей, могут содержать множество звеньев, и небольшие компании порой могут хранить чрезвычайно ценные секреты.

3a

Известные образцы Sofacy обнаруживаются решениями «Лаборатории Касперского» под следующими описаниями:

  • Sofacy.al
  • Sofacy.be
  • Sofacy.bf
  • Sofacy.bg
  • Sofacy.bi
  • Sofacy.bj
  • Sofacy.q
  • Sofacy.s
  • HEUR:Trojan.Win32.Generic

Эксплойты прекращаются с вердиктами:

  • PDM:Exploit.Java.Generic
  • PDM:Exploit.Win32.Generic

[1] Технология поведенческого анализа System Watcher обеспечивает защиту от неизвестных вредоносных программ и передовых угроз на всех всех уровнях Kaspersky Endpoint Security для бизнеса