16 июля 2015

Wild Neutron на свободе: Возможно, вы его следующая жертва

Бизнес
1

Незначительность – не радость

Медийные описания сложных, чрезвычайно дорогих и, вероятно, спонсируемых правительством кибершпионов вызывают в памяти образы персонажей наподобие Джеймса Бонда, совершающих скрытные набеги на цифровые эквиваленты Форт-Нокса в поисках особо охраняемых секретов или ведущих слежку за высшими должностными лицами. Но хорошая история для СМИ является дурной вестью для бизнес-менеджеров, утверждая их во мнении, что относительная незначительность их компании гарантирует слабый интерес к ней у преступников.

К сожалению, такого никогда не случалось в прошлом, и ситуация едва ли изменится в ближайшем будущем. Вы работаете со значительными объемами финансовых или личных данных? Плохим парням уже интересно. Или, может, есть какие-нибудь конкуренты, готовые сыграть против правил и нанять кибернаёмников, для того чтобы шпионить за вами. Если это всё ещё звучит невероятно, то новая серия атак Wild Neutron должна заставить задуматься:

Оцените диапазон известных целей:

  • Юридические фирмы
  • Компании, связанные с биткойнами
  • Инвестиционные компании
  • Большие холдинги, часто вовлечённые в сделки по слиянию и поглощению
  • ИТ-компании
  • Медицинские компании

Что общего у всех перечисленных? В основном, две вещи: они были уязвимы и имели данные, которые нападавшие сочли ценными по какой-то неизвестной причине. Это может быть нечто простое вроде данных, которые легко конвертируются в твёрдую валюту — или мягкую валюту в случае биткойна. Группа Wild Neutron, стоящая за этой атакой, вряд ли связана с какими-либо правительственными агентствами, но это не делает их менее умелыми или опасными. Их первая известная серия атак в 2013 году показала их возможности, успешно скомпрометировав Apple, Microsoft, Facebook и Twitter. Они вернулись в 2014 году, используя те же весьма изысканные, профессиональные приёмы против новых жертв, — хоть им пока и далеко до совершенства: некоторые из их модулей, кажется, в значительной степени основаны на инструментах с открытым кодом (например, Mimikatz или Pass-the-Hash) или хорошо известных коммерческих вредоносных программах (Hesperbot).

Грабить многих, наживаться на единицах

2

Wild Neutron не слишком разборчивы в методах первичного проникновения. Их любимый способ заражения жертв — компрометация веб-ресурса, например, форума, который часто посещает выбранная цель. Сайт нагружается эксплойтами или скриптами-редиректами, ведущими на другой заряженный эксплойтами веб-ресурс. Из-за такого шрапнельного подхода кажется, что многие зараженные пользователи не являлись конкретными целями группы, а лишь попали под раздачу. С другой стороны, нападения на широкий фронт компаний позволяют группе получить доступ к потенциально ценным «бонусным» данным из неожиданных источников. В любом случае, ясно одно: ваша компания не обязательно должна быть мишенью, чтобы стать жертвой. Просто молитесь, чтобы потерянные вами данные нападавшим не пригодились.

Тогда в 2013 году они, главным образом, использовали эксплойты Java, а теперь они, похоже, предпочитают Adobe Flash. В то время как пока неясно, какая точно уязвимость Flash эксплуатируется, есть свидетельства, что, по крайней мере, некоторые жертвы имели устаревшие версии Adobe Flash на своих машинах, что является серьезной ошибкой. После первоначального проникновения преступники устанавливают бэкдор и создают слепок с оборудования машины, который затем используется как для идентификации жертвы, так и в качестве вспомогательного средства для шифрования конфиденциальной информации об URL и конфигурации контрольного сервера. Из-за этого Wild Neutron ещё труднее отследить. Они могут казаться ленивыми трапперами на контрасте с некоторыми чрезвычайно целеустремлёнными хищниками, но не следует себя обманывать — они весьма профессиональны и принимают все меры, для того чтобы замести следы.

Снижать риски надо безотлагательно

shutterstock_230282074

Современные продукты «Лаборатории Касперского» предлагают массу возможностей для существенного снижения риска нападения.

Правильный подход к вопросу о программных уязвимостях критически важен в деле противодействия любой атаке. Эксплуатация таких слабых мест группой Wild Neutron делает нашу функцию  Управление уязвимостями и обновлениями самым подходящим инструментом защиты. Они позволяют рационализировать и автоматизировать задачи, связанные с управлением уязвимостями, помогая заделать бреши, найденные в популярном программном обеспечении, как только о них становится известно.

Набор инструментов, использующихся злоумышленниками из Wild Neutron, включает в себя как вредоносное программное обеспечение, так и легитимные компоненты, которые необходимы для работы всего комплекта, однако вполне очевидно, что не имеют ничего общего с обычной деятельностью корпоративного персонала. Возможность управлять приложениями на рабочих станциях в компании может реально изменить ситуацию. Программы, которых там не должно быть, запустить будет нельзя. Наша функция Приложений на базе динамических белых списков, гарантирует, что только легитимное и доверенное программное обеспечение будет работать на корпоративных компьютерах. Кроме того, стоит подумать и о включении режима запрета по умолчанию для станций, работающих по легко формализуемым процессам: администраторы могут просто отобрать список приложений, разрешённых для запуска, и запретить всё остальное.

Конечно, для дальнейшего снижения риска инфекции имеется полный спектр передовых защитных технологий «Лаборатории Касперского».

В частности, Web Anti-Virus, вооружённый эвристическим антифишингом, анализирует структуру загруженных веб-страниц и блокирует попытки незаконных переадресаций, ведущих на разные подозрительные сайты.

Система автоматического противодействия эксплойтам (AEP) способна предотвращать исполнение эксплойтов на лету.

В настоящее время злоумышленники используют компоненты под следующими присвоенными наименованиями:

  • HEUR:Trojan.Win32.WildNeutron.gen
  • Trojan.Win32.WildNeutron.*
  • Trojan.Win32.JripBot.*
  • HEUR:Trojan.Win32.Generic

Тем не менее, следует не забывать, что направленная атака, как правило, представляет собой больше, чем просто натравливание набора вредоносных программ. Злоумышленники постоянно натаскивают свои наборы инструментов на большинстве известных решений безопасности, чтобы выработать методы их обхода. Для противодействия процессу, являющемуся направленной атакой, заботящаяся о безопасности компания должна обладать не только решениями для конечных точек и механизмами охраны периметра, но и целой многогранной стратегией. Для ведения такой стратегии «Лаборатория Касперского» также предлагает современный набор Intelligence Services, который поможет понять природу атаки и укрепить безопасность компании.