Раскрываем подробности зафиксированных в начале 2020 года целевых атак
По данным экспертов Kaspersky ICS CERT, целями серии таргетированных атак, которую эксперты наблюдают с начала 2020 года, стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий. К настоящему времени известны случаи атак на системы в Японии, Италии, Германии и Великобритании. Злоумышленники используют вредоносные документы Microsoft Office, PowerShell-скрипты. Также различные техники, затрудняющие детектирование и анализ вредоносного ПО, включая стеганографию — технологию, которая позволяет скрыть факт передачи вредоносного ПО внутри изображения.
В выявленных случаях в качестве начального вектора атаки используются фишинговые письма с текстом на том языке, на котором говорят в стране, где расположена компания-жертва. Используемая вредоносная программа выполняется только в том случае, если операционная система имеет локализацию, соответствующую языку, на котором написано фишинговое письмо. Например, в случае атаки на компанию из Японии текст фишингового письма и документ Microsoft Office, содержащий вредоносный макрос, написаны на японском, а для успешной расшифровки модуля вредоносной программы операционная система должна иметь японскую локализацию.
Кроме того, злоумышленники использовали утилиту Mimikatz, чтобы украсть данные учётных записей Windows, принадлежащих сотрудникам атакованных предприятий. С помощью этой информации можно получить доступ к другим системам внутри корпоративной сети, в том числе к аккаунтам, которые имеют права администратора домена. Далее злоумышленники могут развивать атаку внутри сети предприятия.
Во всех обнаруженных случаях вредоносное ПО было заблокировано решениями «Лаборатории Касперского», конечная цель злоумышленников остаётся неизвестной. Эксперты Kaspersky ICS CERT продолжают отслеживать новые похожие атаки и просят сообщать о подобных случаях с помощью специальной формы на сайте «Лаборатории Касперского».
«Мы обратили внимание на эту атаку из-за нескольких нестандартных технических решений. Например, вредоносный модуль закодирован при помощи методов стеганографии внутри изображения, которое размещено на легитимных веб-ресурсах. Соответственно, обнаружить загрузку такого вредоносного ПО при помощи средств мониторинга и контроля сетевого трафика практически невозможно, ведь с точки зрения технических решений такая активность не отличается от обычного обращения к легитимному хостингу изображений. Также злоумышленники намеренно добавили в программный код ошибку, которая делает вредоносную программу работоспособной только на системах с определённой локализацией. Применение таких техник, а также тот факт, что атаки имеют точечный характер, указывают на то, что речь идёт о сложной целевой атаке, а то, что среди её целей поставщики промышленных компаний, вызывает беспокойство. Если логины и пароли сотрудников компании-подрядчика попадают в руки злоумышленников, последствий может быть очень много — от кражи конфиденциальных данных до атак на промышленные предприятия с помощью, например, удалённых инструментов администрирования, используемых подрядчиком», — объясняет Вячеслав Копейцев, эксперт «Лаборатории Касперского».
«Атака ещё раз подтверждает, что для организаций в энергетике критически важно обеспечивать защиту рабочих станций и серверов как в корпоративных, так и технологических сегментах сети. Для предотвращения подобных заражений достаточно надёжной защиты конечных устройств, но мы рекомендуем использовать комплексный подход. Атаки через подрядчиков и поставщиков могут иметь совершенно разные точки входа внутри предприятия, включая те, которые расположены внутри технологической сети. Цели злоумышленников нам точно неизвестны, но в таких случаях правильнее предположить, что они могли получить доступ к критическим системам предприятия. Чтобы своевременно распознавать сигналы атак на системы технологической сети и первичное оборудование объекта и предотвращать возможные инциденты, следует использовать современные средства сетевого мониторинга, выявления аномалий и детектирования атак», — комментирует Антон Шипулин, руководитель направления по развитию решений для безопасности критической инфраструктуры «Лаборатории Касперского».
«Лаборатория Касперского» рекомендует промышленным предприятия для снижения риска стать жертвой целевой атаки:
- проводить обучение сотрудников навыкам безопасной работы с почтой и, в частности, распознавания фишинговых писем;
- ограничить выполнение макросов в документах Microsoft Office и, если возможно, выполнение PowerShell-скриптов;
- особое внимание обращать на события запуска процессов PowerShell, инициированные приложениями Microsoft Office;
- по возможности ограничить получение программами привилегий SeDebugPrivilege;
- установить решение для защиты конечных устройств с возможностью централизованного управления политикой безопасности и поддержки в актуальном состоянии антивирусных баз и программных модулей защитных решений, например Kaspersky Endpoint Security для бизнеса для IT-систем и KICS for Nodes для OT-систем;
- установить защитное решение для OT-сетей, такое как KICS for Networks, чтобы обеспечить всестороннюю защиту всех критических промышленных систем;
- использовать учётные записи пользователей с правами доменного администратора только при необходимости, а после их использования перезапускать систему, на которой была выполнена аутентификация;
- внедрить парольную политику с требованиями к уровню сложности и регулярной смене пароля;
· в случае подозрения на заражение систем выполнить проверку антивирусным ПО и принудительную смену паролей для всех аккаунтов, которые использовались для входа на скомпрометированных системах.
Полный отчёт о данных целевых атаках доступен по ссылке: https://ics-cert.kaspersky.ru/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/.