Οι ερευνητές της Kaspersky Lab παρατηρούν μια νέα και μάλλον σημαντική τάση στο πώς λειτουργούν οι περίπλοκοι απειλητικοί φορείς. Είναι όλο και πιο κοινό για τους απειλητικούς φορείς να μην χρησιμοποιούν εξελιγμένες και δαπανηρές τεχνικές επίθεσης, όπως zero-day ευπάθειες, αλλά χρησιμοποιούν εκστρατείες κοινωνικής μηχανικής εξαιρετικά στοχευμένες σε συνδυασμό με γνωστές αποτελεσματικές κακόβουλες τεχνικές. Ως αποτέλεσμα, είναι σε θέση να εκμεταλλεύονται κακόβουλες εκστρατείες που είναι εξαιρετικά δύσκολο να εντοπιστούν με τις συνήθεις λύσεις διασφάλισης εταιρικής ποιότητας.
Αυτή η μετατόπιση του τρόπου λειτουργίας των απειλητικών φορέων αποδεικνύει ότι, γενικά, η υποδομή Πληροφορικής των σύγχρονων οργανισμών περιέχει αρκετές αδυναμίες για να επιτρέψει στους επιτιθέμενους με σχετικά φθηνά εργαλεία επίθεσης να επιτύχουν τους εγκληματικούς τους στόχους. Η Microcin, μια κακόβουλη εκστρατεία που έχει διερευνηθεί πρόσφατα από ειδικούς της Kaspersky Lab, αποτελεί παράδειγμα μιας τόσο χαμηλού κόστους, αλλά επικίνδυνης επίθεσης.
Όλα ξεκίνησαν όταν η πλατφόρμα Kaspersky Anti Targeted Attack Platform (KATA) ανακάλυψε ύποπτο RTF αρχείο. Το αρχείο περιελάμβανε ένα exploit (κακόβουλο λογισμικό που εκμεταλλεύεται τις αδυναμίες ασφάλειας σε ευρέως χρησιμοποιούμενο λογισμικό για την εγκατάσταση πρόσθετων κακόβουλων στοιχείων) σε μια γνωστή και ήδη επιδιορθωμένη ευπάθεια στο Microsoft Office. Δεν είναι ασυνήθιστο οι τακτικοί ψηφιακοί εγκληματίες να χρησιμοποιούν εκμεταλλεύσεις γνωστών τρωτών σημείων για να «μολύνουν» τα θύματα τους με κοινό, μαζικά κατανεμημένο κακόβουλο λογισμικό, αλλά όπως έδειξε αναλυτικότερη έρευνα, το συγκεκριμένο RTF αρχείο δεν ανήκε σε άλλο μεγάλο κύμα «μόλυνσης», αλλά σε πολύ πιο εξελιγμένη και εξαιρετικά στοχευμένη εκστρατεία.
Το ύποπτο spear-phishing έγγραφο διανεμήθηκε μέσω ιστότοπων για μια πολύ συγκεκριμένη ομάδα ανθρώπων: φόρουμ για τη συζήτηση θεμάτων που σχετίζονται με τη λήψη επιδοτούμενων κατοικιών – μια απαλλαγή διαθέσιμη κυρίως για υπαλλήλους κυβερνητικών και στρατιωτικών οργανισμών στη Ρωσία και σε ορισμένες γειτονικές χώρες.
Όταν ενεργοποιηθεί το exploit, εγκαθίσταται στον υπολογιστή-στόχο κακόβουλο πρόγραμμα με αρθρωτή δομή. Η εγκατάσταση της μονάδας πραγματοποιείται μέσω κακόβουλης έγχυσης στο iexplorer.exe και η αυτόματη εκτέλεση αυτής της λειτουργικής μονάδας ολοκληρώνεται μέσω dll-hijacking. Και οι δύο είναι γνωστές και ευρέως χρησιμοποιούμενες κακόβουλες τεχνικές.
Τέλος, όταν εγκατασταθεί η κύρια μονάδα, «κατεβάζονται» ορισμένες πρόσθετες μονάδες από τον command and control server. Τουλάχιστον μία από αυτές χρησιμοποιεί στεγανογραφία – την πρακτική της απόκρυψης πληροφοριών μέσα σε φαινομενικά μη επιβλαβείς φακέλους, όπως εικόνες, ακόμα μια γνωστή κακόβουλη τεχνική για μυστική μεταφορά δεδομένων.
Μόλις αναπτυχθεί ολόκληρη η κακόβουλη πλατφόρμα, το κακόβουλο λογισμικό αναζητά αρχεία με επεκτάσεις όπως .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt και .rtf., τα οποία στη συνέχεια ομαδοποιούνται σε ένα αρχείο που προστατεύεται με κωδικό πρόσβασης και μεταφέρεται στους χειριστές της επίθεσης. Εκτός από τη χρήση γνωστών τεχνικών «μόλυνσης» και πλευρικής κίνησης, κατά τη διεξαγωγή των επιθέσεων οι δράστες χρησιμοποιούν ενεργά γνωστά backdoors που έχουν παρατηρηθεί σε προηγούμενες επιθέσεις και επίσης χρησιμοποιούν νόμιμα εργαλεία που δημιουργήθηκαν για δοκιμές διείσδυσης και γενικά δεν ανιχνεύθηκαν ως κακόβουλα από λύσεις ασφάλειας.
«Αν αναλυθεί σε μέρη, αυτή η επίθεση δεν είναι τίποτα σοβαρό. Σχεδόν κάθε κομμάτι της έχει τεκμηριωθεί καλά από τον κλάδο της ασφάλειας, και είναι σχετικά εύκολο να εντοπιστεί. Ωστόσο, συνδυάζονται με τρόπο που καθιστά δύσκολη την επίθεση. Το πιο σημαντικό, αυτή η κακόβουλη εκστρατεία δεν είναι μοναδική. Φαίνεται ότι ορισμένοι απειλητικοί φορείς ψηφιακής κατασκοπείας μετατοπίζουν την εστίασή τους από την ανάπτυξη κακόβουλων εργαλείων που είναι δύσκολο να ανιχνευθούν, στον σχεδιασμό και την παροχή εξελιγμένων λειτουργιών, οι οποίες μπορεί να μην περιλαμβάνουν περίπλοκο κακόβουλο λογισμικό, αλλά να είναι επικίνδυνες», δήλωσε ο Alexey Shulmin, Lead malware analyst της Kaspersky Lab.
Προκειμένου να προστατεύσουν τα πληροφοριακά τους συστήματα από επιθέσεις όπως η Microcin, οι ειδικοί της Kaspersky Lab συμβουλεύουν τους οργανισμούς να χρησιμοποιούν εργαλεία ασφάλειας που επιτρέπουν τον εντοπισμό κακόβουλων λειτουργιών και όχι κακόβουλου λογισμικού.
Τέτοιου είδους σύνθετες λύσεις, όπως η πλατφόρμα Kaspersky Anti-Targeted Attack Platform, περιλαμβάνουν όχι μόνο τεχνολογίες προστασίας τερματικών σημείων αλλά και τεχνολογίες που επιτρέπουν την παρακολούθηση και τη συσχέτιση συμβάντων σε διάφορα μέρη του δικτύου του οργανισμού, προσδιορίζοντας έτσι τα κακόβουλα μοτίβα που υπάρχουν στις εξελιγμένες στοχευμένες επιθέσεις.
Τα προϊόντα της Kaspersky Lab ανιχνεύουν και εμποδίζουν με επιτυχία τη Microcin και παρόμοιες εκστρατείες.
Τις λεπτομέρειες της εκστρατείας Microcin μπορείτε να βρείτε στον ειδικό σύνδεσμο Securelist.com, όπου περιλαμβάνονται επίσης περαιτέρω τεχνικές πληροφορίες σχετικά με την επίθεση.