Новые виды вымогательства
Компания Proofpoint провела опрос 600 сотрудников служб информационной безопасности в семи странах: Австралии, Франции, Германии, Японии, Испании, Великобритании и США, чтобы выяснить насколько на их бизнес повлияли программы-вымогатели. Обнаружилось, что 75% из опрошенных специалистов сталкивались с атаками вымогателей, причем более половины компаний платили выкуп за восстановление доступа к своим данным. Правда, только 60% компаний этот доступ восстанавливали, а оставшиеся — сталкивались с дополнительными требованиями вымогателей. По оценкам компании рост платежей составил 320% в год.
Причем, компания Agari обнаружила и еще один способ вымогательства — угроза публикации деловой переписки [2]. В этом случае шантажисту даже не нужно разрабатывать никаких вредоносных программ, поскольку достаточно с помощью фишинга получить доступ к электронной почте, скачать наиболее претенциозные сообщения и потребовать за молчание выкуп. Понятно, что про такой тип атак жертвы вообще предпочитают не говорить, но тем не менее стоимость выкупа по данным компании Agari увеличилась с 48 тыс. долл. в третьем квартале 2020 г., до 75 тыс. долл. — в четвертом. Забавно, что вымогатели подталкивают развитие рынка информационной безопасности даже лучше, чем законы, поэтому компаниям стоит неформально соблюдать требования законодательства, чтобы не стать жертвой вымогателей.
«Красная канарейка» и «Серебрянный воробей»
Компания Red Canary («Красная канарейка») обнаружила вредоносную программу, которая атакует компьютеры под управлением macOS. Первоначальная установка производиться с помощью вредоносного сценария JavaScript, но потом запускается «родной» код для операционной системы, причем у него есть оптимизация как под процессоры Intel, так и под новые процессоры самой Apple под названием M1. Вредонос получил наименование Silver Sparrow («серебряный воробей»).
В модуле расширения браузера от Apple Safari была обнаружена уязвимость [4], которая позволяет вредоносному коду из песочницы JavaScript попасть в основную операционную систему. Хотя уязвимость и была исправлена компанией еще 2 декабря прошлого года, тем не менее некоторые группы злоумышленников уже попытались ей воспользоваться. В частности, группировке ScamClub удалось установить свои вредоносные компоненты на 50 млн устройств с помощью вредоносной рекламы как раз воспользовавшись данной уязвимостью.
Хакеры, похоже, активно занялись исследованиями продукции Apple, поскольку в феврале начались публикации об уязвимостях новой социальной сети ClubHouse [5], которая доступна только для пользователей операционной системы iOS. Впрочем, пока речь идет просто о записи аудио-стримов, которые организуются в этой сети. Их запись запрещена правилами ClubHouse, поэтому хакеры стараются обойти это ограничение и все-таки записать голосовые сообщения. Также предпринимаются попытки войти в обсуждение темы без приглашения, которые являются основой данной социальной сети.
Повышенным спросом на исследования также пользуется и продукция компании Microsoft — компания опубликовала в феврале исправления для 56 уязвимостей [6], причем одна из них уже активно использовалась злоумышленниками для атаки. Из опубликованного списка 9 обновлений помечены как критические. Впрочем, ошибки, которые дают злоумышленникам доступ к информационной системе пользователей, были обнаружены в том числе и в продукции SAP — в инструменте для электронной торговли SAP Commerce [7]. Уязвимость связана с возможность редактирования правил ядра системы Drools, что и позволяет открыть доступ к нему посторонним. Производители решения уже опубликовали исправления для уязвимостей.
Азиатско-тихоокеанская угроза
В некоторых случаях аббревиатуру APT расшифровывают как Asia-pacific threat, что можно перевести как азиатско-тихоокеанская угроза. В феврале одной такой «угрозе» американское Министерство юстиции предъявило [8] обвинение. В пресс-релизе министерства юстиции указывается три гражданина Северной Кореи — Джону Чан Хёку, Киму Иру и Паку Джин Хёку, которые обвиняются в вымогательстве в общей сложности 1,3 млрд долл. у различных компаний и банков США. Причем Пак в 2018 году уже был обвинен во взломе Sony Pictures и атаках вымогателя WannaCry.
Впрочем, северокорейские хакеры вряд ли прекратят свою работу — стало известно про развернувшуюся фишинговую атаку известной группы Lazarus на предприятия оборонного комплекса США [9]. Именно этой группе приписывается разработка вредоносного кода ThreatNeedle, который распространялся в сообщениях, связанных с темами COVID-19 в сочетании с общедоступной личной информацией о жертвах, в середине 2020 года. Если раньше группа в основном занималась получением денег для финансирования северокорейского режима, то теперь ее интерес сместился в сторону кибершпионажа.
Появились доказательства того [10], что китайская группа APT31 в свое время смогла скопировать инструмент для взлома под названием Цзян, разработанный компанией Equation Group для АНБ. Ранее предполагалось, что Цзян разработала сама APT31, однако новые данные показывают, что работы над инструментом, но с другим названием — EpMe, вела именно Equation Group по заказу АНБ, а китайские хакеры смогли его скопировать. Собственно сам EpMe является частью более общей рабочей среды DanderSpritz, как один из четырех модулей для внедрения в систему жертвы. Вполне возможно, что китайцы обнаружили хакерский инструмент у себя в системах и решили его «перепрофилировать» для атаки на того, кто его изначально создал.
А тем временем компания Kia Motors America была подвергнута атаке программы-вымогателя DoppelPaymer [11], операторы которого обещали вернуть контроль над системой если компания заплатит им 404 биткоина, что составляет 20 млн долл. Вредоносом были выведены из строя такие сервисы Kia Access как UVO Link, UVO eServices и Kia Connect. Впрочем, компания предпочла не признавать проблем и не раскрывать подробности сбоя в работе сервисов, хотя ее пользователи делились своими проблемами в социальных сетях.
«Никому верить нельзя…»
АНБ опубликовало рекомендации по организации архитектуры «недоверия» — Zero Trust [12]. Подобная модель построения защиты информационных систем предполагает полный контроль за всеми действиями пользователей, приложений и устройств, а не только периметра, как это предполагалось ранее. Предложенная архитектура предполагает четыре уровня «недоверия»: отсутствие контроля; реализация базовых инструментов контроля; интеграция инструментов контроля в единую систему; и полный контроль с анализом происходящих событий и оперативным реагированием на них. Концепция все чаще внедряется в различных продуктах по информационной безопасности, особенно американского производства, поэтому рекомендации АНБ, которые ее поясняют, будут как раз кстати.
Защита от SolarWinds
Компания Microsoft опубликовала на Github проект инструмента под названием CodeQL [13], который предназначен для обнаружения вредоносных закладок, ставших причиной атаки на клиентов SolarWinds. Инструмент написан на C# и предназначен для проведения статического анализа кода приложений. Он работает в два этапа — на первом создается бинарный код и модель его представления, а на втором — модель анализируется на предмет различных закладок. Собственно, аналогичные инструменты для статистического анализа кода на предмет недекларированных возможностей уже известны достаточно давно. Вопрос в том как их встроить в механизмы обновления программного обеспечения, которые работают на стороне клиента. Важно же не просто разработать инструмент для анализа кода, но еще и организовать процесс его использования так, чтобы злоумышленники не смогли его обойти.
[1] https://threatpost.com/ransomware-demands-spike-payments-rise/163744/
[2] https://threatpost.com/email-security-attacks-bec/163869/
[3] https://www.theregister.com/2021/02/22/silver_sparrow_malware_for_apple_m1_silicon/
[4] https://threatpost.com/safari-browser-scamclub-campaign-revealed/164023/
[5] https://threatpost.com/clubhouse-conversations-recorded/164158/
[6] https://krebsonsecurity.com/2021/02/microsoft-patch-tuesday-february-2021-edition/
[7] https://threatpost.com/sap-commerce-critical-security-bug/163822/
[8] https://www.hackread.com/us-charges-3-north-korean-hackers/
[9] https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/
[10] https://www.darkreading.com/threat-intelligence/chinese-affiliated-apt31-cloned-and-used-nsa-hacking-tool/d/d-id/1340229
[11] https://threatpost.com/kia-motors-ransomware-attack/164085/
[12] https://www.darkreading.com/nsa-releases-guidance-on-zero-trust-architecture/d/d-id/1340269
[13] https://www.hackread.com/microsoft-open-source-codeql-queries-hunt-solarwinds-hacks/