Спецпроекты

Хакеры-наемники шесть лет терзают финансовый сектор

Стратегия безопасности Интернет Веб-сервисы Маркет

«Лаборатория Касперского» исследовала инструментарий группировки DeathStalker, которая уже несколько лет занимается атаками на предприятия финансового и юридического сектора. Вероятнее всего, в интересах конкурентов, а не ради непосредственной прибыли.

И неизвестно, чей наймит

«Лаборатория Касперского» опубликовала исследование деятельности кибергруппировки DeathStalker, которую эксперты определили как «наемническую»: с 2012 г. этот хакерский коллектив атакует финансовые и юридические фирмы».

«Насколько мы можем судить, основу деятельности этой группировки составляет не финансовая выгода - в том смысле, что она не распространяет шифровальщики, не крадут платежные данные для перепродажи и не занимаются какой-либо другой деятельностью, типичной для киберкриминала. Их интерес заключается в сборе важной бизнес-информации, и это заставляет предположить, что DeathStalker представляет собой группу наемников, оказывающих услуги за деньги, либо выступающих в качестве инфоброкера в финансовых кругах».

По данным «Лаборатории», группировка активна с 2018 г. как минимум, но вполне возможно, что ее деятельность началась еще на шесть лет раньше.

Расследование началось после того, как сторонним экспертам попался имплант на базе PowerShell под названием Powersing; это один из основных инструментов в арсенале злоумышленников.

hackers600.jpg
Группировка хакеров-наемников DeathStalker с 2012 г. атакует финансовый сектор

Атака начинается со спиэр-фишингового сообщения, содержащего архивы со спрятанным внутри файлом LNK и маскировочным документом (.pdf, .doc, .docx). С этих файлов начинается продолжительная цепочка запуска различных компонентов, - пользователю кажется, что происходит распаковка вложенного документа, на деле же в систему поэтапно устанавливаются вредоносные компоненты, в том числе средства обеспечения устойчивого присутствия в системе и имплант, через который производится захват контроля над системой. Имплант раз в несколько секунд опрашивает контрольный сервер через так называемые тайниковые преобразователи (Dead Drop Resolvers).

Схрон-преобразователь

«Инструменты DeathStalker используют ряд публичных сервисов в качестве тайниковых преобразователей. Эти сервисы обеспечивают злоумышленникам возможность хранить данные на фиксированных адресах, имитируя открытые посты, комментарии, данные пользовательских профилей, описания и т.д. Сообщения злоумышленников выглядят примерно следующим образом: «Моя клавиатура не работает... [набор символов].» или «Йо, бро, я тут пою [набор символов, закодированных Base64]»

В ходе расследований, указывается в публикации «Лаборатории», подобные записи обнаружились на Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress, и этот список явно не претендует на полноту.

Часть таких записей находится простым поиском через Google.

Наборы символов используются Powerstring для различных операций, в частности, для поэтапной дешифровки адресов контрольных серверов. Злоумышленникам тем самым удается маскировать свои коммуникации под безобидный трафик. К тому же, вряд ли кто-то решится заблокировать перечисленные платформы.

Powersing активно использовался, самое позднее, с августа 2017 г.

Однако есть признаки, указывающие на связь Powersing с вредоносными семействами Janicab и Evilnum, первая из которых была замечена еще в 2012 г. В «Лаборатории» предполагают «со средней долей уверенности», что все три вредоноса используются одной и той же группировкой. На это указывают множественные сходства в коде и modus operandi.

Атаки, связанные с Powersing, отмечены, помимо упомянутых выше стран, в Аргентине, Китае, в Республике Кипр, Израиле, Ливане, Швейцарии, Тайване, Турции, Великобритании и ОАЭ. Evilnum использовался против мишеней на Кипре, в Индии, Ливане, Иордании, ОАЭ и России.

В своей публикации эксперты Лаборатории указывают, что атаки вроде тех, что осуществляют DeathStalker, - это «базовый уровень угроз», к которым частный сектор должен быть готов всегда.

Системным администраторам рекомендовано уделять максимум внимания любым процессам, которые задействуют powershell.exe и cscript.exe, и делать эти утилиты недоступными, если в них нет острой необходимости. Также настоятельно рекомендовано включать в тренинги по безопасности и оценке защитных продуктов сценарии, связанные с заражениями через файлы LNK.

«Описанный «Лабораторией» сценарий заражения и использования общедоступных сервисов для маскировки вредоносного трафика выглядит весьма любопытно, с технической точки зрения, хотя изначальный вектор атаки - это старый добрый спиэр-фишинг, - указывает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Рекомендации по блокировке powershell.exe и cscript.exe, если они не нужны, можно только приветствовать, но начинаться все должно с обучения персонала противостоять фишингу. Даже самому продвинутому».