Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Categories:

Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Сегодняшний выпуск "ай-да-новостей" (с) - по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая "рекламная пауза перед главным выпуском новостей". А именно: по версии компании HeadHunter, которая ежегодно представляет "Рейтинг работодателей России", в этом году мы заняли почётное первое место среди работодателей отрасли "IT и интернет" и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы "благой" целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

sas-1

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Платформа состоит из двух частей: Tokyo и Yokohama. Первая часть - это основной бэкдор, выполняющий ещё и функцию доставки второго вредоноса. Вторая часть обладает весьма широким функционалом: кража cookies, перехват документов из очереди на печать, запись VoIP-звонков (в том числе через вотсап и фейстайм), создание снимков экрана и многое другое. Операция TajMahal работает уже не менее 5 лет. Подобная APT-махина вряд ли построена лишь для атаки на одну цель. Остальные, скорее всего, нам ещё предстоит обнаружить.

Подробнее про этого "зверя" здесь.

2. Gaza Cybergang

sas2

О группировке Gaza Cybergang, промышляющей кибершпионажам, мы писали ещё в сентябре 2015 года, а действует она по нашим данным аж с 2012. В основном орудует на территории стран Ближнего Востока и Средней Азии. Хотя наибольшее количество атак нами было зафиксировано в Палестине, + немало попыток заражения также зафиксированы в Иордании, Израиле и Ливане. Больше всего Gaza Cybergang интересуют политики, дипломаты, журналисты и политические активисты.

Группировка "сложносоставная", состоящая из как минимум трёх подгрупп. У всех групп разный стиль работы и разные техники, поэтому мы не сразу смогли понять, что они действуют заодно. О двух группах с более серьезным техническим уклоном мы уже писали (тут и тут). А вот третья группа MoleRATs была впервые упомянута на SAS-2019. Отметилась она операцией SneakyPastes (названа так за активное использование pastebin.com).

Многоэтапные атаки начинаются с хитрого фишинга. Письма на актуальную политическую тематику, которые якобы содержат какие-то протоколы переговоров или послания легитимных и уважаемых организаций. В общем, не открыть такое письмо неподготовленному чиновнику сложно. А на самом деле ссылки ведут на вредонос, а безопасные, на первый взгляд, вложенные файлы сами содержат зловреды, запускающие цепочки заражения. Проникнув в систему, злоумышленники маскируют свое присутствие от защитных решений и постепенно выстраивают следующие этапы атаки.

В конце концов на устройство устанавливается RAT-зловред с весьма широкими возможностями: он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать данные. Зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет себе на командный сервер. Вот он современный шпионаж!

Ещё больше букв про эту историю здесь.

3. Финансовый фрод и цифровые двойники

sas-3

Если вы успели подумать, что все наши расследования касаются только атак, которые тянут на сюжет шпионских детективов, то вы ошибаетесь. Третье расследование, о котором я хочу рассказать, касается огромного количества людей. Просто киберпреступления, о которых пойдет речь, стали такой обыденностью, что о них не трубят СМИ. А надо бы! Речь идет о финансовом мошеничестве. По оценкам только в 2018 году убытки от махинаций с кредитными картами составили около 24 млрд долларов. Вдумайтесь, 24 лярда!! Для сравнения годовой бюджет NASA – 21,5 млрд долларов. В Токио вот Олимпийские игры за 25 млрд проведут!

Для махинаций с карточками придумали специальный термин – кардинг. Так вот: кардинг живее всех живых, и убытки от него растут с каждым годом. И хотя банки и платёжные системы уделяют особое внимание безопасности, мошенники не менее активно работают над новыми инструментами для кражи денег с наших кредиток.

На SAS мы рассказали про ещё одну отрасль финансового фрода - Сергей Ложкин обнаружил в даркнете целый рынок под названием Genesis, где продаются "цифровые маски". Это по сути пакет данных о поведении пользователя в сети и его цифровой отпечаток — история посещения сайтов, информация о его операционной системе, браузере и так далее. Зачем всё это нужно? Именно эти данные используют различные онлайн-системы защиты от мошенничества для проверки пользователей. Если цифровая маска совпадает с ранее использованной, то защитное решение узнает человека и одобрит транзакцию. Например, на покупку в интернет-магазине или перевод денег в онлайн-банке. Цена на такую маску скачет от 5 до 200 долларов в зависимости от объёма данных.

Как же эти отпечатки собираются? С помощью самых разных зловредов. Например, малвара может обосноваться на вашем компьютере и тихо-мирно, по чуть-чуть собирать о вас данные, до которых сможет добраться. Вы скорее всего ничего не заметите.

Мошенники придумали ещё один способ обойти защиту – выглядеть для системы незнакомым, то есть абсолютно новым пользователем. Это можно сделать с помощью специального сервиса под названием Sphere. Он обнуляет цифровую личность и все её параметры. Так преступник чист для системы защиты.

Как защититься? Банки должны быть в курсе всех самых современных мошеннических схем и использовать двухфакторную аутентификацию. Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным (паролям, номерам карт, использованию компьютеров в публичных местах, а также подключениям к публичному вайфаю) и, конечно, использовать защитные решения, которые смогут распознать все зловреды, нацелившиеся на вашу цифровую личность.

На самом деле на SAS-2019 было ~70 докладов, которые тщательно отбирались, чтобы было очень интересно, но про них всех в одном блоге не расскажешь. Скоро мы опубликуем запись концеренции на нашем Youtube-канале, следите за новостями.


И в заключение добавлю про два коротких, но совершенно сногсшибательных выступления в самом конце конференции.

4. The secret power of YARA

Под занавес конференции в режиме "печа-куча" (20 слайдов по 20 секунд) Виталий Камлюк показал на что способна YARA (это такой текстовый поисковик разной аттрибутики в исполняемых файлах, очень помогает при анализе киберзловредов).

sas-4

В своей презентации "The secret power of YARA" он вытворял чудеса, магию, чародейство, джедайские кульбиты и прочее волшебство с этой популярной тулзой, а в самом конце при помощи неведомой химии и хитрости рук через YARA вывел на большой экран на офигевание публике реал-тайм-видео в ASCII-псевдографике! А потом, словно издеваясь над уже полностью ошалевшей от YARA-колдовства публикой, в том же ASCII-режиме начал резаться в первый DOOM. Публика медленно стекла на пол...



5. Работы - непочатый край

В заключительном выступлении директор нашего отряда элитных кибер-нинздя GReAT Костин Раю серьёзно загрузил публику теоретически возможными способами проникновения киберзловредов глубоко внутрь системы, на уровень железа, а также потенциальными методами их сокрытия на самом низком "железном" уровне. Был задан серьёзный вопрос: что делать, если эти гипотезы вдруг станут реальностью? Что на это может ответить индустрия кибербезопасности? В целом, всю презентацию можно оценивать как этакий юзер-гайд "куда пойти стартапить".

6605186_original

Вот таких и множество других выступлений наслушались многочисленные гости SAS-2019. До нового SAS’а и до новых открытий, мальчики и девочки!



Tags: cyber criminal, cyber warfare, i-news, malware, sas
Subscribe

Posts from This Journal “i-news” Tag

  • Хорошие vs Плохие новости недели.

    Что там у нас с хорошими новостями за прошедшую неделю? В Челябинске был - 1 новость. Так, надо поработать над цифрами :) А этого есть у нас!…

  • Ай-да-новости: ой-мои-данные.

    28 января мир отмечал международный день защиты данных. Действительно есть что отметить. Цифровые данные – это валюта нового тысячелетия,…

  • Дрон, выйди вон! А горшочек - вари!

    Сегодня в рубрике "Ай-да-новости" новая порция IoT-страшилок. Во-первых, не могу не прокомментировать нашумевшую дрон-атаку на Saudi Aramco. Имхо…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 18 comments