Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Previous Entry Поделиться Next Entry
26 апреля, 11:57
e_kaspersky
Сегодняшний выпуск "ай-да-новостей" (с) - по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая "рекламная пауза перед главным выпуском новостей". А именно: по версии компании HeadHunter, которая ежегодно представляет "Рейтинг работодателей России", в этом году мы заняли почётное первое место среди работодателей отрасли "IT и интернет" и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы "благой" целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

sas-1

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Платформа состоит из двух частей: Tokyo и Yokohama. Первая часть - это основной бэкдор, выполняющий ещё и функцию доставки второго вредоноса. Вторая часть обладает весьма широким функционалом: кража cookies, перехват документов из очереди на печать, запись VoIP-звонков (в том числе через вотсап и фейстайм), создание снимков экрана и многое другое. Операция TajMahal работает уже не менее 5 лет. Подобная APT-махина вряд ли построена лишь для атаки на одну цель. Остальные, скорее всего, нам ещё предстоит обнаружить.

Подробнее про этого "зверя" здесь.

2. Gaza Cybergang

sas2

О группировке Gaza Cybergang, промышляющей кибершпионажам, мы писали ещё в сентябре 2015 года, а действует она по нашим данным аж с 2012. В основном орудует на территории стран Ближнего Востока и Средней Азии. Хотя наибольшее количество атак нами было зафиксировано в Палестине, + немало попыток заражения также зафиксированы в Иордании, Израиле и Ливане. Больше всего Gaza Cybergang интересуют политики, дипломаты, журналисты и политические активисты.

Группировка "сложносоставная", состоящая из как минимум трёх подгрупп. У всех групп разный стиль работы и разные техники, поэтому мы не сразу смогли понять, что они действуют заодно. О двух группах с более серьезным техническим уклоном мы уже писали (тут и тут). А вот третья группа MoleRATs была впервые упомянута на SAS-2019. Отметилась она операцией SneakyPastes (названа так за активное использование pastebin.com).

Многоэтапные атаки начинаются с хитрого фишинга. Письма на актуальную политическую тематику, которые якобы содержат какие-то протоколы переговоров или послания легитимных и уважаемых организаций. В общем, не открыть такое письмо неподготовленному чиновнику сложно. А на самом деле ссылки ведут на вредонос, а безопасные, на первый взгляд, вложенные файлы сами содержат зловреды, запускающие цепочки заражения. Проникнув в систему, злоумышленники маскируют свое присутствие от защитных решений и постепенно выстраивают следующие этапы атаки.

В конце концов на устройство устанавливается RAT-зловред с весьма широкими возможностями: он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать данные. Зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет себе на командный сервер. Вот он современный шпионаж!

Ещё больше букв про эту историю здесь.

3. Финансовый фрод и цифровые двойники

sas-3

Если вы успели подумать, что все наши расследования касаются только атак, которые тянут на сюжет шпионских детективов, то вы ошибаетесь. Третье расследование, о котором я хочу рассказать, касается огромного количества людей. Просто киберпреступления, о которых пойдет речь, стали такой обыденностью, что о них не трубят СМИ. А надо бы! Речь идет о финансовом мошеничестве. По оценкам только в 2018 году убытки от махинаций с кредитными картами составили около 24 млрд долларов. Вдумайтесь, 24 лярда!! Для сравнения годовой бюджет NASA – 21,5 млрд долларов. В Токио вот Олимпийские игры за 25 млрд проведут!

Для махинаций с карточками придумали специальный термин – кардинг. Так вот: кардинг живее всех живых, и убытки от него растут с каждым годом. И хотя банки и платёжные системы уделяют особое внимание безопасности, мошенники не менее активно работают над новыми инструментами для кражи денег с наших кредиток.

На SAS мы рассказали про ещё одну отрасль финансового фрода - Сергей Ложкин обнаружил в даркнете целый рынок под названием Genesis, где продаются "цифровые маски". Это по сути пакет данных о поведении пользователя в сети и его цифровой отпечаток — история посещения сайтов, информация о его операционной системе, браузере и так далее. Зачем всё это нужно? Именно эти данные используют различные онлайн-системы защиты от мошенничества для проверки пользователей. Если цифровая маска совпадает с ранее использованной, то защитное решение узнает человека и одобрит транзакцию. Например, на покупку в интернет-магазине или перевод денег в онлайн-банке. Цена на такую маску скачет от 5 до 200 долларов в зависимости от объёма данных.

Как же эти отпечатки собираются? С помощью самых разных зловредов. Например, малвара может обосноваться на вашем компьютере и тихо-мирно, по чуть-чуть собирать о вас данные, до которых сможет добраться. Вы скорее всего ничего не заметите.

Мошенники придумали ещё один способ обойти защиту – выглядеть для системы незнакомым, то есть абсолютно новым пользователем. Это можно сделать с помощью специального сервиса под названием Sphere. Он обнуляет цифровую личность и все её параметры. Так преступник чист для системы защиты.

Как защититься? Банки должны быть в курсе всех самых современных мошеннических схем и использовать двухфакторную аутентификацию. Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным (паролям, номерам карт, использованию компьютеров в публичных местах, а также подключениям к публичному вайфаю) и, конечно, использовать защитные решения, которые смогут распознать все зловреды, нацелившиеся на вашу цифровую личность.

На самом деле на SAS-2019 было ~70 докладов, которые тщательно отбирались, чтобы было очень интересно, но про них всех в одном блоге не расскажешь. Скоро мы опубликуем запись концеренции на нашем Youtube-канале, следите за новостями.


И в заключение добавлю про два коротких, но совершенно сногсшибательных выступления в самом конце конференции.

4. The secret power of YARA

Под занавес конференции в режиме "печа-куча" (20 слайдов по 20 секунд) Виталий Камлюк показал на что способна YARA (это такой текстовый поисковик разной аттрибутики в исполняемых файлах, очень помогает при анализе киберзловредов).

sas-4

В своей презентации "The secret power of YARA" он вытворял чудеса, магию, чародейство, джедайские кульбиты и прочее волшебство с этой популярной тулзой, а в самом конце при помощи неведомой химии и хитрости рук через YARA вывел на большой экран на офигевание публике реал-тайм-видео в ASCII-псевдографике! А потом, словно издеваясь над уже полностью ошалевшей от YARA-колдовства публикой, в том же ASCII-режиме начал резаться в первый DOOM. Публика медленно стекла на пол...



5. Работы - непочатый край

В заключительном выступлении директор нашего отряда элитных кибер-нинздя GReAT Костин Раю серьёзно загрузил публику теоретически возможными способами проникновения киберзловредов глубоко внутрь системы, на уровень железа, а также потенциальными методами их сокрытия на самом низком "железном" уровне. Был задан серьёзный вопрос: что делать, если эти гипотезы вдруг станут реальностью? Что на это может ответить индустрия кибербезопасности? В целом, всю презентацию можно оценивать как этакий юзер-гайд "куда пойти стартапить".

6605186_original

Вот таких и множество других выступлений наслушались многочисленные гости SAS-2019. До нового SAS’а и до новых открытий, мальчики и девочки!



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «i-news»


Слышал, что от Винды у нас собираются отказываться. А на что ее менять? Не возьмет ли на себя Лаборатория Касперского сей тяжкий груз- делать отечественную ОС?
Или это слишком масштабная задача даже для такой серьезной организации?

Linux уже запретили? ;)
Если надо что то из РФ, то в поиск по ключу "linux русская ос"


Линух- это семейство ОС. У нее мильен разных сборок со своими оболочками. И нет ни одного яркого лидера, про которого бы говорили- "вау! как можно пользоваться Виндой, когда такая штука есть!"
Гораздо более многофункциональная, удобная , и не только для тех, кто любит что то "дорабатывать напильником"
А то, вишь, "у Линукса открытый код, что хочешь и меняй!"
Для массового, чайного, потребителя ОС, не программиста это очень важно - возможность менять код, если он это делать не умеет?)
Для массового потребителя важна надежность, совместимость с прежними программами и хороший , дружественный интерфейс.

Ну так забудьте слова "открытый код", "разные сборки" и станьте юзверем. И будет у вас все то же что у юзеров. Какая то ось и офис на ней. ;)


Я боюсь никто, включая Касперского не готов быть 20 лет в роли догоняющего майуэкрософт с непредсказуемым результатом :) это дорого и авантюрно.


вот дяденька планирует мигрировать крупную инфраструктуру согласно нашему законодательству. причем не лозунгами, а что бы его пользователи не ныли и собстенники не пристрелили
https://habr.com/ru/post/446456/
много смешного в нашем законодательстве придумано

Для "интернетов вещей" и индустриальных систем = есть такая: https://os.kaspersky.ru - и уже внедряется. Этой оси не нужен антивирус. Архитектурно.

Edited at 2019-04-26 09:58 (UTC)

Евгений, правильно ли я понял что оно и на AARCH32 архитектуре работает?

Для end IOT девайс оно не применимо с 128Мб требований на борту. А вот на роутере/агрегаторе - даже интересно было бы поиграться :)

Эти требовани они там зря написали. У нас "конструктор", можем минимальное собрать. Для камеры наблюдения, даже просто для чипа.. Роутер на нашей оси есть у Крафтвея. Разные прочие IoT-штуки тоже есть. Тыкайте в наш российский офис, они помогут!

Евгений, а есть экспертное мнение, сколько надо человеко дней (от архитектуры через анализ и дизайн до рабочей) версии, чтобы получить готовый к использованию продукт?
(Минутка конспирологии)
Что то мне подсказывает это не интузиасты в гаражах пишут :)


Зависит от задачи. Если делаем очередную версию уже существующего продукта - то да, можно подсчитать затраты. Если же делается что-то совершенно новое на пока непонятных технологиях, то сколько времени уйдёт на эксперименты и прототипы = это может оказаться непредсказуемо затратно.

Евгений,
Вы меня не много не правильно поняли. Я не имел ввиду Ваши продукты. Тут то все поняно. Многолетний опыт R&D, многолетний опыт наработок, много специалистов.


Вопрос по экспертной оценки стоимости написания того же TajMahalс нуля.


Ой, сорри.
Про TajMahal не скажу, но некоторые другие проекты, если на них посмотреть с точки зрения затрат, не исключаю, что там десятки миллионов долларов в год. А поскольку они плюс к тому не в гараже, а ещё и налоги платят..

Плюс-минус полушарие оценивали стоимость Duqu2 (то самое кибершпионское, чем анонимные источники атаковали ЛК в 2015м) - получалось порядка $20 млн. Но сами понимаете - это очень приблизительная оценка. К тому же цена программистов в разных странах очень разная, бывает разной на порядок

Да, по стоимости прекрасно понимаю. По этому и спрашивал про человеко дни.

Но (опять минутка конспирологии). Написание софта на данную тематику требует достаточно специфических скилов как в предметной области, так и навыках разработки ПО.
По этому они везде будут дорогие. Это не сайты на пхп :)

Думаю, что в скором времени вторым фактором станут биометрические данные – отпечаток пальца, сканирование радужки глаза и т.п. А всем остальным в тысячный раз рекомендую с осторожностью относиться к своим данным

Воот.
Будем идентифицироваться по биометрическим данным.
А что будет если, как у российского государства частенько получается, хранилище данных будет скомпрометировано?

Пароль сменить можно и, допустим, через техподдержку вернуть доступ к своим ящикам. А вот как голос или радужку поменять?

На самом деле тема глубже и сложнее, её отдельно надо разворачивать. Помимо рисков утечки (что везде бывает, а не только здесь) есть ещё разные продвинутые принтеры. Когда они научатся печатать "тёплые" пальцы с опечатком и пульсом, радужку и прочее... Вот тогда биометрии будет окончательно всё. Но это ещё нескоро, пока можно на биометрию опираться. Особенно скрещивая её с "digital DNA".

Фейспалмовая тематическая новость на прошлой неделе была - обновление умнофонов Nokia позволяла приходит биометрию путём приклеивания жвачки к сенсору 80

?

Log in

No account? Create an account