''Nevidljivi'' malver otkriven u 140 banaka i kompanija u 40 zemalja

Vesti, 09.02.2017, 01:00 AM

Stručnjaci iz kompanije Kaspersky Lab uočili su niz „nevidljivih“ ciljanih napada u kojima napadači koriste isključivo legalan softver: alate za penetracione testove i administraciju, kao i PowerShell okvir za automatizaciju zadataka na Windows operativnom sistemu, pri čemu maliciozni fajlovi nisu na hard disku već se kriju u memoriji. Ovakav kombinovan pristup omogućava napadačima da izbegnu detekciju, zbog čega istražitelji nemaju gotovo nikakvih dokaza na osnovu kojih bi mogli da sprovode istragu. Napadači se zadržavaju tek toliko da dobiju dovoljno informacija, nakon čega brišu svoje tragove prilikom prvog restartovanja sistema.

Krajem prošle godine, stručnjake iz kompanije Kaspersky Lab kontaktirale su banke koje su u memoriji svojih servera pronašle Meterpreter - softver za penetraciono testiranje koji ne bi trebalo da se nalazi tu. Ovaj softver se danas često zlonamerno koristi. Stručnjaci iz kompanije Kaspersky Lab otkrili su da je Meterpreter korišćen u kombinaciji sa brojnim legitimnnim PowerShell skriptama i drugim alatima. Ovako kombinovani alati predstavljali su maliciozni kod koji ima sposobnost da se sakrije u memoriji, i da neprimetno prikuplja lozinke sistem administratora koje su napadačima omogućile daljinsku kontrolu sistema. Kraljnji cilj bio je pristup finansijskim procesima banaka.

Kompanija Kaspersky Lab je posle toga otkrila da su se ovi napadi odvijali na globalnom nivou i da je do tog trenutka, prema saznanjima stručnjaka iz ove kompanije, napadnuto više od 140 kompanija širom sveta. Međutim, iz Kaspersky Laba upozoravaju da bi ovaj broj mogao biti i znatno veći, imajući u vidu da se malver koji hakeri koriste veoma teško otkriva.

Ovo je vrsta infekcije ista kao ona koju je Kaspersky Lab otkrio u sopstvenoj korporativnoj mreži pre nekoliko godina. Tada je otkriven malver Duqu 2.0, za koga se smatra da je izveden iz Stuxneta, sofisticiranog kompjuterskog crva koga su navodno stvorile SAD u saradnji sa Izraelom kako bi sabotirale iranski nuklearni program. Duqu 2.0 je uspeo da ostane neprimećen u mreži kompanije Kaspersky najmanje šest meseci.

Sada se slična infekcija širi poput požara, žrtve su brojne kompanije, a između ostalih i banke. Kaspersky Lab nije otkrio imena institucija i kompanija koje su trenutno izložene napadima, ali jeste spomenuto da se napadnute kompanije nalaze u 40 zemalja širom sveta, a najveći broj napadnutih kompanija i institucija je u SAD, Francuskoj, Ekvadoru, Keniji, Velikoj Britaniji i Rusiji.

Ono što ove napade čini posebno opasnim, osim što ih je vrlo teško otkriti, je i to što se ne zna ko stoji iza njih. Zbog korišćenja koda otvorenog izvora, kao i Windows alata i nepoznatih domena, gotovo je nemoguće otkriti koja grupa je odgovorna za napade, pa čak i da li je u pitanju jedna grupa ili više njih. Neke od najpoznatijih hakerskih grupa koje koriste slične pristupe jesu GCMAN i Carbanak.

Ovi alati otežavaju proces otkrivanja detalja o samim napadima. Normalna procedura podrazumeva da istražitelji prate tragove koje su napadači ostavili u sistemu. I dok podaci koji se nalaze na hard disku mogu biti vidljivi i godinu dana nakon napada, malver koji se krije u memoriji nestaje nakon prvog sledećeg pokretanja sistema. Srećom, stručnjaci su uspeli da ih uoče na vreme.

„Posvećenost napadača cilju da sakriju svoje aktivnosti i učine proces detekcije i odgovora na pretnje izuzetno komplikovanim, ukazuje nam na najnoviji trend anti-forenzičkih tehnika i malvera koji se kriju u memoriji. Zbog toga je memorijska forenzika postala od krucijalnog značaja za analizu malvera i njegovih funkcija. Kada su u pitanju ovi konkretni napadi, napadači su koristili sve moguće taktike za izbegavanje detekcije, i pokazali da im nisu potrebni malveri kako bi uspešno ukrali informacije, kao i da je usled korišćenja alata otvorenog koda gotovo nemoguće odrediti ko je izvršio taj napad“, izjavio je Sergej Golovanov, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Napadači su i dalje aktivni, tako da treba imati u vidu da je detekcija napada moguća samo u RAM memoriji, mreži i registrima, i da u tim slučajevima, korišćenje Yara pravila zasnovanih na skeniranju malicioznih objekata neće biti od koristi.

Detalje o drugom delu ove operacije, uključujući i objašnjenje kako napadači koriste jedinstvene taktike da podignu novac sa bankomata, predstaviće Sergej Golovanov i Igor Sumenikov na ovogodišnjem Security Analyst Summit-u, koji će biti održan od 2. do 6. aprila. Do tada, detaljnije informacije o ovim napadima možete naći na blogu kompanije Kaspersky Lab, SecureList.com.