В октябре 2016 года новый клиент связался с компанией Cybereason, занимающейся кибербезопасностью, опасаясь, что его могут скомпрометировать в результате какого-либо взлома.
На самом деле произошло вот что — одна из пресловутых хакерских групп: APT32. В то время клиент, крупная международная компания, базирующаяся в Азии, не знал, какие устройства и серверы пострадали от взлома и произошел ли взлом в конце концов.
«Они видели много странных вещей, происходящих в их сети», — говорит Ассаф Дахан, директор по повышенной безопасности Cybereason. Компания уже использовала продукты безопасности, такие как межсетевые экраны, сетевые фильтры и сканеры, но ни одно из них не обнаружило вторжения.
Однако в ходе расследования Cybereason стал обнаруживать все больше и больше подозрительной вредоносной активности.
В конце концов охранная фирма обнаружила масштабную атаку, длившуюся целый год, и увидела в ней явную отсылку к APT32.
Пресловутый APT32
APT32, также известная как OceanLotus Group, известна изощренными атаками на частные компании, иностранные правительства, журналистов и активистов.Деятельность группы началась в 2012 году, когда организация начала нападения на китайские объекты, а затем распространилась на Азию, включая Вьетнам и Филиппины.
В отличие от других групп, которые склонны поддерживать, по крайней мере косвенно, основные хакерские интересы, спонсируемые государством, APT32 часто не уважает интересы таких авторитетных игроков, как Россия или Китай.
Недавно опубликованные подробности атаки Cybereason способствовали пониманию того, как работает APT32 и ее возможные мотивы.
Эти «постоянные продвинутые угрозы» требуют финансовых ресурсов и рабочей силы, чтобы их установить и затем полностью рассмотреть; однако группы, которые их финансируют, могут получить взамен бесценные данные.
В данном случае Cybereason утверждает, что APT32 явно был нацелен на интеллектуальную собственность и конфиденциальную деловую информацию, а также, с течением времени, на отслеживание работы компании над специальными проектами.
«Масштаб этого (нападения) был весьма тревожным.
Это не мелочь», — говорит Даан.
«Нам приходилось держать это в секрете, мы пытались защитить анонимность наших клиентов, поэтому не могли ничего публиковать.
Но мы чувствовали, что как только мы станем публичными, больше охранных компаний или даже правительственных учреждений заметят атаку и помогут остановить эту группу».
"Кот и мышь"
В инциденте с Cybereason фирма отследила вторжения по фишинговым электронным письмам, которые побуждали жертв загрузить поддельный установщик Flash или вредоносный документ Microsoft Word, а вместо этого хранили вредоносное ПО в Интернете.После установки группа использовала множество эксплойтов и манипуляций для перемещения по сети и внедрения различных вредоносных программ.
Хакеры использовали инструмент управления конфигурацией Windows PowerShell, популярную точку входа для хакеров, для установки вредоносных скриптов в систему.
Затем они манипулировали законными службами управления сетью Windows, такими как автозапуск реестра Windows и запланированные задачи Windows, постоянно сохраняя свой вредоносный код на неопределенный срок, поэтому он будет продолжаться даже после перезапуска устройства.
Хакеры также использовали свойства Microsoft Outlook, приложение обновлений Google и антивирусные инструменты «Лаборатории Касперского» для более глубокого проникновения в сеть.
Оценив ситуацию в течение нескольких недель, Cybereason выявил разнообразный набор хакерских инструментов и методов.
«Они сосредоточены на менеджменте высшего уровня, например, на вице-президентах, директорах, примерно на 40 управленческих сотрудниках, включая секретаря генерального директора», — говорит Даан.
«Они очень четко поставили перед собой цели.
Они знали, кого эксплуатировать и куда двигаться, когда уже были в сети.
Они точно знали, какие механизмы их интересовали».
Однако когда Cybereason заблокировал злоумышленников, начали происходить интересные вещи.
Поскольку компания предприняла шаги по ограничению присутствия группировки в Интернете и, в конечном итоге, к избавлению от них, злоумышленники начали проводить все больше и больше уникальных атак, изобретая себя заново.
Cybereason заявляет, что после того, как сетевые злоумышленники будут заблокированы, они возродятся в течение от 48 часов до 4 недель.
Всего злоумышленники использовали более 70 различных вредоносных программ для проведения различных этапов долгосрочной атаки.
«Они очень хорошо знали сеть, могли создать множество лазеек и лазеек, чтобы вернуться, а также в их арсенале много инструментов», — говорит Даан.
«Это действительно была игра в кошки-мышки».
Исследователи из охранных фирм, таких как FireEye, отслеживали активность APT32 и заметили такие особенности, как использование основных и специфичных для клиента инструментов, а также способы сохранения активности в течение длительных периодов времени.
Исследователи уже опубликовали информацию о некоторых действиях, которые Cybereason наблюдал на практике.
Николас Карр, старший менеджер по реагированию на инциденты в FireEye, консультировал около дюжины заражений APT32 и говорит, что тип атаки, описанный Cybereason, соответствует форме APT32, хотя он не просматривал отчет Cybereason. «Неудивительно, что APT32 так решительно настроен сохранить доступ к сети», — говорит он.
«Они заинтересованы в этом долгосрочном доступе к новым развивающимся ситуациям.
У них впечатляющий масштаб команды и управленческая инфраструктура».
Многие вопросы об APT32 остаются без ответа.
FireEye предполагает, что проекты группы, похоже, служат интересам Вьетнама, но общего исследовательского консенсуса пока нет. В этом конкретном случае экспертам также необходимо подтвердить приписывание APT32. Но учитывая известные примеры атак APT32, как те, которые анализируются публично, так и те, которые фирмы оценивают внутри компании, APT32 определенно обладает ресурсами и возможностями для проведения невероятных крупномасштабных сетевых атак, как в случае с Cybereason; в частности, для наблюдения и кражи данных.
«Если эта группа может управлять несколькими кампаниями одновременно, это многое говорит о ней», — отмечает Дахан.
«Это доказывает их способности, силу и находчивость».
Оригинал Теги: #безопасность #взлом #угроза #информационная безопасность
-
Билайн. «Будьте В Курсе» Теперь Платный
19 Oct, 24 -
Итак, Вы Хотели Стать Программистом...
19 Oct, 24 -
Библиотека В Офисе: Правила Кавасаки
19 Oct, 24 -
Старый Код: Почему Это Так?
19 Oct, 24
