The Equation, Carbanak, Desert Falcons: звіт з Security Analyst Summit

16 та 17 лютого в Канкуні (це в Мексиці) пройшла четверта щорічна конференція Kaspersky Security Analyst Summit. Це дуже важливе для «Лабораторії Касперського» захід, де ми ділимося своїми дослідженнями та запрошуємо виступати колег з інших компаній індустрії інфобезпеки. Дві наших презентації вже встигли обговорити на Хабре: дослідження The Equation APT і Carbanak привернули чимало уваги (спасибі, задоволенням почитав коменти, готові відповісти на питання тут). У цьому пості — короткий звіт про презентаціях досліджень Carbanak, The Equation і про діяльність ще однієї, раніше невідомої групи, названої нами Desert Falcons. Всі три — з посиланнями на докладні звіти наших дослідників на сайті Securelist. Ну і кілька фотографій. Важливо: майже всі виступи трохи пізніше будуть доступні в відеозаписи, їх ми викладемо окремим постом.

Carbanak. Велике пограбування.
Стаття на Securelist (rus). Повна версія звіту з технічними подробицями (eng). Indicators of compromise (формат .IOC).



В обговореннях посту найбільшу увагу було приділено злому банкоматів. Дійсно, це мабуть найбільш резонансна частина історії Carbanak: віддаємо команду і банкомат починає видавати гроші без картки, пін-коду, просто так.



На цьому творці Carbanak і прокололися: зрозуміло, що банкомати без стороннього втручання себе так не ведуть. Подальше розслідування показало, що злом банкоматів був лише одним із способів виведення грошей. Зловмисники могли переказувати кошти на власні рахунки, маніпулювати балансом так, що численні системи безпеки цього не помічали. Без повного контролю над внутрішніми банківськими системами провернути таку операцію було неможливо. Тому після проникнення використовувалися різні методи збору інформації про те, як влаштована інфраструктура банку, включаючи запис відео:



А починалася атака досить просто, точніше звично:


Лист із зараженим вкладенням, яке експлуатує, в тому числі, уразливості в Microsoft Office (CVE-2012-0158; CVE-2013-3906) і Microsoft Word (CVE-2014-1761).

— Звідки взявся мільярд доларів?
Дослідження Carbanak проходило в тісній співпраці з правоохоронними органами різних країн. Про цій частині роботи на конференції SAS розповідав Пітер Зінн з підрозділу National Hi-Tech Crime Unit.



Інформація від правоохоронних органів дозволила оцінити загальне число жертв Carbanak — близько ста фінансових організацій. Враховуючи, що втрати кожної жертви становили від 2,5 до 10 мільйонів доларів, максимальний збиток від Carbanak міг скласти якраз мільярд доларів.

Батники
Цікава історія сталася в ході розслідування, коли факт зараження вже був підтверджений і потрібно було максимально швидко ідентифікувати інфіковані комп'ютери. Зробити це треба було максимально швидко: по-перше, щоб заблокувати загрозу, по-друге — зібрати зразки для дослідження. Для цього був написаний простий скрипт:



The Equation або «Stuxnet, я твій батько» або труднощі аттрибуции.
Стаття на Securelist (eng). Q&A (eng). Дослідження модуля Fanny (eng).

Всім гостям SAS в цьому році подарували книги Кім Зеттер про Stuxnet з автографом автора. Щоб ви розуміли: це такий талмуд на 500 сторінок, причому, за словами Зеттер, видавець просив максимально (наскільки це взагалі можливо) скорочувати технічні деталі. Якщо коли-небудь напишуть книгу про The Equation, то її розмір буде не менше. Важливий момент: зараз дослідження даної операції знаходиться на початковій стадії. Ми опублікували лише загальні деталі й докладно розібрали один з модулів. Подальше дослідження потребує часу і зусиль, як з боку «Лабораторії», так і від інших компаній. Чому? Ті, хто стоять за Equation APT, займаються своєю справою більше 10 років, а можливо більше 20 (якщо вважати за датою реєстрації перше доменів для C&C серверів).


Дослідники «Лабораторії Касперського», розповіли про The Equation на SAS: Ігор Суменков, Мінєєв Сергій, Віталій Камлюк, Костін Райю.

Grzegorz Brzęczyszczykiewicz
Ми змогли достовірно визначити більш 500 жертв The Equation. Враховуючи той факт, що шкідливі модулі операції вбудований механізм самознищення, загальна кількість жертв може обчислюватися десятками тисяч. Серед них — держструктури, телекомунікаційні компанії, представники індустрії авіабудування, нафтогазового сектора і так далі. А наше розслідування почалося, коли людина по імені Гржегорж Бржежишчикевич почав підозрювати, що він став жертвою шкідливої атаки, після того як вставив у пристрій CD-ROM диск з фотографіями. Диск йому надіслали з наукової конференції в Х'юстоні, в якій він раніше брав участь.

Звичайно, ім'я цієї людини ми змінили з причини конфіденційності. Не виключено, що такий псевдонім був обраний завдяки ось цьому ролику:



Що ми знаємо про The Equation зараз? Судячи з дат реєстрації доменів і компіляції модулів, кампанія була активна десятки років. Самі старі модулі, зокрема, підтримують Windows 95/98. Для атаки і збору інформації використовувалися різні модулі і різні способи зараження (наприклад, через зараження форумів). Один з модулів, відомий як Фанні, використовувався для збору інформації про жертви в Азії і на Близькому Сході, був створений в 2008 році і задіяв дві Zero-Day уразливості. Ці ж уразливості пізніше використовувалися в Stuxnet. Ключове слово тут «пізніше», цей факт, як і деякі інші, дають натяк на зв'язок між Stuxnet і The Equation.



А цей плагін, мабуть, найцікавіший. Відомий тільки по імені файлу (nls_933w.dll), він, судячи з усього, використовувався вкрай рідко, у виняткових випадках дозволяючи змінювати прошивку жорсткого диска (або SSD). Навіщо? Ну, по-перше, щоб відновити контроль над комп'ютером жертви навіть у разі повного видалення інформації з накопичувача. По-друге, для надійного і максимально таємного зберігання даних. У коді плагіна виявлені ідентифікатори 12 моделей накопичувачів, які могли бути піддані даної процедури. Враховуючи складність аналізу прошивки і той факт, що будь-яка помилка в коді у даному випадку призводить до повної непрацездатності жорсткого диска, цей модуль показує, наскільки широкі можливості групи, його створила.

Аттрибуция
Ось це дуже важливий момент: «Лабораторія Касперського» поки не може нічого сказати про те, хто саме стоїть за Equation APT. У нас просто недостатньо фактів, щоб аргументовано когось звинувачувати в причетності до цієї кампанії, або хоча б ідентифікувати регіон або країну, з якої велася операція. Все інше — домисли і спекуляції, ми цим не займаємося. Аттрибуция — це взагалі дуже складна задача, так як навіть явні натяки на походження творців шкідливої програми, знайдені в коді (не в коді Equation, а взагалі) іноді спеціально вносяться, щоб направити дослідників (або слідчих) в невірному напрямку.

Складність аттрибуции не раз обговорювалася протягом двох днів Security Analyst Summit. Ось анекдотичний приклад спекулятивного підходу в презентації Крістофера Хоффа з Juniper Networks: bullshit attribution bingo.



Desert Falcons: нова APT-кампанія на Близькому Сході
Стаття на Securelist (eng). Докладне дослідження (eng, pdf).



В оповіданні Дмитра Бестужева про кампанії Desert Falcons мене більше всього здивувало, наскільки продумано атакуючі використовують методи соціального інжинірингу. Природно, атакують через e-mail:



Але не тільки. Використовують Facebook. Набиваються у друзі, спілкуються в приваті, готуються місяцями, входять в довіру, щоб нарешті надіслати посилання на заражений файл. Або простіше: користуються тим, що впливові люди не закривають постинг на свою стіну від інших користувачів. Моментально реагують на знакові події, важливі для потенційних жертв і адаптують свої повідомлення та розсилки по e-mail.

Ті, хто стоїть за кампанією Desert Falcons, дуже добре знають своїх жертв. Швидше за все тому, що і самі живуть в одній з країн Близького Сходу. Саме це в даному дослідженні головне: ми бачимо нового гравця, розробляє власні інструменти для атаки і збору інформації (а не використовує вкрадене), добре знає місцевий ландшафт. На відміну від The Equation, операції тривалої і нині неактивною, «пустельні соколи» почали роботу відносно недавно (з 2011 року), і зараз знаходяться в найкращій формі. Результат: шкідливе ПО, заражаюча комп'ютери та мобільні пристрої на базі Android, з метою крадіжки даних, і за нашими даними в руки атакуючих потрапило більше мільйона файлів і документів від 3000+ жертв.

Далі в нашому блозі. Ми готуємо ще кілька тем за підсумками презентацій на Security Analyst Summit, в тому числі стосовно особливостей застосування легітимного для злочинних цілей, зокрема — в криптолокерах, за якими буде окремий огляд і статистика. Познайомитися з цитатами з майже всіх виступів на SAS і найбільш цікавими репліками аудиторії в соцмережах можна ось у цьому епічному live-блозі на Kaspersky Daily.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.