Здравствуйте! Вы меня не знаете, но, чтобы быть кратким, просто скажу, что я эксперт по киберугрозам, расследованиям и IT-безопасности уже более чем 25 лет. Несколько недель назад меня попросили провести анализ и расследование для одного клиента (речь шла о каких-то загадочных и странных действиях их системы).
При дальнейшем анализе обеих команд, были обнаружены инфекции, которые, казалось, использовали Active Directory, чтобы очень быстро распространяться в сети, и мы предположили, что это была целенаправленная атака. Мы еще не знали, что это была фаза 1 нападения, которое, казалось, взяли прямо из сценария Крепкого Орешка 4.0 в 2007 году (нам бы не хватило фантазии это предположить…). Атаку прозвали «Обрушение» (англ. Fire Sale), кибер нападение на целую страну (привет гибридная война и кибервойна). Эта атака в конечном итоге приводит к краху всех компьютерных элементов управления, что приводит к краху экономики и другим последствий (например, вывода из дееспособности целой отрасли… ). Насколько реально произвести такую атаку? Ну, один из отраслевых лидеров по борьбе со зловредным ПО, Евгений Касперский, возможно, предсказал будущее примерно 1,5 года назад. Но давайте просто посмотрим на факты: было обычное воскресенье, когда один из аналитиков безопасности в медиа холдинге пригласил меня на селекторное совещание с другой компанией. Не то чтобы меня удивило, что они работают в воскресенье (как и я, так что не спрашивайте), но было довольно много фактов, которые, действительно, были и интересными, и страшными: вся медиа-индустрия и телеканалы одновременно сообщали, что находятся в центре неизвестной кибератаки, которая нарушала все компьютерные операции и действовала очень непредсказуемым образом. Нападение началось в воскресенье, 25 октября, в день местных общегосударственных выборов в Украине (совпадение?). В то время как несколько групп hacktivist-ов пытались взять на себя ответственность за атаку, нам еще не хватает (окончательных) доказательств, чтобы точно определить конкретных злоумышленников — мы оставим это «спецслужбам» и политикам, чтобы они сами догадались.
Как я уже упоминал, атака была многоступенчатой секретной инфекцией инфраструктуры компании, поражавшей одну цель за другой, в результате чего компьютеры перезагружались и переставали включаться. На этом этапе, две вещи казались очевидным: мы имеем дело с целенаправленной кибератакой, возможно, с политическими мотивами и направлена она на срыв всей отрасли. Тем не менее, расследование предоставило множество деталей, которые вносят сомнения в первоначальное заявление …
СИМПТОМЫ АТАКИ И ПЕРВОЕ ВПЕЧАТЛЕНИЕ
Пока мы ждем официальных результатов проверки от некоторых 3-буквенных агентств, с которыми мы сотрудничаем, а также от специализированных команд по расследованию и предотвращению зловредных программ, полный отчет и заявление будет сделано местным CERT, а я поделюсь, как все выглядело с линии фронта.
Целями были несколько платформ Microsoft Windows, без привязки к версиям или функциональным особенностям, в том числе контроллеры домена Active Directory, компьютеры, рабочие станции редактирования видео, компьютеры бухгалтерии и т.д.
Типичное наблюдаемое поведение зараженных активов заключалось в неожиданной остановке операционной системы, после чего система переставала загружаться: MBR просто отсутствовал (интересно почему…). Вторым симптомом было 100%-е заполнение системного раздела, что, как мы знаем, приводит к ненормальному поведению системы и к рекомендации Microsoft: «Свяжитесь с системным администратором». С точки зрения внутренней команды безопасности казалось, что случайные машины с Windows выходили из строя без каких-либо очевидных причин или связей. Третий, не менее важный симптом: все коллеги по отрасли звонили друг другу и рассказывали об одинаковых первых 2-х симптомах …
Несколько вещи были для меня понятны на тот момент:
- Это было целенаправленное нападение, тщательно спланированное и организованное намного раньше до его фактического приведения в движение.
- Это не эксплуатация уязвимости 0-го дня. Атака является многоступенчатой с участием либо социальной инженерии и инсайдеров, либо многослойной, модульной и синхронизированной системой вооружения, доставки, управления и контроля, привет модель Cyber Kill Chain 😉
- Время атаки не является случайным: это произошло именно в день местных выборов и было направлено либо на нарушение вещания о выборах в СМИ (что так и не произошло), либо дата была использована в качестве приманки, чтобы отвлечь от цели главного удара. Это также может быть одной адовой презентацией возможностей нового кибероружия в масштабах всей страны.
Я порекомендовал моим коллегам приготовиться, отбросить какие-либо сомнения в сторону и сосредоточиться на 2-х вещах: минимизация побочного ущерба и максимальный сбор доказательств. Мы стараемся получить все, что можем: PCAP-ы, скриншоты, снепшоты, логи Windows, SIEM и IPS предупреждения, дампы памяти и, конечно, образцы вредоносного ПО. Очевидно, традиционные антивирусы и другие активные системы обороны просто молчали. В течении первых 24 часов после нападения, нам удалось получить вирус под названием «ololo.exe» и загрузить его на VirusTotal, в итоге мы узнали, что ни один Анти-вирус не был в курсе этой вредоносной программы. Ждите продолжения с результатами анализа вредоносных программ и результатами предварительного расследования…
Источник: socprime.com
Комментариев нет:
Отправить комментарий