Kaspersky ujawnia nowe szczegóły dotyczące serii cyberataków wymierzonych w przedsiębiorstwa przemysłowe
Nie inaczej było w przypadku analizowanej serii ataków. Wiadomości phishingowe, wykorzystane jako pierwotny wektor ataku, zostały dostosowane pod względem językowym do indywidualnych ofiar. Zastosowane podczas ataku szkodliwe oprogramowanie wykonywało destrukcyjne działania tylko wtedy, gdy lokalizacja systemu operacyjnego odpowiadała językowi, w którym stworzono wiadomość phishingową. Na przykład w przypadku ataku na firmę z Japonii tekst wiadomości phishngowej oraz dokumentu Microsoft Office zawierającego szkodliwy kod był napisany w języku japońskim. Ponadto, aby możliwe było odszyfrowanie modułu szkodliwego oprogramowania, również system operacyjny musiał być zlokalizowany w języku japońskim.
Dokładniejsza analiza wykazała, że atakujący wykorzystywali narzędzie Mimikatz w celu kradzieży danych uwierzytelniających konta systemu Windows. Informacje te mogą zostać użyte do uzyskania dostępu do innych systemów w sieci przedsiębiorstwa oraz zaplanowania ataków. Szczególnie niebezpieczna może być sytuacja, gdy przestępcy uzyskają dostęp do kont z uprawnieniami administratora domeny.
We wszystkich wykrytych przypadkach szkodliwe oprogramowanie zostało zablokowane przez rozwiązania bezpieczeństwa firmy Kaspersky, uniemożliwiając dalszą aktywność atakujących. W efekcie ostateczny cel przestępców pozostaje nieznany. Eksperci z zespołu Kaspersky ICS CERT nadal monitorują nowe, podobne przypadki. Osoby, które miały do czynienia z takim atakiem, mogą zgłosić go za pośrednictwem formularza dostępnego na stronie internetowej firmy Kaspersky.
Opisywany atak zwraca uwagę ze względu na zastosowanie kilku niestandardowych rozwiązań technicznych. Na przykład moduł szkodliwego oprogramowania jest zakodowany wewnątrz pliku graficznego przy użyciu metod steganografii, a sam obrazek jest dystrybuowany z legalnych zasobów WWW. To wszystko sprawia, że wykrycie pobrania takiego szkodliwego oprogramowania przy zastosowaniu monitorowania ruchu sieciowego oraz narzędzi kontroli jest praktycznie niemożliwe: z punktu widzenia rozwiązań technicznych taka aktywność nie różni się od zwykłego dostępu przyznanego legalnemu hostingowi grafiki. W połączeniu z ukierunkowanym charakterem infekcji techniki te wskazują na wyrafinowaną i selektywną naturę ataków. Niepokojące jest to, że wśród ofiar znajdują się podwykonawcy z branży przemysłowej. Jeśli dane uwierzytelniające pracowników takiej organizacji wpadną w niepowołane ręce, może to doprowadzić do wielu negatywnych konsekwencji, począwszy od kradzieży poufnych danych, a skończywszy na atakach na przedsiębiorstwa przemysłowe za pośrednictwem wykorzystywanych przez wykonawcę narzędzi zdalnej administracji – powiedział Wiaczesław Kopiejcew, ekspert ds. cyberbezpieczeństwa z firmy Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają organizacjom przemysłowym następujące działania w celu zmniejszenia ryzyka związanego z opisywanymi atakami:
- Zapewnienie szkolenia pracownikom przedsiębiorstwa, podczas którego dowiedzą się, jak bezpiecznie korzystać z poczty e-mail oraz, w szczególności, jak zidentyfikować wiadomości phishingowe.
- Ograniczenie wykonywania makr w dokumentach Microsoft Office.
- Ograniczenie wykonywania skryptów PowerShell (jeśli jest to możliwe).
- Zwracanie szczególnej uwagi na zdarzenia uruchomienia procesów PowerShell zainicjowanych przez aplikacje Microsoft Office. Ograniczenie uzyskiwania uprawnień SeDebugPrivilege przez programy (jeśli jest to możliwe).
- Instalacja rozwiązań zabezpieczających we wszystkich systemach z możliwością centralnego zarządzania politykami bezpieczeństwa oraz regularne uaktualnianie baz antywirusowych.
- Stosowanie kont z uprawnieniami administratora domeny wyłącznie w niezbędnych przypadkach. W przypadku użycia takich kont należy ponownie uruchomić system, w którym dokonano uwierzytelnienia.
- Wdrożenie polityki dot. haseł wymagającej określonego poziomu ich złożoności oraz regularnej zmiany.
- W przypadku podejrzenia infekcji systemów należy przeprowadzić kontrolę antywirusową oraz wymusić zmiany haseł dla wszystkich kont, z których zalogowano się do danych systemów.
Szczegóły techniczne dotyczące omawianych cyberataków na organizacje przemysłowe są dostępna na stronie Kaspersky ICS CERT: https://r.kaspersky.pl/TqIs2.