Băncile, companiile telecom și organizațiile guvernamentale din SUA, America de Sud, Europa și Africa se numără printre principalele ținte, grupurile GCMAN și Carbanak fiind principalii suspecți.
Experții Kaspersky Lab au descoperit o serie de atacuri “invizibile” cu țintă precisă, care folosesc doar software legitim: teste de intruziune foarte răspândite și instrumente ca PowerShell pentru automatizarea proceselor de lucru în Windows – fără să lase fișiere malware pe hard drive, ci ascunzându-le în memorie. Această abordare din două perspective ajută la evitarea detecției prin tehnologii de “whitelisting” și nu le lasă investigatorilor prea multe mostre de malware sau alte dovezi cu care să lucreze. Atacatorii sunt prezenți doar atâta vreme cât au nevoie să-și strângă informații, înainte să li se șteargă urmele din sistem, la primul restart.
La finalul anului 2016, experții Kaspersky Lab au fost contactați de bănci din CIS care găsiseră programul pentru teste de intruziune, Meterpreter – folosit adesea ca instrument de atac – în memoria serverelor lor, deși nu ar fi trebuit să fie acolo. Kaspersky Lab a descoperit că acest cod Meterpreter a fost folosit împreună cu mai multe script-uri PowerShell legitime și cu alte instrumente. Acestea au fost adaptate și transformate într-un cod malware capabil să se ascundă în memorie, fără să fie văzut, și să colecteze parolele administratorilor de sistem, pentru ca atacatorii să poată controla de la distanță sistemele victimei. Scopul final pare să fie accesarea proceselor financiare.
Kaspersky Lab a dezvăluit că aceste atacuri se întâmplă la scară largă, lovind peste 140 de rețele ale companiilor mari din mai multe domenii de activitate, cele mai multe victime fiind localizate în SUA, Franța, Kenya, Marea Britanie și Rusia. În total, au fost înregistrate infectări în 40 de țări.
Nu se știe cine se află în spatele atacurilor. Folosirea unui cod exploit de tip open source, a instrumentelor Windows obișnuite și a domeniilor necunoscute face aproape imposibil să determini grupul responsabil – sau dacă este un singur grup sau sunt mai multe care folosesc aceleași instrumente. GCMAN și Carbanak sunt două grupuri cunoscute care acționează în mod similar.
Astfel de instrumente îngreunează, de asemenea, dezvăluirea detaliilor unui atac. Cursul normal în cazul unui răspuns la incident include investigarea urmelor și a mostrelor lăsate în rețea de atacatori. Și, dacă datele de pe un hard drive pot rămâne disponibile timp de un an după un incident, cele din memorie vor fi șterse la primul restart al computerului. Din fericire, în acest caz, experții le-au obținut în timp.
“Hotărârea atacatorilor de a-și ascunde activitatea și de îngreuna detecția și răspunsul în cazul unui incident explică ultima tendință a programelor malware rezidente în memorie. De aceea este foarte importantă analiza malware la nivel de memorie. În cazul acestor incidente, atacatorii au folosit toate tehnicile pentru a-și ascunde urmele, demonstrând că nu este nevoie de fișiere malware pentru extragerea cu succes a datelor dintr-o rețea și că folosirea instrumentelor legitime și open source face atribuirea aproape imposibilă”, a spus Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.
Atacatorii sunt activi încă, așa că este important de notat că detecția unui astfel de atac se poate face doar în memoria RAM, rețea și registru – și că, în astfel de cazuri, folosirea regulilor Yara bazate pe scanarea fișierelor malware sunt inutile.
Detaliile celei de-a doua părți a operațiunii, care arată cum au implementat atacatorii tactici unice pentru a retrage bani de la bancomate, vor fi prezentate de Sergey Golovanov și Igor Soumenkov la Security Analyst Summit, care va avea loc între 2 și 6 aprilie 2017.
Produsele Kaspersky Lab detectează operațiuni care folosesc tacticile, tehnicile și procedurile de mai sus. Mai multe informații pe această temă și regulile Yara pentru investigarea incidentelor pot fi găsite pe blogul Securelist.com. De asemenea, detalii tehnice, inclusiv Indicatorii de Compromitere, au fost oferite clienților Kaspersky Intelligence Services.