На Securelist вышла новая статья, посвященная пресловутому мошенническому инструментарию BlackEnergy, который эксплуатировался группой Sandworm APT, также известной как BE2 APT.
Исследование по большей части техническое, но в нем есть ряд деталей, которые могут привлечь внимание деловых людей. В этом посту мы постараемся осветить эти подробности.
Итак, что же такое BlackEnergy? Будучи изначально преступной программой для DDoS, она превратилась в огромную коллекцию различных инструментов, в настоящее время использующихся для различных APT-действий, в том числе для того, что Курт Баумгартнер и Мария Гарнаева назвали «значимыми геополитическими операциями».
Самое интересное в нем то, что BlackEnergy — модульный инструмент, который включает в себя много разных плагинов с возможностями атаки на множество платформ, в том числе ARM и MIPS. Имеются в нем и скрипты для сетевых устройств Cisco, похитители сертификатов и деструктивные плагины.
Да, именно деструктивные. Некоторые из них явно приспособлены уничтожать жесткие диски путем перезаписи всей информации на них случайным месивом данных.
#BlackEnergy 2: хороший набор для дурных дел
Tweet
Специалисты «Лаборатории Касперского» не знают общего числа плагинов, связанных с BlackEnergy (или, точнее, с BlackEnergy 2 и BlackEnergy 3 – известными в настоящее время APT-инструментами). Не знают они и о том, сколько хакерских групп имеют в своем распоряжении BE. Команда Sandworm APT привлекла к себе повышенное внимание из-за своих громких атак на выдающиеся цели, но это не значит, что нет никаких других групп, которые могут использовать те же инструменты прямо сейчас, просто им повезло остаться нераскрытыми.
APT-группа Sandworm/BE2 нападала на крупные цели и явно проявляла недюжинный интерес к промышленным системам контроля. Среди их жертв были:
- владельцы сайтов производителей энергии
- строители энергетических объектов
- операторы энергосистем
- крупные поставщики и производители тяжелых силовых агрегатов и — сопутствующих материалов
- инвесторы
При этом исследователи также отметили, что список целей включает в себя правительственные структуры, риэлторов и технологические компании.
Вполне возможно, что другие группы сейчас проводят более тонкие операции на менее заметных мишенях. BlackEnergy не создавали специально для узконаправленных атак. Если судить по его архитектуре, BlackEnergy является универсальным расширенным набором инструментов.
Стоящие за ВЕ2 знали, что за ними следят. Баумгартнер и Гарнаева упомянули в своем докладе, что в ходе время следствия злоумышленники оставили после себя «наглое» прощальное сообщение:
Подобный троллинг доказывает, что злоумышленники уже обеспокоены привлеченным к себе пристальным вниманием. Тем не менее, пока им вполне удавалось заметать следы. Как было сказано выше, полный спектр инструментов, плагинов и других компонентов BlackEnergy до сих пор не определен.
Самым главным в таких ситуациях является вектор атаки. Из четырех жертв, указанных в исследований, двое пострадали от успешного спиэрфишинга. Кроме того, злоумышленники предъявили эксплойт, для которого не было (и до сих пор нет) CVE, при этом модуль метасплойта был уже доступен.
Это сообщение электронной почты содержало ZIP-архив с файлом с расширением .EXE внутри, который казался не исполняемым. Этот специально сработанный архив эксплуатировал изъян WinRAR, который заставлял файлы в zip-архивах отображаться с другим именем и расширением.
Вторая жертва была скомпрометирована при помощи украденных у первой жертвы учетных данных; кое-какая информация на их машинах был уничтожена, а маршрутизаторы Cisco — взломаны.
Борьба с BE заведет попавшие в прицел организации далеко за пределы их зоны комфорта #enterprisesec
Tweet
Несмотря на то, что третья жертва пострадала тем же путем, что и первая, именно четвертый случай (или, скорее, набор инцидентов, ибо там оказались вовлечены более одной компании), представляется особенно тревожным. Жертвы обнаружили, что программное обеспечение Siemens SCADA в их среде ICS ответственно за загрузку и исполнение связанных с BlackEnergy вредоносных программ.
В целом, исследователи утверждают, что размах вредоносной деятельности представляет новые технические вызовы «в необычных условиях, в том числе в сетях SCADA». Эти проблемы, как говорят Баумгартнер и Гарнаева, «могут завлечь защитников организаций далеко за пределы их стандартных процедур и зон комфорта».
Притом что системным администраторам явно следует обратить пристальное внимание на полную версию исследования, вот несколько основных рекомендаций для компаний касательно этой угрозы:
- Предположим, что вы являетесь потенциальной мишенью, даже если ваш бизнес не относится к вышеупомянутым отраслям и/или их цепочкам поставщиков. Инструментами BE могут владеть более одной хакерской группы.
- Развертывайте антифишинговые инструменты и обучайте сотрудников основам противодействия фишингу и спиэрфишингу.
- Сокращайте возможную площадь атаки, переводя наиболее уязвимое и эксплуатируемое BE программное обеспечение в режим «презумпции виновности». Автоматические средства профилактики эксплойтов в этом деле будут полезнее всего.
- И, разумеется, поддерживайте программное обеспечение (в том числе решения по безопасности) в актуальном состоянии.