Что ж, господа, вы слышали: объявилась новая APT-кампания BlueTermite, и про неё уже пошли публикации. Скоро карта таргетированных атак на Securelist пополнится новым объектом. Кампания сама по себе относительно молода и, как ранее написал Денис Легезо, является «постоянной» во многих смыслах.
В вышеупомянутом посте можно узнать также, как защитить себя от новой APT, которая, похоже, бьёт по всем мыслимым целям в Японии — срди жертв правительственные структуры, группы общественных интересов, университеты, банки, финансовые службы, энергопоставщики, операторы связи, тяжёлая, химическая, автомобильная, промышленность, информагентства, сфера здравоохранения, недвижимость, производители пищевой продукции, полупроводниковая отрасль, робототехника, строительные фирмы, страховые организации организации, транспортные компании и т.д. Что интересно, контрольные серверы BlueTermite также находятся в Японии.
Почему бизнесу следует обратить пристальное внимание на #APT BlueTermite? #бизнесбезугроз
Tweet
Количество жертв растёт, поскольку атака по-прежнему пребывает в активной фазе.
С 2013 года
Атаку выявили в 2014-м, а её старейшие сэмплы датированы ноябрём 2013 года. В середине лета 2015 года произошёл мощный всплеск. Тут небольшая (совсем небольшая, на самом деле) интрига: как раз в это время утёк теперь уже знаменитый эксплойт нулевого дня для Adobe Flash, которым пользовалась Hacking Тeam. Сразу несколько хакерских группировок тотчас же приняли его на вооружение. В том числе BlueTermite.
Изначально, правда, вектор атаки был другим: хакеры использовали вредоносное ПО, адаптированное под каждую конкретную мишень. Адаптация была настолько узкоспециализированной, что каждый сэмпл мог запускаться исключительно на том компьютере, на который совершалась атака.
Узкая направленность
Как написал на Securelist Сугуру Исимару, «Без значния SID жертвы, ключ дешифрования не может быть успешно сгенерирован, так что важные данные расшифровать нелегко. Это означает, что проанализировать вредоносный код во всех подробностях не представляется возможным».
К счастью, экспертам «Лаборатории Касперского» удалось вскрыть ключи дешифрования из нескольких сэмплов путём брутфорса, без знания SID. Очевидно, алгоритм шифрования достаточно слаб, чтобы брутфорс его «брал» за какое-то более-менее вменяемое время, но это в будущем может измениться.
А что с этим эксплойтом нулевого дня
Эксплойт к CVE-2015-5119, вероятно, является самым проблемным пунктом во всей истории: он показывает, насколько быстро инструменты взлома «кочуют» от одной хакерской группировки к другим.
Мы ранее упоминали, что киберпреступники «снижают планку», выбирая менее масштабные и «упругие» мишени. Кибершпионы тут не исключение. Увы, это также подразумечает, что и обычные преступники могут принять на вооружение методики APT-групп. К настоящему моменту мы уже видели Grabit, шпионскую кампанию, нацеленную исключительно на средний и малый бизнес. Видели мы и Carbanak, первую APT полностью криминального характера.
Ареал деятельности BlueTermite может быть ограничен одной Японией, но к инструментарию, который эта группировка использует, эти ограничения не относятся. Компаниям во всём мире следует быть готовыми ктому, что против них могут быть в любой момент применены те же методы атаки, которыми пользуются APT-группы, вне зависимости от масштабов потенциальной жертвы.
Ареал атак BlueTermite ограничен Японие. Но инструментарий может быть использован где угодно. #APT
Tweet
Как отметил Денис Легезо, бизнесу следует признать саму возможность подобной атаки и, самое меньшее, незамедлительно устанавливать все критические обновления, едва они появляются на свет. Это не обнулит вероятность таргетированной атаки, но значительно снизит риск. Позволит снизить риск и установка добротного защитного решения, способного блокировать эксплойты нулевого дня и сокращать до минимума временное окно между обнаружением очередной бреши и её ликвидацией.
Более подробная техническая информация о BlueTermite доступна на Securelist.