Мы часто слышим: «Мы маленькая компания, мы не интересны организаторам APT!» На самом деле это заблуждение. Вот, например, история из жизни о том, как злоумышленники использовали небольшую организацию в цепочке атаки на крупные компании.
На конференции по кибербезопасности Kaspersky Security Analyst Summit, которая прошла в этом месяце, наши коллеги из Avast рассказали о случае с Piriform — небольшой британской компанией, которую Avast купила в прошлом году. Самый известный ее продукт — приложение CCleaner для чистки реестра Windows. Выпустили его давно, одним из первых среди аналогов, и число скачавших его пользователей уже перевалило за 2 млрд. Видимо, поэтому злоумышленники и выбрали именно эту программу для распространения шпионского ПО.
Атака с использованием CCleaner
Сначала преступники скомпрометировали среду компиляции Piriform. Им удалось инфицировать сервер сборки приложений, после чего программы с чистым исходным кодом при компиляции получали в довесок вредоносное ПО. Его потом и использовали для атаки. Причем за счет изменений в библиотеке компилятора снабженное вредоносом ПО получало подлинную цифровую подпись Piriform. В результате компания распространяла зараженные CCleaner 5.33.6162 и CCleaner Cloud 1.7.0.3191.
Схема самой атаки была довольно сложной и состояла как минимум из трех этапов. Вредоносное ПО, внедренное в популярную программу со 100 млн активных пользователей, распространялось целый месяц. За это время зараженный CCleaner скачали 2,27 млн человек, и как минимум 1,65 млн экземпляров вредоносного ПО попытались связаться с серверами злоумышленников. Позднее выяснилось, что на командном сервере работал простой скрипт, который выбирал жертв для второго этапа атаки: ими становились те, кто, судя по доменным именам, мог оказаться сотрудником крупных ИТ-компаний и поставщиков. На этом этапе отобрали всего 40 компьютеров, на которые затем отправили дополнительное шпионское ПО.
На следующем этапе преступники еще больше сузили список жертв: собрав и проанализировав информацию с этих 40 компьютеров (вероятно, уже вручную), они выбрали четыре наиболее интересные цели.
На эти устройства установили специально доработанную версию ShadowPad — известного вредоносного ПО, которым уже пользуются китайские киберпреступники. Это и было конечной целью атаки — доставить бэкдор на компьютеры определенных сотрудников крупных компаний.
Как защититься?
Мораль истории — в начале этого поста: даже если ваша компания не представляет интереса для целевых атак, вас все равно могут использовать как звено в цепи доставки вредоносного ПО. Особенно если ваше приложение скачали миллиард раз. Чтобы минимизировать возможный ущерб, необходима комплексная стратегия защиты: начиная с предотвращения и обнаружения атак и заканчивая реагированием, устранением уязвимостей и прогнозированием возможных рисков. Справиться со всем этим самостоятельно порой непросто, так что не стоит стесняться обращаться за помощью к внешним экспертам.
Чтобы обезопасить свою компанию, нужно активно искать возможные угрозы в своей инфраструктуре. Успешная целевая атака может долго оставаться незамеченной — как в случае с Piriform, когда компания, сама того не подозревая, больше месяца распространяла вредоносное ПО. Избежать таких инцидентов помогут опытные «охотники за угрозами».
И тут мы можем вам помочь: в рамках сервиса обнаружения активных целевых атак Targeted Attack Discovery эксперты «Лаборатории Касперского» отслеживают подозрительную активность в вашей сети (будь то шпионаж или другие виды киберпреступлений), расследуют инциденты и выясняют, почему они произошли. Они также помогают устранить последствия инцидентов и предотвратить атаки в будущем. Кроме того, вы можете воспользоваться нашей службой Kaspersky Managed Protection, обеспечивающей круглосуточный мониторинг и анализ событий информационной безопасности.
Чтобы узнать, как наши эксперты вычисляют передовые угрозы, посетите сайт сервиса Kaspersky Threat Hunting.