Это история от нашей группы GERT, которой поручено расследовать особые инциденты. Притом, что работа, которую они выполняют, далека от рутинной, она, главным образом, техническая. Так что попытка поведать историю об их расследовании, по большей части, порождает перегруженный техническими подробностями текст с названиями программ, кличками вредоносов, портами, фрагментами кода, и т.п. Это не всегда интересно. Но данная история — это нечто особенное.
Ну ладно, вот вам сюжет. Некоторое время назад одна компания, достаточно крупная, чтобы работать с пятизначными и шестизначными суммами, обратилась к экспертам «Лаборатории Касперского», попросив их взглянуть на нечто явно нечистое. Словом, банк, с которым они работали, попросил их подтвердить крупный исходящий платеж. Беда в том, что никакого платежа не должно было быть вообще. Менеджер, ответственный за эти платежи, был на обеде в момент попытки совершения сделки. Еще один платеж – в десять раз меньший (но все еще довольно большой) – был уже проведен и при этом никак не встревожил банк. Опять же, никто не в фирме об этом понятия не имел.
Скопление бед: ответ на многоступенчатую финансовую атаку #enterprisesec #protectmybiz
Tweet
Ситуация была достаточно скверной, чтобы представители компании заподозрили вмешательство вредоносных программ. Это подозрение подтвердилось в первые же дни расследования. И это было нечто впечатляющее, из разряда «грубо, но эффективно». Хотя хакеры и допустили одну большую ошибку.
Эксперты из отдела оперативного решения вирусных инцидентов «Лаборатории Касперского» (GERT) получили образ жесткого диска компьютера от подвергшейся нападению организации, изучили его и вскоре обнаружили подозрительное электронное письмо, отправленное предположительно из государственной налоговой службы с просьбой немедленно предоставить кое-какие документы.
На самом деле заголовок сообщения был написан заглавными буквами и с большим количеством восклицательных знаков, что не совсем в стиле официального письма от государственного ведомства. Так что оно действительно должно было вызвать подозрения. По-видимому, бухгалтер был в некотором роде загипнотизирован словами «Федеральная налоговая служба». Кстати, имена и адреса чиновников налоговой службы в сообщении были вполне реальными.
В общем, этот документ открыли, выпустив на свободу Exploit.MSWord.CVE-2012-0158. Затем эксплойт загрузил архивированный файл с удаленного компьютера, который, в свою очередь, притащил Backdoor.Win32.RMS. Этот бэкдор использовался в течение пары дней для мониторинга активности бухгалтера. Потом еще две вредоносные программы были загружены с помощью этого бэкдора — кейлогер Trojan-Spy.Win32.Delf и Backdoor.Win32.Agent. Кейлогер использовали для того, чтобы угнать пароль бухгалтера к банковскому ПО, а второй бэкдор – для перехвата контроля за самим компьютером и дистанционного управления им. Попадос.
Это еще не все. Когда расследование подошло к концу, эксперты раскрыли еще один любопытный факт. Злоумышленники выкатили специальную сеть командных серверов для контроля над своими вредоносными программами, но допустили ошибку, которая позволила специалистам «Лаборатории Касперского» выяснить IP-адреса других компьютеров, зараженных троянской Trojan-Spy.Win32.Delf.
В большинстве случаев это оказались компьютеры, принадлежащие предприятиям малого и среднего бизнеса. «Лаборатория Касперского» оперативно связалась с владельцами зараженных машин и предупредила их об угрозе.
Если бы не предупреждение из банка, потери были бы впечатляющими. #enterprisesec
Tweet
Последнее обстоятельство затрагивает еще одну проблему. Как часто преступники заражают сеть одной компании для того, чтобы успешно атаковать другую? Первая компания может совсем и не знать о вредоносных программах, работающих с ее серверов (или даже несколько более необычных устройств, таких как беспроводные модемы, например, почему бы и нет?). И так вредоносы могут оставаться незамеченными в течение достаточно долгого времени. Еще одно подтверждение верности слов о том, что кибербезопасность — дело каждого.
И еще одно. Есть технические подробности. Много. За ними приглашаем сюда.