Вызывающая беспокойство новая атака по взлому компьютеров заражает цепочки поставок программного обеспечения, оставаясь в значительной степени незамеченной.
Интернет издание Wired подробно объясняет, как действует новое вредоносное ПО: «Хакеры проникают в сеть разработчика и скрывают вредоносный код в приложениях и обновлениях программного обеспечения, которым доверяют пользователи. Таким образом, злоумышленники в цепочке поставок могут переправить свое вредоносное ПО на сотни тысяч или миллионы компьютеров за одну операцию без малейшего вмешательства и признаков нечестной игры. Теперь понятно, что, по-видимому, все эти операции, которые производились неоднократно, проворачивались единой группой хакеров, совершавшей разрушительные нападения на цепочки поставок, становясь все более продвинутым и скрытным».
Кто такие хакеры и чего они хотят?
За последние три года атаки по цепочке поставок, в которых использовались каналы распространения программного обеспечения как минимум шести различных компаний, теперь были связаны с одной группой вероятных хакеров, говорящих по-китайски. Они известны как Barium, или иногда ShadowHammer, ShadowPad или Wicked Panda, в зависимости от того, какую фирму по обеспечению безопасности вы спрашиваете.
Barium, как ни одна другая известная хакерская команда, использует в качестве основного инструмента атаки по цепочке поставок. Все их атаки проходят по сходной схеме: распространяют вирусы среди огромного количества жертв, а затем перебирают их, чтобы найти цели для шпионажа.
Эта методика беспокоит исследователей безопасности не только потому, что она демонстрирует способность Barium заражать компьютеры в огромных масштабах, но и потому, что она использует уязвимости в самой базовой модели доверия, управляющей кодом, который пользователи запускают на своих компьютерах.
Что говорят эксперты?
Виталий Камлук, директор азиатской исследовательской группы по безопасности Kaspersky, сказал Wired, что «они (Barium) отравляют надежные механизмы» и «они чемпионы взломов цепочек поставок».
Камлук продолжил: «Учитывая количество компаний, которые они взломали, я не думаю, что какие-либо другие группы могут встать в ряд с этими парнями. Когда они злоупотребляют этим механизмом, они подрывают доверие к основным, основополагающим механизмам проверки целостности вашей системы. Это гораздо важнее и оказывает большее влияние, чем обычная эксплуатация уязвимостей в системе безопасности, фишинг или другие виды атак. Это ведет к тому, что люди перестанут доверять законным обновлениям программного обеспечения и поставщикам программного обеспечения».
Если это напоминает вам о нападении NotPetya 2017 года, так это оно
NotPetya кибер – атака, которая началась в Украине, парализовала крупные компании, такие, как Maersk, Mondelez, FedEx и Merck. Атака нанесла ущерб более 10 миллиардов долларов. Соединенные Штаты и Великобритания обвинили в атаке российское правительство.
Сайлас Катлер, исследователь стартапа безопасности Chronicle, сказал Wired, что потенциальный ущерб от атаки Barium может составить конкуренцию NotPetya.
«Если бы Barium развернул червя-вымогателя, подобного этому, посредством одной из подобных атак, это была бы гораздо более разрушительная атака, чем NotPetya», - сказал Катлер.
Отслеживание следов взлома до истоков
Kaspersky впервые обнаружил атаки хакеров Barium на цепочку поставок в июле 2017 года, тогда Камлук сказал, что партнерская организация попросила своих исследователей помочь разобраться в странной активности в ее сети. Некоторая вредоносная программа, которая не запускала антивирусные оповещения, передавала сигнал на удаленный сервер и скрывала его связь в протоколе системы доменных имен. Когда Касперский провел расследование, он обнаружил, что источником этих сообщений была заархивированная версия NetSarang, популярного корпоративного инструмента удаленного управления, распространяемого корейской фирмой.
Еще более загадочным было то, что вредоносная версия продукта NetSarang носила цифровую подпись компании. В конце концов, Касперский определил, а NetSarang подтвердил, что злоумышленники проникли в сеть NetSarang и внедрили свой вредоносный код их продукт до того, как приложение было криптографически подписано. Это выглядело примерно так же, как добавление цианида в банку таблеток перед применением защищенной от взлома печати.
Два месяца спустя антивирусная фирма Avast обнаружила, что ее дочерняя компания Piriform также была взломана, и что инструмент очистки компьютера Piriform CCleaner оказался фигурантом еще одной, гораздо более масштабной атаки цепочки поставок, которая скомпрометировала 700 000 компьютеров. Несмотря на запутанность слоев, Kaspersky обнаружил, что код этого «черного хода» близко соответствовал коду, используемому в случае NetSarang.
Затем, в январе 2019 года, Kaspersky обнаружил, что тайваньский производитель компьютеров Asus выпустил обновление программного обеспечения с аналогичной «черным ходом» для 600 000 своих компьютеров, по крайней мере, пять месяцев назад. Хотя в этом случае код выглядел по-другому, в нем использовалась уникальная функция хеширования, которая была сходна с атакой CCleaner, и вредоносный код был внедрен в аналогичное место в функциях времени выполнения программного обеспечения. «Есть бесконечные способы компрометации двоичного кода, но они придерживаются этого единственного метода», - говорит Камлук.
Когда Kaspersky сканировал компьютеры своих клиентов на наличие кода, похожего на атаку Asus, он обнаружил, что этот код совпадает с версиями видеоигр с резервным копированием, распространяемыми тремя разными компаниями, которые уже были обнаружены фирмой по безопасности ESET: игра-злоумышленник, по иронии судьбы называемая Infestation, корейский шутер под названием Point Blank, а третий Kaspersky и ESET отказываются называть. Все признаки указывают на то, что четыре различных раунда атак по цепочке поставок связаны с одними и теми же хакерами.
«С точки зрения масштаба, эта группа в настоящее время наиболее опытна в атаках по цепям поставок», - говорит Марк-Этьен Левейле, исследователь безопасности из ESET. «Мы никогда не видели ничего подобного раньше. Это страшно, потому что они контролируют очень большое количество компьютеров».
Почему взлом Barium не наносит большого урона?
Два слова: оперативная сдержанность.
Судя по всему, группа использует свою огромную сеть, чтобы шпионить только за небольшой частью компьютеров, которые она ставит под угрозу. В случае Asus хакеры отфильтровывали компьютеры, проверяя их MAC-адреса, стремясь охватить только около 600 компьютеров из 600 000, которые были скомпрометированы. В более раннем инциденте с CCleaner хакеры установили шпионское ПО «второй стадии» только на 40 компьютерах среди 700 000 зараженных.
В конечном счете, Barium нацелен на столь малое количество компьютеров, что в большинстве своих работ исследователи даже не получили в свое распоряжение окончательную версию вредоносного ПО. Только в случае с CCleaner Avast обнаружил свидетельство образца шпионского ПО третьей ступени, который действовал как кейлоггер и похититель паролей. Это указывает на то, что группа склонна к шпионажу, а ее строгий таргетинг предполагает, что это не киберпреступная операция, ориентированная на получение прибыли.
«По всей видимости, группа использует свою огромную сеть для шпионажа лишь для получения доступа к малой части компьютеров, которые она в итоге и атакует», - считает Wired.
Чтобы узнать о масштабах кибератак (которые составляют 1,5 триллиона долларов в год), ознакомьтесь с этой статьей Allinsurance.kz, в которой объясняется, почему специалисты по страхованию видят в киберугрозах наибольшую угрозу помимо терроризма, финансового кризиса или ущерба окружающей среде.
Подготовлено порталом Allinsurance.kz