24 октября 2017
US-CERT сообщает об APT-атаке на объекты критической инфраструктуры
Центр реагирования на компьютерные инциденты США (US-CERT) опубликовал результаты совместного расследования специалистов Департамента Государственной Безопасности США (DHS) и Федерального Бюро Расследований (FBI). В публикации сообщается о целевой (APT) атаке на государственные объекты и предприятия энергетики, атомной энергетики, авиационной промышленности и других отраслей. Атакующих интересовали документы, относящиеся к технологическим процессам предприятий.
Данная APT-атака представляет собой многоэтапную кампанию по проникновению в хорошо защищенные системы и сети предприятий критической инфраструктуры. Атакующие тщательно выбирали свои жертвы и адаптировали сценарий атаки с учетом особенностей деятельности каждой компании. Согласно опубликованным данным, злоумышленники собирали информацию об атакуемых компаниях из открытых источников, например, веб-сайтов самих организаций, выбранных для атаки. В качестве основного вектора атак использовались фишинговые письма с вложениями, содержащими ссылки на веб-серверы, находящиеся под контролем атакующих.
Как правило, атаке сначала подвергались менее защищенные системы сторонних компаний, так или иначе связанные с организациями, которые представляли основной интерес для атакующих. После проникновения в IT-инфраструктуру сторонней компании атакующие использовали полученный доступ для сбора информации об интересующих их организациях, а также использовали доступную инфраструктуру компании для проведения атак на основные мишени атаки. В частности, полученные аккаунты использовались для аутентификации на сервисах удаленного доступа к корпоративной почте и отправки фишинговых писем от имени сотрудников компаний, а также для заражения веб сайтов атакованных компаний и использования их в атаках типа Watering Hole. Согласно данным US-CERT, тематика половины скомпрометированных корпоративных сайтов была так или иначе связана с АСУ ТП и объектами критической инфраструктуры.
Важно отметить, что тексты фишинговых писем и имена вложений подбирались с учетом специфики работы компании и сотрудника, на чью почту осуществлялась отправка письма. Например, были зафиксированы письма, текст которых, а также имена и содержимое вложений были замаскированы под передачу документации по контрактам, при этом упоминались индустриальное оборудование и протоколы. В других случаях текст писем содержал информацию о поиске работы на должности персонала по работе с системами АСУ ТП.
На различных этапах проведения атаки злоумышленники использовали технику запроса содержимого файла с удаленного сервера по протоколу SMB. Дело в том, что при передаче запроса на загрузку файла по протоколу SMB в числе различных данных операционная система Windows передает удаленному серверу имя пользователя и значение хеш-функции от пароля пользователя. Используя методики подбора пароля по значению хеш-функции злоумышленники получили доступ к аккаунтам атакованных пользователей.
Схожая техника использовалась и для сбора аутентификационных данных сотрудников компании при получении доступа к рабочим станциям. Проникнув в систему, злоумышленники размещали на компьютере ярлыки (lnk файлы), сформированные специальным образом. Функционал Windows позволяет производить загрузку иконки ярлыка не только по локальному пути, чем и воспользовались злоумышленники, разместив в данном поле ссылку для загрузки по протоколу SMB файла, находящегося на удаленном сервере. В этом случае пользователю достаточно зайти в директорию с подобным lnk-файлом, чтобы Windows выполнила попытку загрузки иконки и передала аутентификационные данные пользователя злоумышленникам.
После проникновения в систему злоумышленники загружали на зараженные машины набор утилит. Некоторые утилиты являются общедоступными и загружались из публичных источников. Атакующие использовали и различные скрипты. Один из обнаруженных скриптов создает в системе нового пользователя с правами администратора и открывает возможность для удаленного управления системой с учетной записи этого пользователя по протоколу RDP. Примечательно, что для добавления нового пользователя в группу администраторов системы, скрипт содержит названия данной группы на испанском, итальянском, немецком, французском и английском языках.
Среди приложений, которыми пользовались атакующие, были зафиксированы:
- Hydra – утилита для проведения атак на пароли различных протоколов аутентификации;
- SecretsDump – утилита для получения сохраненных и кешированных учетных записей Windows;
- CrackMapExec – утилита для проведения различных атак в системах под управлением ОС Windows.
В некоторых случаях зафиксировано использование приложения Forticlient в целях обеспечения удаленного VPN доступа к зараженной системе. На одной из систем было зафиксировано использование утилиты для скрытого снятия скриншотов содержимого экрана ScreenUtil.
US-CERT сообщает, что в настоящее время данная кампания продолжается.
US-CERT опубликовал индикаторы компрометации и ряд рекомендаций по обнаружению данной атаки.
Кроме того, опубликованы также YARA-правила. Однако экспертs отмечают, что эти правила содержат ошибки. Исправленную версию YARA-правил предлагает в своем блоге исследователь из CSS (Center for Security Studies at ETH Zurich) Флориан Роф (Florian Roth).
Источник: US-CERT