17.02.2017, 09:00

Kaspersky Lab расследует новую волну сложных кибератак

фото иллюстративное

ФОТО: Foto: SERGEI KARPUHHIN, REUTERS

Банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, стали жертвами ”незаметных” целевых атак, организаторы которых по своей тактике напоминают нашумевшие кибергруппировки Carbanak и GCMAN. Kaspersky Lab выяснила, что для проникновения в корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках.

Чаще всего атакующие применяют специализированное ПО для тестирования на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows, например, PowerShell.

На след новой неизвестной кибергруппировки эксперты Kaspersky Lab вышли в конце 2016 года, когда один из банков обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях. Как выяснили аналитики Kaspersky Lab, код Meterpreter был загружен PowerShell скриптами из реестра операционной системы напрямую в память. Именно это позволило программе оставаться незамеченной и свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка.

Расследование инцидента позволило экспертам Kaspersky Lab установить, что подобные атаки осуществлялись по всему миру, и группировка до сих пор остается активной. ”Упаковка” вредоносного кода в легитимные утилиты позволяет атакующим избегать детектирования методом ”белых списков” (когда в системе можно запускать только официальные программы проверенных производителей), а присутствие лишь в памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование.

”Стремление атакующих сделать свою активность максимально незаметной и избежать детектирования — проявление последней тенденции в развитии киберугроз. Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а также не замечаемые традиционными средствами защиты техники. Вот почему исследование системной памяти становится критически важным”, — поясняет Сергей Голованов, ведущий антивирусный эксперт Kaspersky Lab.

Детали этого расследования будут представлены Kaspersky Lab на международной конференции по кибербезопасности Security Analyst Summit, которая пройдет на острове Сен-Мартен со 2 по 6 апреля. Эксперты компании Сергей Голованов и Игорь Суменков расскажут о том, какие уникальные тактики помогли злоумышленникам получить доступ к деньгам атакованных организаций и обналичить их в банкоматах.

Kaspersky Lab

Kaspersky Lab — крупнейшая в мире частная компания, работающая в сфере информационной безопасности, и один из наиболее быстро развивающихся вендоров защитных решений. Компания входит в четверку ведущих мировых производителей решений для обеспечения IT-безопасности пользователей конечных устройств (IDC, 2014). С 1997 года Kaspersky Lab создает инновационные и эффективные защитные решения, и сервисы для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Kaspersky Lab — международная компания, работающая почти в 200 странах и территориях мира; ее технологии защищают более 400 миллионов пользователей по всему миру.

Оставить комментарий Читать комментарии