Толика артистизма: APT-бутик Poseidon

Направленные атаки заметно коммерциализируются, смещая акцент со сложности на эффективность затрат. Если комбинации социальной инженерии, подстройки широко доступных вредоносных программ и законных приложений хватает, зачем создавать что-то оригинальное и изысканное?

Тем не менее, остались ещё те, кто воспринимает каждую кибершпионскую операцию как очередной этап в достижении полного совершенства. А если учитывать долгую и успешную карьеру некоторых из них, они имеют все основания придерживаться собственного стиля работы.

Артистичные шантажисты

Кибершпионская группа Poseidon очень подходит под это описание. Она использует ультрасовременные штучные вредоносные программы, по меньшей мере, с 2005 года, и есть данные, которые позволяют предположить, что некоторые из них могли иметь прототипы ещё в 2001 году. Различные компоненты их наборов инструментов регулярно появлялись в поле зрения компаний безопасности, но не воспринимались как часть полной картины. На протяжении всего этого периода Poseidon тщательно отлаживали свои наборы инструментов для обеспечения лёгкого и незаметного проникновения и эффективного сбора данных в соответствии с требованиями тех, кто ими пользуется. За этот перфекционистский, мастерский подход вместе с известным увлечением группы греческой мифологией и их успешной операцией по компрометации системы морской спутниковой связи злоумышленники заработали прозвище «APT-бутик Посейдона».

Толика артистизма: APT-бутик #PoseidonAPT

Tweet

Если отбросить в сторону их артистическую утончённость, некоторые аспекты «бизнес-модели» преступников смотрятся весьма неприглядно. Маскируясь под ведущую «компанию кибербезопасности», они использовали собранные секреты, для того чтобы шантажировать своих жертв, заставляя их заключить с ними контракт на обеспечение ИТ-безопасности. При этом они либо продолжали незаконно присутствовать в «подопечной» системе, либо, решив задачу согласования договора, тайно возобновляли своё присутствие внутри периметра. Они известны обозначением одного элемента своего бизнес-цикла как «финансовое прогнозирование», намекающим на долгосрочную выгоду от своего длительного присутствия в системе. Благодаря акценту на системах на базе Windows и чрезвычайно развитым навыкам, теоретически они могли встраиваться в ИТ-системы жертвы на протяжении многих лет, оставаясь незамеченными.

Великое искусство требует жертв

Жертвами Poseidon, как правило, становились крупные предприятия, в основном, базирующиеся в Бразилии, США, Франции, Казахстане и России. Получилось довольно интересное языковое ограничение для систем на английском языке и бразильском варианте португальского: даже в странах с иными национальными языками предпочтительными мишенями становились ИТ-сети транснациональных корпораций, ведущих бизнес в соответствующих государствах и/или использующих такие раскладки клавиатуры. Сфера интересов злоумышленников охватывала энергетику и коммунальные услуги, производство, а также СМИ и PR. Последние две отрасли, очевидно, могли дать преступникам больше информации для использования против других будущих целей.

Жертвами Poseidon, как правило, становились крупные предприятия #PoseidonAPT

Tweet

Инструменты промысла

Для многих мастеров своего дела элегантность и простота не разделимы. Группа Poseidon, по-видимому, переняла этот принцип. Для первоначального проникновения они не используют эксплойты; только хорошо сработанные спиэрфишинговые письма, несущие файлы DOC/RTF с внедренными в них исполняемыми кодами — необычный подход на сегодняшний день. Для обхода существующих систем безопасности они часто подписывают эти двоичные файлы реальными сертификатами, выданными несуществующим компаниям или даже принадлежащими к действительно уважаемым и надёжным организациям. После успешного заражения первых жертв начинается сбор всевозможной информации об атакуемой инфраструктуре. Используя эту информацию и отменные навыки Windows-администратора, злоумышленники в дальнейшем могут действовать тайком, не провоцируя никаких тревожных сигналов, а их следующей целью становится получение прав администратора домена. На таком уровне доступа они могут вычистить большинство своих инструментов из сети, сохранив только значимые для своего постоянного присутствия и эксфильтрации данных.

Как уже упоминалось, в одной серии операций Poseidon использовал системы спутниковой связи судов для сокрытия местоположения своих командно-контрольных серверов (C&C) — механизм, сходный с тем, что взяли на вооружение операторы Turla. Однако никаких попыток повторить это достижение не зафиксировано.

Что можно сделать?

Несмотря на все старания Poseidon замаскироваться и замести следы, эксперты Центра глобальных исследований и анализа «Лаборатории Касперского» сумели по отдельным фрагментам собрать разрозненные данные в целостную картину. Тем не менее, группа Poseidon по-прежнему активна, что ставит вопрос о надлежащей защите.

Конечно, защита конечных точек необходима. В неё, как прописано в хорошо известных Стратегиях противодействия от Управления радиотехнической обороны Австралии (ASD), входят механизмы несигнатурного обнаружения, такие как эвристика и алгоритмы поведенческого детектирования. Обладающий всем этим Kaspersky Endpoint Protection для бизнеса основывается на тех же исчерпывающих разведданных безопасности, которые позволили нашим специалистам собрать в единое целое до того неразрешимую головоломку Poseidon. Kaspersky Endpoint Security для бизнеса также обеспечивает последующие проактивные слои безопасности, включая централизованный контроль, HIPS и встроенный сетевой экран. Все они подпитываются в режиме реального времени глобальной разведывательной информацией из Kaspersky Security Network. Эти слои возводят дополнительные барьеры на пути вредоносных программ, от блокирования попыток запуска до предотвращения доступа к критическим элементам системы и коммуникаций с серверами C&C.

Размах сбора информации группой Poseidon также подчёркивает преимущества шифрования данных во всей корпоративной инфраструктуре, закреплённого соответствующими политиками. Kaspersky Endpoint Security для бизнеса уровня Расширенный включает простую в использовании технологию шифрования, управляемую с той же консоли «всё-в-одном» Kaspersky Security Center, как и у всех элементов платформы. Конечно, из-за фишинговых писем как излюбленного метода проникновения большинства направленных атак сканирование трафика электронной почты на данный момент также имеет решающее значение. Kaspersky Security для почтовых серверов возводит ещё одну мощную защитную стену на пути злоумышленника.

В общем, портфель решений «Лаборатории Касперского» помогает реализовать 19 из 35 предложенных ASD стратегий противодействия, в том числе 3 из 4 приоритетных, которые предотвращают 85% инцидентов, связанных с направленными атаками. Но мы можем помочь, даже если вы используете решения другого вендора для защиты вашей инфраструктуры. Достижения «Лаборатории Касперского» как открывателей APT продемонстрировали, что присутствие даже такого осторожного и способного оператора APT, как Poseidon можно обнаружить. Вот для чего существует наш сервис Обнаружения целевых атак [1].

Секреты стоят дороже всего, когда продаются с пылу, с жару. Возможно, настала пора оградить вашу организацию от торговли жареным.

Подробнее об APT-бутике Посейдона читайте пост на Securelist.

Продукты «Лаборатории Касперского» обнаруживают вредоносные программы Poseidon со следующими вердиктами:

Backdoor.Win32.Nhopro

HEUR:Backdoor.Win32.Nhopro.gen

HEUR:Hacktool.Win32.Nhopro.gen

[1] Доступно только в ограниченном количестве регионов. Чтобы узнать о доступности в вашем регионе, пожалуйста, свяжитесь с менеджером «Лаборатории Касперского».