Проукраинские киберпреступники успешно атаковали ИТ-инфраструктуру российской промышленной компании
Хакеры смогли отключить антивирусное ПО и зашифровать важные корпоративные системы, нанеся компании значительный ущерб. Эксперты указывают на растущую тенденцию к использованию сотрудников как точки входа для кибератак, что делает организации уязвимыми для злоумышленников.
Незакрытое окно Windows
Проукраинские киберпреступники нашли лазейку в защите Windows и вывели из строя ИТ-инфраструктуру российской промышленной компании. В результате атаки компания простаивала около недели и была вынуждена дополнительно тратить время и другие ресурсы на восстановление утраченной инфраструктуры. Взлом мог произойти из-за недостатка взаимодействия операционной системы с цифровыми подписями драйверов.
«К сожалению, подобный вектор атаки, когда доступ к инфраструктуре организации получен через подрядную организацию, начал активно набирать обороты несколько лет назад. На текущий момент я бы сказал, что это один из популярных и наиболее простых способ для злоумышленников проникнуть в сеть своей цели», – рассказал Константин Родин, руководитель отдела развития продуктов «АйТи Бастион».
Инцидент расследовали представители Solar 4RAYS ГК «Солар» в мае 2024 г. Они выяснили, что уязвимость позволила хакерам загрузить в сеть жертвы вредоносный драйвер, который отключил антивирусное ПО. Злоумышленники зашифровали ряд корпоративных систем и нанесли значимый ущерб компании.
Взлом осуществили через подрядчика. С его хоста злоумышленники подключились к протоколу RDP (протокол удаленного рабочего стола), и получили доступ к ряду важных систем. Предварительно, перед самой атакой, хакеры дальновидно отключили защитное ПО, для того чтобы их действия внутри сервера не смогли оперативно заметить и заблокировать.
Корни вида атаки
Подобной атаки компания Microsoft уже подвергалась в середине июня 2023 г., нападение тогда совершила китайская группировка кибершпионов Storm-0558. Они получили доступ к электронным почтовым системам 25 организаций. Данная атака стала одной из наиболее серьезных и разрушительных в сфере кибербезопасности, оказав значительное влияние на Microsoft и другие организации.
Один из наиболее серьезных результатов атаки Storm-0558 для Microsoft заключался в утечке исходного кода операционной системы Windows, что дало злоумышленникам возможность выявлять уязвимости и создавать вредоносное ПО, способное обходить защитные меры Microsoft.
Хакерам удалось заполучить клиентские ключи подписи для аккаунта Microsoft MSA и использовать их для атаки. Аналитики из Microsoft поначалу полагали, что злоумышленники украли легитимные токены AzureAD, но позже выяснилось, что они использовали артефакты авторизации Exchange Online. В результате глубокого анализа стало понятно, что злоумышленники подделывали токены Azure AD с помощью ключа подписи аккаунтов Microsoft.
Как удалось определить злоумышленников
В ходе расследования было определено, что в атаке участвовали проукраинские группировки. Интересно, что злоумышленники продемонстрировали низкую эффективность в доставке вредоносного кода, что может указывать на недостаток профессионализма. В условиях нарастающих киберугроз важно акцентировать внимание на уязвимостях, которые остаются наиболее распространенной целью кибератак.
Компании Solar удалось определить, что за двумя инцидентами стояли проукраинские группы. Этот вывод был основан на информации других публичных атак по комбинации использованных утилит, таких как Lockbit, Anydesk, gs-netcat, chisel, а также характерному наименованию утилит (kis.exe, kas.exe, mim.exe). Но привязывать эти атаки к каким-либо известным группировкам, опираясь на артефакты, еще рано. Можно только сказать что в целом тактики и техники, которые были обнаружены при расследовании атак схожи со стилем атак группировки Morbid Trickster (также известна как Morlock).
Следует отметить, что по данным Solar, после стремительного первоначального проникновения в инфраструктуру, злоумышленники «затормозили» во время доставки полезной нагрузки. Киберпреступнки пытались на протяжении 13 часов (70 раз) доставить на атакуемую систему вредоносный код. Это говорит либо о том, что у киберпреступников был невысокий уровень профессионализма, либо о том, что помимо группировки в атаках участвовали и другие злоумышленники. «Однако мы предполагаем, что они были созданы атакующими, не связанными с группировкой, которая в итоге зашифровала инфраструктуру, так как все найденные учетные записи были удалены спустя неделю после первой атаки», отмечают в Solar. Злоумышленниками были использованы утилиты: metasploit framework и эксплойт в нем для TeamCity (CVE-2024-27198); GitHub — для туннелирования; Anydesk — удаленное управления mimkatz — извлечение хэшей паролей из Windows систем; LAN Search — поиск информации в сети; Lockbit ВПО — шифрование.
По данным «Лаборатории Касперского», на первом месте по количеству атак стоят уязвимости в публично-почтовых и веб-серверах, серверах удаленного доступа и т.п. А на втором месте по количеству атак (29%) – использование учетных данных пользователей, скомпрометированных в том числе в результате атак методом перебора паролей.
Метод взлома
В ходе расследования выяснилось, что злоумышленники манипулируют временными метками сертификатов для запуска небезопасных драйверов, что позволяет им отключать системы безопасности и проводить атаки на инфраструктуры. Эксперты предупреждают о возрастании угрозы со стороны киберпреступников, которые стремятся не только к сбору данных, но и к разрушению инфраструктуры компаний.
Специалисты компании Solar 4RAYS выявили новые методы взлома серверов, использующие вредоносное ПО, способное обходить защитные решения Microsoft.
В течение многих лет известно об изъяне в продуктах Microsoft, который стал объектом атак злоумышленников. В 2022 г. компания внедрила обязательное использование цифровой подписи для программного обеспечения, имеющего доступ к ядру системы, включая драйвера. Получить эту подпись можно через специальный портал для разработчиков. Без необходимой подписи, Windows 10 с версии 1607 откажется запускать новые драйвера. Эта инициатива была принята для повышения безопасности и уменьшения шансов злоумышленников на создание вредоносных программ.
Тем не менее, для обеспечения совместимости со старыми драйверами Microsoft оставила несколько исключений. Одно из них позволяет использовать драйвера, подписанные сертификатом, выданным конкретной организацией, до 29 июля 2015 г. Именно это обстоятельство было использовано хакерами, которые манипулировали временными метками сертификата китайского производителя, «состарив» его, чтобы избежать подозрений операционной системы.
В ходе анализа атакованных серверов специалисты Solar 4RAYS нашли два образца вредоносного ПО: одно искало защитные решения, а другое отключало их из ядра. В результате расследования вредоносное ПО было удалено, а компании даны рекомендации по устранению уязвимостей.
«Подобная техника позволяет киберпреступникам отключить вообще любой софт, а не только антивирусное ПО, и беспрепятственно развить атаку в целевой инфраструктуре», – рассказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар». Такими методами атаки пользовались азиатские киберпреступники, но на сегодняшний день к ним подключились хакеры и из других регионов. Следует отметить, что в основном злоумышленники из Азии при взломе только собирали необходимые им данные, в случае же с хакерами из Восточной Европы, хакеры были нацелены именно на разрушение инфраструктуры.
Способы защиты
В условиях растущих киберугроз предприятиям необходимо пересмотреть свои подходы к безопасности информационных систем. Константин Родин из «АйТи БАСТИОН» подчеркивает важность защиты инфраструктуры от злоумышленников через подрядчиков, а также необходимость внедрения эффективных систем управления обновлениями и контролем доступа. Иван Сюхин из Solar 4RAYS добавляет, что регулярная проверка защитных решений и оценка компрометации могут значительно снизить риски и предотвратить серьезные последствия атак.
По мнению Родина, при выборе подобных систем одна из задач – это защита инфраструктуры от действий злоумышленника через подрядчика. Также он отметил, что пока нельзя сказать, является причиной произошедшего инцидента Microsoft или повсеместное использование Windows.
В данном случае, это скорее системная проблема, в частности она связана с необходимостью поддержки драйверов старого оборудования. «Конечно, при разборе любого инцидента требуется система управления обновлениями, особенно когда причиной тому было именно необновленное ПО. В данном случае для защиты системы от кибератак необходимо пересмотреть политику предоставления доступа внешних компаний и повышение контроля непосредственно за их сотрудниками, введя профильные системы, которые помогают отслеживать такой доступ и события в его рамках. Это позволит снизить уровень воздействия злоумышленников и наладить оперативное предотвращение развивающейся атаки», – рассказал Константин Родин.
Также он рекомендует компании отключить все неиспользуемые возможности операционных систем, которые могут быть причиной инцидента. И ввести для эффективности системы управление обновлениями и уязвимостями. «И тут речь не идет о том, чтобы устанавливать все обновления, что выходят, скорее речь об оценке применимости той или иной уязвимости в рамках инфраструктуры и применении соответствующего обновления. На сегодняшний день зачастую невозможно ставить все обновления без предварительной проверки их корректности, чистоты и дополнительного тестирования работоспособности систем в целом после обновления», – прокомментировал ситуацию Родин.
Кроме того, по его мнению, следует обратить внимание и на необходимость сбалансированного, но эффективного подхода к обеспечению безопасности, так даже при выводе из строя систем защиты на конечных станциях, службы ИТ и ИБ не должны полностью терять информацию об активности внутри инфраструктуры. «Необходимо использовать агентские и без агентские системы защиты, которые бы могли перекрывать хотя бы отчасти возможности друг друга – как несколько камер, которые контролируют работу друг друга и помогают перекрывать слепые зоны друг друга», – пояснил Константин Родин.
По мнению Ивана Сюхина, руководителя группы расследований инцидентов Solar 4RAYS ГК «Солар» для того, чтобы избежать негативные последствия взлома и вовремя «отловить» преступников, необходимо проверять работоспособность установленных в инфраструктуре защитных решений. «Если с какого-то ПО не идет телеметрия – это красный флаг и стоит проверить ПО на вирусы. Помимо этого стоит проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», – считает Иван Сюхин.