Критическая инфраструктура является одной из любимых целей для сложных атак, выполняемых с помощью постоянных угроз повышенной сложности (APT, advanced persistent threat). Что делает эти APT действительно опасными, так это то, что их атаки никогда не являются случайными, а всегда имеют строго определенную цель. Если такой «продвинутой» кибер-атаке удалось бы парализовать систему водоснабжения или прервать работу крупной больницы, тогда можно говорить о том, что APT достигла бы своей цели: ослабить «вражескую» страну.
Новая угроза: LYCEUM
В июле мы видели новый пример этой активности против критической инфраструктуры, когда APT под названием XENOTIME, который был известен своими атаками на нефтяные компании Ближнего Востока, начал получать доступ к сетям электрических компаний в США.
Теперь же был обнаружен новый APT под названием LYCEUM, который компрометирует нефтегазовые компании на Ближнем Востоке. По словам исследователей из Dell SecureWorks, преступная кибер-группа может быть активна с апреля 2018 года. Регистрации доменов свидетельствуют о том, что LYCEUM выполнял в прошлом году атаки в Южной Африке, возможно, против компаний телекоммуникационного сектора. По всей видимости, основное внимание группы уделялось получению и расширению доступа внутри сети, на которую была направлена атака.
Широкий набор тактик
Чтобы получить доступ к аккаунтам компании, злоумышленники с LYCEUM используют тактику под названием password spraying . В этом случае они используют список наиболее распространенных паролей, чтобы попытаться получить доступ к большому числу аккаунтов в рамках атаки типа brute force (подбор паролей). Как только аккаунт был скомпрометирован, группа использует его для выполнения атаки спеарфишинга (целевого фишинга) внутри компании, прикрепляя к письмам вредоносные файлы Excel.
Одной из примечательных характеристик данной кампании является чувство иронии у злоумышленников. Многие из писем использовали темы, которые были связаны с лучшими практиками безопасности. Например, одно электронное письмо содержало вредоносное вложение под названием «The 25 worst passwords of 2017» («25 худших паролей 2017 года»).
Когда пользователь нажимал на вложенный файл Excel, то на его ПК внедрялся зловред под названием DanBot. DanBot – это троян удаленного доступа (remote access Trojan, RAT), который может использоваться для выполнения произвольных команд, а также для загрузки и скачивания файлов. Другая утилита, которая использовалась угрозой LYCEUM, называется kl . ps – это донастроенный кейлоггер.
Происхождение LYCEUM
Несмотря на собранную информацию, исследователи, похоже, не могут пока определить точное происхождение LYCEUM. Однако они видели тактики, аналогичные тем, что были использованы данной преступной кибер-группой. Рейф Риллинг из SecureWorks поясняет: «Было интересно обнаружить новую группу со стилем, который наблюдался у известных иранских преступных кибер-групп, но в остальном не имеющую каких-либо отличительных технических характеристик, которые позволяли бы связать ее с любой ранее задокументированной активностью».
Как защититься от этой угрозой
Злоумышленники, пробирающиеся в любую компанию или организацию, являются серьезной проблемой. Но когда эти организации контролируют что-то столь важное, как энергетика страны, то защита от таких угроз становится крайне важным мероприятием.
Использование техники, подобной password spraying, высвечивает всю важность использования надежных паролей. Никогда нельзя использовать в качестве пароля такие очевидные комбинации как qwerty или 1234. Также важно никогда не использовать одинаковый пароль для различных аккаунтов: если пароль используется на нескольких сервисах, то нарушение данных может выявлять регистрационные данные, которые затем могут использоваться при атаках типа credential stuffing.
Использование вредоносных вложений в данной кампании служит напоминанием о важности осторожного обращения с файлами, которые мы получаем по электронной почте. В случае с LYCEUM это особенно актуально, поскольку при использовании спеарфишинга кажется, что электронные письма поступают, например, от коллег по работе. Сотрудникам следует задаться вопросом, действительно ли коллега, который якобы отправил вам это письмо, стал бы в него вкладывать подобное вложение.
Другой важный элемент для защиты от этих угроз – это современные решения безопасности с опциями расширенной защиты. Panda Adaptive Defense осуществляет непрерывный мониторинг всех запущенных процессов в ИТ-системах. Он останавливает любой подозрительный процесс перед его запуском. Это означает, что даже если в электронном письме вложен вредоносный файл, он не сможет подвергнуть риску всю вашу компанию.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.