`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

ESET: злоумышленники нацелены на энерго-инфраструктуру Украины

+33
голоса

Состоявшаяся 11 октября в Братиславе конференция компании ESET собрала представителей прессы со всех континентов. В ее рамках было заявлено о выявлении скоординированности атак на инфраструктурные объекты Украины и Польши.

Вступительный доклад на конференции был посвящен истории ESET и ее достижениям: PR-менеджер компании в регионе EMEA Бранислав Ондрашик (Branislav Ondrášik) напомнил, что все началось в 1987 году, когда два компьютерных энтузиаста Петер Пашко (Peter Paško) и Мирослав Трнка (Miroslav Trnka) обнаружили вирус «Vienna». А формально ESET была образована в 1992 г и с тех пор из стартапа, основанного тремя учредителями, выросла до глобальной структуры со штатом около 1600 сотрудников. Примерно половина из них размещается в штаб-квартире в Братиславе. В ближайших планах ESET — строительство собственного кампуса, на создание которого планируется выделить около 100 млн евро.

 злоумышленники нацелены на энерго-инфраструктуру Украины

Агент LoJax, хранящийся в энергонезависимой памяти UEFI, содержал текстовое поле, которое было использовано для взлома

В настоящее время решения ESET защищают свыше 600 млн пользователей по всему миру. А ее оборот за 2017 год приблизился к 500 млн евро. Что же касается технологических достижений компании, то среди них стоит отметить опубликованное накануне конференции сообщение об обнаружении специалистами ESET первой реальной атаки с использованием UEFI-руткита. А на самом мероприятии подробно рассказали о выявлении скоординированного характера взломов объектов энерго-инфраструктур Украины и Польши. Поскольку новости об этом уже опубликованы, остановимся на них коротко, дополнив подробностями из докладов экспертов ESET.

Про обнаружение UEFI-руткита рассказал Алексис Дораис-Йонкас (Alexis Dorais-Joncas). Свое обозначение LoJax этот руткит получил по названию легальной программы от известного производителя Absolute Software. Изначальным предназначением ПО было выявление местонахождения ноутбука в случае его потери или кражи. Поэтому агент прописывался в энерго-независимую память UEFI. Однако в реализации этого кода была допущена грубая ошибка: адрес удаленного сервера, с которым связывался агент, был записан в текстовом формате без какого-либо шифрования. Это позволило злоумышленникам из АРТ-группы Sednit перенаправить этот запрос на свой сервер. При этом в образованный back-door на ноутбук загружался вредоносный компонент. А он загружал DLL-компоненты в svchost, а затем в Internet Explorer, что затем позволяло установить полноценный агент, управляемый из удаленного центра.

 злоумышленники нацелены на энерго-инфраструктуру Украины

В презентации, посвященной взлому энерго-объекта в Украине, была использована видеозапись происходящего в центре управления

Примечательно, что впервые возможность взлома агента Absolute Software была заявлена еще в 2009 году на конференции Black Hat USA. Однако производитель не предпринял никаких мер по ликвидации на тот момент лишь потенциальной угрозы. И в результате она стала реальностью. По сообщению ESET, именно ее UEFI Scanner впервые выявил взлом с применением этого «черного хода» в реальных условиях. Оказалось, содержимое энергонезависимой микросхемы было перезаписано с внесением откорректированного кода в ПО агента LoJax, который стал выполнять функцию «двойного агента». Бороться с подобным инфицированием системы можно, только если перезаписать в UEFI фабричную прошивку. Никакая переустановка операционной системы не поможет, так как руткит вновь загрузится.

По словам представителя ESET, управляет руткитом командный центр группы Sednit. В ESET отмечали ее активность на протяжении последних пяти лет, причем нацелена она преимущественно на страны Восточной Европы, особенно на государственные органы.

А слушая следующий доклад, посвященный взломам промышленных и энергетических предприятий, временами казалось, что идет трансляция с переднего края вооруженного противостояния. Достаточно было заменить фразу «аварийное отключение» на «прямое попадание». Поскольку последствия этих инцидентов вполне сравнимы. Эксперты ESET Роберт Липовски (Robert Lipovsky) и Антон Черепанов проследили историю взломов энерго-объектов Украины, которая началась с декабря 2015 г, когда из-за атаки группы BlackEnergy произошло первое аварийное отключение энергоэнергии. А в 2016 г к таким же последствиям привела атака с использованием вредоноса Industroyer. При анализе кода этого ПО выяснилась схожесть его структуры, что позволило говорить о преемственности группы TeleBots, которой принадлежит авторство Industroyer, по отношению к BlackEnergy. Последующие атаки на промышленные и коммерческие предприятия Украины, выполненные уже GrayEnergy, также были выполнены с помощью вредоносного программного обеспечения со схожей модульной структурой. Поэтому в ESET был сделан вывод о том, что все эти активности исходят из единого центра.

 злоумышленники нацелены на энерго-инфраструктуру Украины

Эксперты ESET сделали выводы о связи APT-групп BlackEnergy и TeleBots на основе анализа структуры кода зловреда

Что в этом рассказе удивило больше всего, так это наличие в данном вредоносном ПО легальных сертификатов, которыми были подписаны его модули. Судя по всему, эти сертификаты были выкрадены у компании Advantech, которая занимается выпуском решений для сферы IoT. Аналитики ESET сделали вывод, что главной целью взлома являются не сами промышленные устройства, а рабочие станции, на которых развернуто программное обеспечение для управления. Поэтому можно ожидать новых атак с весьма губительными последствиями, причем злоумышленники нацелены, прежде всего, на объекты энергетики в Украине и Польше.

Если на страже безопасности в корпоративных ИТ-системах стоят профессионалы, которые по долгу своей профессии должны разбираться в существующей проблематике, но все равно допускают оплошности, что уж говорить про домашних пользователей. Согласитесь, сегодня домашние сети по своей наполненности подключенными устройствами подобны небольшим офисам. В квартирах появляется все больше постоянно подключенных вычислительных платформ, которые теперь стали относить к категории IoT. Вот только всегда ли в них на должном уровне реализована защита? В выступлении эксперта ESET Ивана Бешины (Ivan Bešina) было продемонстрировано насколько проблемных решений, в одном из которых вся передача служебной информации идет в незашифрованном виде, а другом оно хотя и зашифровано, но для этого использован слишком простой алгоритм, не представляющий проблем для взлома. Грешат разработчики подобных решений и прочими упущениями, с которыми обычные пользователи вряд ли смогут справиться самостоятельно. Поэтому ESET предлагает в составе своей платформы безопасности модуль Connected Home Monitor, позволяющий отслеживать состояние подключенных к домашней сети умных устройств и выдавать рекомендации по замеченным в каждом из них проблемам с должной организацией функций безопасности.

 злоумышленники нацелены на энерго-инфраструктуру Украины

Коллекция IoT-устройств, в которых выявлены проблемы с защитой

На проблематике безопасности корпоративных ИТ-систем остановился в своем выступлении эксперт ESET Михал Янкеш (Michal Jankech). Он сообщил, что в рамках проведенного компанией опроса ИТ-директоров компаний различной специализации из ряда стран Европы и США, выяснялось, какие вызовы стоят перед ними в части информационной безопасности. Среди наиболее актуальных задач — борьба с вымогателями, отражение нацеленных атак, разношерстный состав клиентских устройств, некорректность поведения пользователей и недостаток квалифицированных специалистов в ИТ-подразделении. И компания ESET при создании своей платформы безопасности отталкивалась от этих данных. Поэтому в ее составе появились соответствующие модули: Dynamic Threat Defense призван остановить вымогателя еще при его проникновении в ИТ-инфраструктуру, Ransomware Shield нацелен на анализ контента на основе изучения поведения с блокированием работы зловредного ПО, а Enterprise Inspector выявляет вымогателя уже после атаки с фиксированием всех выполненных изменений с учетом их авторства.

Задача выявления нацеленного взлома сродни поиску иголки в стоге сена, поэтому в ее решении задействуется широкий спектр решений производителя, которые объединены в Dynamic ESET Threat Defense. Среди интересных особенностей этого решения стоит отметить ESET Advanced Cloud Sandbox — облачную песочницу, анализ в которой выполняется с помощью технологии машинного обучения.

В практически каждом предприятии ИТ-специалистам приходится ломать голову над интеграцией в инфраструктуру ноутбуков на платформе Mac. Да и все более широкое распространение в последнее время получили Linux-системы, особенно в применении к ICS (SCADA). Как сообщил выступающий, решение ESET ESMC позволяет организовать полноценный учет всех имеющихся на предприятии программных и аппаратных платформ с широкими возможностями фильтрации.

 злоумышленники нацелены на энерго-инфраструктуру Украины

Ричард Марко считает, что только неустанные исследования помогают ESET уверенно развиваться на протяжении 30 лет

Решение ESET Enterprise inspector поддерживает функциональность отслеживания поведения пользователей. А недостаток кадров ESET предлагает восполнять предоставляемыми компанией сервисами по разворачиванию, а также широкими возможностями ее платформы безопасности, в автоматическом режиме отслеживающей все происходящее в сети предприятия.

Подводя итог программы выступлений экспертов ESET, исполнительный директор компании Ричард Марко (Richard Marko) отметил, что ее успех базируется исключительно на постоянно ведущихся исследованиях. В последнее время взломщики начали активно применять технологии машинного обучения, поэтому современная платформа ИТ-безопасности просто не может обойтись без использования искусственного интеллекта. Выявленные экспертами ESET проникновения хакеров из GreyEnergy в ИТ-инфраструктуры энергообъектов в Украине и Польше свидетельствуют о серьезном уровне злоумышленников. Поэтому на этом примере стоит учиться специалистам по безопасности во всем мире, так как преступность не знает границ. А сама ESET продолжает развивать свои инструменты, чтобы обеспечивать их эффективность в борьбе с постоянно возникающими угрозами.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT