Год открытий

Удел хорошего рассказчика — углубляться в неизведанное. Покидать нашу зону комфорта и исследовать миры, которые часто труднодоступны, преодолевая испытания и препятствия на своём пути. Его задача: достичь конечного пункта назначения, который, зачастую, тоже бывает неизвестен.

В 2018 году исследователи из Check Point посвятили себя изучению неизвестных уголков киберпространства и того, что там скрывается. В этом посте мы оглядываемся назад на сделанные ими открытия, которые будучи интересными сами по себе, также являются одной из движущих сил, обеспечивающих нашим клиентам защиту от сегодняшних киберугроз.

Вхождение в Тёмный Веб

Понятно, что спокойная жизнь закончилась, если в онлайн-чатах обсуждаются способы реализации кибератак. Однако оказалось, что киберпреступники выносят своё общение за пределы этих, более традиционных форумов. С помощью мобильных приложений для обмена шифрованными и анонимными сообщениями, таких как Telegram, они могут искать и нанимать хакеров для проведения своих атак, покупать и продавать продукты и услуги тем, кто больше заплатит.

При столь низком входном барьере, желающим стать киберпреступником несложно вступить в игру. Обнаружение продвинутого набора Phishing Kit в апреле прошлого года показало, насколько просто и дешево можно приобрести эти готовые продукты и, с минимальными техническими знаниями, быстро приступить к выманиванию у потребителей данных их кредитных карт.

Однако, если исследователи безопасности изучают тёмное «подбрюшье» Интернета и публикуют свои выводы для пользы других, эта же прозрачность означает, что преступники также ищут возможности улучшения своих методов и обновления своего вредоносного ПО в режиме реального времени. Пример этого криминального мышления продемонстрировало развитие GandCrab, доказавшее, что в современном мире даже ransomware является гибким.

Освоение новых территорий

В августе исследователи Check Point представили миру новый вектор атак, рассказав, как можно атаковать всю ИТ-сеть организации, используя всего лишь номер факса. С учётом того, что во всём мире по-прежнему используются сотни тысяч факсимильных аппаратов, это открытие вызвало глубокую обеспокоенность. Настолько глубокую, что крупнейший в Великобритании покупатель факсимильных аппаратов, NHS, планирует запретить их в будущем из-за этого открытия.

Полным ходом использовались также фейковые новости, и положение отнюдь не улучшила новая уязвимость в популярном мобильном приложении для обмена сообщениями, WhatsApp. Баг, названный «FakesApp», позволил преступникам перехватывать сообщения и манипулировать ими для создания и распространения дезинформации.

Весьма поучительным стало исследование раскрывшее многим глаза на уязвимость облачной инфраструктуры DJI, ведущего мирового производителя дронов. Благодаря недоработке в процессе идентификации пользователя злоумышленник мог получать доступ к полётным журналам, к трансляции с камер в реальном времени и к отснятым в полёте фото- и видеоматериалам.

Мобильные странствия

Прошлогодний экскурс в угрозы для мобильных устройств начался, когда более 60 поддельных детских приложений были загружены с официального ресурса Google Play Store, что привело к семи миллионам случаев заражения вредоносным ПО «AdultSwine». Несмотря на усилия Google по обеспечению безопасности своего магазина, вредоносной программе также удалось избежать обнаружения, замаскировавшись в 22 приложениях для фонарика: ничего не подозревающие жертвы загрузили его почти 7,5 миллионов раз.

Уязвимости были обнаружены и в самом мобильном оборудовании, в частности, в процедуре обновления клавиатуры мобильных устройств LG. Это история о том, как производители создают устройства для повседневного использования, показала, насколько осторожны должны быть организации, разрешая сотрудникам выполнять служебные функции со своих смартфонов.

Аналогичным образом, наше исследование атак Man-in-the-Disk предупредило разработчиков приложений об опасностях, которые кроются в том, как они используют хранилище External Storage — общий ресурс для всех приложений, на который не распространяется защита встроенной «песочницы» системы Android.

Добыча золота

Пути к новым открытиям в 2018 году были также усыпаны атаками на серверы и конечные точки организаций, часто с помощью криптовзломщиков. Если ransomware ранее приносило киберпреступникам быструю прибыль путём разбойного нападения, то криптовзлом обеспечивал им долгосрочный источник дохода благодаря более скрытным проникновениям. Так, менее чем за 24 часа в январе прошлого года вредоносное ПО RubyMiner попыталось заразить около 30% сетей по всему миру.

Поэтому не стало сюрпризом и когда, месяцем позже, наши исследователи натолкнулись на одну из крупнейших из когда-либо виденных операций вредоносного майнинга, в рамках кампании JenkinsMiner, нацеленной на Jenkins — ведущий сервер автоматизации с открытым исходным кодом.

С течением времени, в ходе нашего исследования KingMiner стало очевидно, что криптовзломщики продолжают развиваются. Оперативно вышли две улучшенные версии KingMiner, в которых злоумышленник использовал различные способы обхода методов эмуляции и обнаружения.

Уклонение от злобного взгляда государственного шпионажа Но наши путешествия, показали, что не только киберпреступники извлекали выгоду из злонамеренного использования новых технологий. Государственные и негосударственные хакеры занимались манипуляциями с конечными пользователями в целях шпионажа. Те, кто стоял за кампанией Domestic Kitten, побуждали свои жертвы загружать приложения, заражённые шпионским ПО, для получения конфиденциальной информации о них, такой как журнал звонков, SMS, данные о местоположении, фотоснимки и пр.

Негосударственные злоумышленники также были пойманы на шпионаже под прикрытием чемпионата World Cup, попытках заставить объекты атаки нажать на фишинговые ссылки и загрузить поддельное мобильное приложение для планирования игр. Вредоносные компоненты внутри него обеспечивали возможность сбора SMS, телефонных контактов, голосовых записей, фотографий и многого другого. Эта атака послужила хорошим примером того, как преступники используют крупные события, чтобы завлекать потенциальные жертвы и прятаться среди десятков нормальных приложений, связанных с этими мероприятиями.

И, наконец, достигнув одного из самых неизведанных уголков мира, Северной Кореи, наши бесстрашные исследователи смогли углублённо изучить SiliVaccine, собственное антивирусное решение этого Закрытого Королевства. Одним из нескольких интересных открытий стало, что ключевой компонент SiliVaccine представляет собой копию механизма обнаружения вирусов фирмы TrendMicro. Любопытно, что SiliVaccine также позволяло одному конкретному вредоносному ПО походить сквозь свою защиту. Поскольку Северная Корея известна тем, что она контролирует иностранных журналистов и собственных диссидентов, это, по меньшей мере, должно вызвать удивление.

Заключение

Как и все большие приключения, прошлогоднее исследование киберпространства поставило перед нашей командой по изучению угроз некоторые серьёзные проблемы и препятствия. В наступившем 2019 году, Check Point Research, несомненно, расскажет о многих других встретившихся ей типах вредоносных программ, уязвимостей и эксплойтов.

Ландшафт киберугроз развивается и превращается в неизведанные территории, но можете быть уверены, что наша команда будет там, чтобы принимать вызовы и учиться на них. Встречая препятствия и преодолевая их, мы будем вновь возвращаться с новыми знаниями, которые сделают сильнее не только нас, но и организации, которые мы защищаем.