День Незалежності: чи чекати нових кібератак
У міру наближення чергового свята – в кожній, навіть найневиннішній "кібер-події" експерти вбачають передумови для чогось значного, що зобов'язаного статися напередодні або під час майбутнього Дня Незалежності, а іноземні ЗМІ встигають перевершити вітчизняні, перекладаючи нерелевантну інформацію на іноземні мови.
Організації не знають, що робити з цим ризиком (поки опустимо питання – а чи існує він?) – хтось, на період свят, вводить нові системи оповіщення та маркування електронних повідомлень, а хтось – взагалі розглядає не просто варіант відключення "Інтернету", а навіть можливість припинення функціонування деяких "бойових" інформаційних систем, переконуючи бізнес в необхідності останнього.
Як результат – панічні настрої, планування не зовсім адекватних превентивних заходів, причиною чого є відсутність у українського бізнесу (та й взагалі - власників і розпорядників інформаційних систем і комп'ютерних мереж) уявлення про актуальні загрози і неможливість оцінки пов'язаних зі сферою "кібер" – ризиків.
Здавалося б – остання "гучна" атака сталася 27.06.2017, майже два місяці тому, а її наслідки продовжують позначатися, надаючи нав'язливий психологічний тиск і змушуючи метушитися всіх. "Раніше такого не було" і цю особливість можна сміливо вважати новою складовою кібератаки за частиною інформаційно-психологічного впливу.
В принципі те, що відбувається, як і все, що не робиться – на краще. Разом з тим, щоб не зайти надто далеко, вводячи чергові обмеження для "доступу в Інтернет" на періоди, ймовірність здійснення атак в які, як вважається, вище, ніж зазвичай, варто взяти на озброєння оцінку ризиків від кіберзагроз, забезпечивши організацію потоком відповідної інформації (так звана розвідка кіберзагроз або "threat intelligence"). В даному випадку винаходити велосипед не потрібно – згаданий процес і його необхідність описаний, як мінімум, в таких документах:
- ISO27005 діє до: 2013 (п. 8.2);
- NIST Special Publication 800-39 (п. 3.2);
- ISO27001 діє до: 2013 (п. 6.1.2);
- НД ТЗІ (правда, в частині одноразової оцінки ризиків та складання моделі порушника на етапі побудови КСЗІ, вибору КСЗ і т.п.).
На сьогоднішній день вже кілька як державних, так і приватних організацій, експертів, а також ЗМІ (які поспішили надати інформацію публічності) "проінформували" громадськість (цілу країну, яка перебуває в стані високої чутливості) про ряд кібер-подій, що сталися за останній тиждень, які можуть мати відношення або навіть є підготовчим етапом (!) до масштабних кібер-вторгнень в ту частину планети Земля, де розташована Україна, приурочених до Дня Незалежності. Цілком закономірно, що психологічний тиск посилився і споживачі інформації, не маючи можливість оцінити її релевантність (наприклад, шляхом порівняння), почали ще сильніше закручувати гайки в підвідомчих їм комп'ютерних господарствах. На жаль, все не зовсім так. І, більш того, це вже доводить, що для адекватної оцінки ризиків потрібен якісний (!) потік "розвідданих" про кібер-загрози, так як безконтекстні нариси роблять складну ситуацію ще заплутанішою.
Давайте розбиратися. Відразу обмовимося – дана стаття не претендує на повноцінний опис загрози – ні, це лише частина інформації, яка надається публічності, щоб тим, хто перебуває насторожі, було простіше розуміти звідки варто очікувати удару, а звідки – ні.
Разом, за станом на кінець дня 22.08.2017 в фейсбучно-новинному просторі накопичилося аж дві "загрози-передвісниці" глобального злому.
Загроза №1 10.08.2017
Український регулятор сповістив підвідомчі організації про шкідливу розсилку, уразливість CVE-2015-2545, надав індикатори. ЗМІ поспішили приурочити подію до можливого злому в День Незалежності.
Що насправді? Насправді 10.08.2017 здійснена 4-а за рахунком (і вже давно не остання) масова розсилка електронних листів, що містять шкідливе вкладення у вигляді DOCX-документа (експлойт для MS Office пов'язаний з уразливістю при обробці файлів EPS; ідентифікатор CVE-2017- 0262). У разі, якщо продукти MS Office не оновлювалися з 09.05.2017, існує ймовірність спрацювання експлойта і зараження атакованого об'єкта шкідливою програмою-завантажувачем, який ми досліджуємо як "TrueBot". Імовірність ця велика, так як на момент розсилки шкідливий файл коректно не детектувався жодним із представлених на VirusTotal антивірусів.
Розсилка націлена виключно на банківські організації Росії, України і Казахстану. Вперше згадана шкідлива програма-завантажувач була застосована 19 квітня 2017 року, вектор спрямованості атаки не змінювався (на той момент використовувався експлойт для уразливості CVE-2017-0199).
Ця загроза не має відношення до приписуваних Дню Незалежності можливих кібер-подій і відноситься до розряду "financially motivated cybercrime" з прицілом на банки (тобто атакуючі планують отримати фінансову вигоду, зламавши банк).
Так як співробітники регулятора надали вичерпні мережеві індикатори компрометації, дублювати інформацію не будемо.
Загроза №2 22.08.2017
Деякі експерти на своїх сторінках в Фейсбукe, а також деякі комерційні організації, повідомили про нові масові розсилання і побачили в описуваній активності підготовку плацдарму до кібер-вторгнення.
Що насправді? Насправді, 22.08.2017 вже в N-сотий раз група зловмисників, що спеціалізується на розкраданнях грошових коштів в системах "клієнт-банк", здійснила масову розсилку електронних листів, що містять вкладення-архів, в якому знаходилося кілька документів-приманок і шкідливий JS -завантажувач. Зазначений завантажувач забезпечить завантаження і запуск шкідливої програми SmokeLoader, який, в свою чергу, забезпечить завантаження на атакований об'єкт шкідливої програми ZeuS VM/KINS. За допомогою цієї програми і ряду інших додатково завантажуваних інструментів, зловмисники вивчать роботу бухгалтера, скомпрометують аутентифікаційні дані, ключову інформацію та здійснять розкрадання грошових коштів з рахунку підприємства, перевівши їх несанкціонованим платежем на рахунок підставного підприємства. Потім, в обумовлений час певні люди прийдуть в одне з відділень банку країни і заберуть вкрадену суму, заздалегідь підготовлену і перекладену в готівку. На просторах того ж Фейсбуку постраждалі від цієї загрози люди в деталях описували ситуацію.
Дана загроза досліджується нами з 2013 року. Вона актуальна для всіх українських підприємств, на комп'ютерах бухгалтерів яких, крім Windows XP, Minecraft і 1С, встановлений "клієнт-банк" (до 2014 року в якості об'єктів атаки були клієнти банків Росії, Казахстану). Використовувана зловмисниками тактика не змінюється вже кілька місяців (в т.ч., в частині злому легітимного веб-ресурсу для поширення з нього шкідливої програми). Остання фаза активності цієї групи почалася після літніх відпусток 10.08.2017.
Нижче на рис. 3-4 коротка інформація про суми спроб (!) несанкціонованих платежів (НСП), здійснених цією групою в першому кварталі 2017 роки (дана інформація висвітлювалася нами на засіданні ФБРіК , проведеному ЕМА).
Як і раніше, ця загроза не має ніякого відношення до приписуваних Дню Незалежності можливих кібер-подій і також відноситься до розряду "financially motivated cybercrime" з прицілом на клієнтів українських банків.
Релевантна інформація про індикатори цієї атаки знаходиться на сторінці CERT-UA.
Відповідаючи на головне питання "бути чи не бути" кібератаці, відзначимо, що на даний момент передумови, які свідчать про підготовку кібер-вторгнення, нам не відомі. Ми схильні вважати, що свята, принаймі, для сфери "кібер", пройдуть спокійно (не без "нових" "хвиль" "атак", звичайно ж). Принаймі, очікувати "удару" з боку двох описаних вище загроз не варто.
Рекомендуємо звернути увагу на необхідність забезпечення організації/бізнесу надійним потоком (а краще - кількома) інформації про кіберзагрози. Ще раз відзначимо, що в даній статті описані лише ті загрози, які помилково асоціюють з Днем Незалежності.
