Вестник News
1 USD = 3.827 ₪ (-0.157)
1 EUR = 4.0822 ₪ (+0.164)
1 CAD = 2.8768 ₪ (+0.725)

25-10-2016 20:39 | Новости IT | Теги - Касперский, киберпреступники

Под ложным флагом: «Лаборатория Касперского» о том, как киберпреступники пытаются обмануть аналитиков


Организаторы целевых атак все чаще используют различные обманные техники, чтобы сбить аналитиков с верного следа. Злоумышленники нередко оставляют ложные временные и языковые метки, используют специфическое вредоносное ПО и прикрываются «фальшивым флагом» хакерских группировок, иногда даже несуществующих. Об этом эксперты «Лаборатории Касперского» рассказали на форуме Virus Bulletin, который проходил в американском Денвере с 5 по 7 октября.

Идентификация группировок, которые стоят за целевыми и АРТ-атаками, – вопрос, вызывающий большой интерес как у исследователей угроз, так и у жертв, пострадавших от этих атак. Однако выяснить, кем на самом деле являются злоумышленники, крайне сложно, а зачастую даже невозможно. В немалой степени этому способствуют сами атакующие, тщательно «заметающие» свои следы. На примере некоторых индикаторов атак эксперты «Лаборатории Касперского» объясняют, как они это делают.

Временные метки

Вредоносное ПО содержит временные метки, которые указывают на то, когда был создан код. Анализ этих данных помогает вычислить рабочее время злоумышленников и определить часовой пояс, в котором они работают. Однако этот метод нельзя назвать хоть сколько-нибудь надежным, поскольку временные метки легко заменить и подделать.

Языковые метки

Во вредоносных файлах имеются строчки, написанные на определенном языке или языках. Также они могут содержать имена пользователей и внутренние названия операций и кампаний. Казалось бы, сам факт наличия конкретного языка позволяет сделать определенные выводы. Однако ничто не мешает злоумышленникам манипулировать этими уликами и вводить исследователей в заблуждение. Например, во вредоносном ПО, использовавшемся в атаках Cloud Atlas, имелись строки на арабском языке (в версии для BlackBerry) и хинди (для Android). При этом аналитики склонны предполагать, что группировка имеет восточноевропейское происхождение.

Инфраструктура и серверы

Найти командно-контрольный сервер злоумышленников – все равно что узнать их домашний адрес. Сделать это можно, например, в том случае, если атакующие предприняли недостаточно мер для сокрытия интернет-соединений при отправке данных на сервер или при получении от него команд. Но иногда эти «просчеты» злоумышленники совершают намеренно – так, в той же операции Cloud Atlas с целью запутать аналитиков использовались южнокорейские IP-адреса.

Инструментарий: вредоносное ПО, коды, пароли, эксплойты

Несмотря на то, что все больше АРТ-группировок полагаются на уже готовое вредоносное ПО, значительная доля злоумышленников предпочитает создавать свои собственные инструменты: бэкдоры, программы слежения, эксплойты и т.п. Поэтому появление новых семейств зловредов позволяет исследователям заметить новых игроков на поле целевых атак. Однако и эту ситуацию атакующие могут использовать для прикрытия. Так, в ходе операции Turla злоумышленники столкнулись с тем, что загнали себя в угол внутри зараженной системы. И вместо того, чтобы в спешке начать сворачивать свое вредоносное ПО, они установили очень редкий зловред китайского происхождения, нити которого вели к серверам в Пекине, что не имело никакого отношения к Turla. В то время, пока аналитики распутывали этот ложный след, атакующие незаметно удалили свои программы и стерли все следы присутствия в системе.

Цели и жертвы

Иногда понять, кто стоит за атакой, помогает анализ ее жертв и целей. И злоумышленники прекрасно об этом знают. Именно поэтому они могут работать под ложным флагом, прикрываясь именем какой-либо хакерской группировки, необязательно даже реально существующей. Так, в атаках на Sony Pictures Entertainment в 2014 году группа Lazarus пыталась выдать себя за Guardians of Peace. А организаторы атак Sofacy делали все, чтобы их деятельность приписывали сразу нескольким хактивистам. Наконец, до сих пор еще не до конца изученная группировка TigerMilk подписывала свои бэкдоры тем же украденным сертификатом, которым ранее пользовались организаторы атак Stuxnet.

«Выяснение происхождения атаки – сложная задача, результаты которой всегда ненадежны и субъективны. А поскольку злоумышленники старательно манипулируют индикаторами атак и заметают следы, то о каких-либо конкретных выводах в плане атрибуции угрозы, на наш взгляд, говорить невозможно. Однако это обстоятельство вовсе не снижает ценность расследований кибератак – рядовые пользователи и специалисты по информационной безопасности должны знать, где и с какими именно угрозами они могут столкнуться и каковы будут их последствия. А мы, в свою очередь, должны предложить им надежную защиту. И в данном случае чем больше мы знаем о методах и целях атакующих, тем лучше мы будем распознавать и предотвращать угрозы», – отметил Брайан Бартоломью, антивирусный эксперт «Лаборатории Касперского».

Подробнее о том, какими обманными техниками пользуются организаторы целевых атак, читайте в аналитическом отчете «Лаборатории Касперского»: https://securelist.com/analysis/publications/76273/wave-your-false-flags.

Вестник Израиля / Вестник News
Версия для печати

    

Умнеющие атаки: «Лаборатория Касперского» о тенденциях развития DDoS-угрозы

Умнеющие атаки: «Лаборатория Касперского» о тенденциях развития DDoS-угрозыПо данным* «Лаборатории Касперского», в третьем квартале 2016 года от DDoS-атак пострадали веб-ресурсы в 67 странах мира. Абсолютное большинство их (97%) пришлось всего на три страны: Китай, США и Южную Корею. При этом Китаю «досталось» больше всех – 63% DDoS-атак были нацелены на ресурсы именно этого государства. На... Подробнее

HOT Mobile начинает предварительную продажу аппаратов iPhone 7 и iPhone 7 Plus

HOT Mobile начинает предварительную продажу аппаратов iPhone 7 и iPhone 7 PlusНОТ Mobile начинает предварительную продажу мобильных телефонов  iPhone 7 и iPhone 7 Plus. Только до презентации компания будет предлагать iPhone 7 32GB по специальной цене 3 649 шек. для тех, кто приобретет его на фирменном интернет-сайте по адресу www.hotmobile.co.il. НОТ Mobile заявляет, что все, купившие аппараты... Подробнее

Заклятый друг: «Лаборатория Касперского» выяснила, что без смартфонов работоспособность возрастает на 26%

Заклятый друг: «Лаборатория Касперского» выяснила, что без смартфонов работоспособность возрастает на 26%Смартфоны, несомненно, делают нашу жизнь удобнее, позволяя всегда оставаться на связи и решать важные задачи на ходу. Но, как это ни парадоксально, они на четверть снижают нашу продуктивность, если нужно сосредоточиться на работе непосредственно за рабочим столом – к такому заключению пришли эксперты из Вюрцбургского... Подробнее

Представлено новое поколение самого тонкого смартфона Samsung

Представлено новое поколение самого тонкого смартфона SamsungКомпания Samsung Electronics официально презентовала смартфон Galaxy A8 (2016). Он пришёл на смену модели Galaxy A8, анонсированной в середине 2015 года и являющейся на тот момент самым тонким смартфоном в ассортименте южнокорейского производителя. Новинка оказалась заметно толще предшественника. Samsung Galaxy A8... Подробнее

Киберпреступники учатся считывать отпечатки пальцев и рисунок радужки глаза: новая угроза для банкоматов

Киберпреступники учатся считывать отпечатки пальцев и рисунок радужки глаза: новая угроза для банкоматов«Лаборатория Касперского» обнаружила, что не только финансовые организации, но и мошенники готовятся к внедрению в банкоматы решений, основанных на распознавании биометрических данных. Зная о том, что банки считают такие технологии весьма перспективными и способными дополнить или даже заменить существующие методы... Подробнее

Чем еще «зарабатывали» авторы Lurk: «Лаборатория Касперского» раскрывает новые подробности громкого расследования

Чем еще «зарабатывали» авторы Lurk: «Лаборатория Касперского» раскрывает новые подробности громкого расследованияПродолжается расследование деятельности кибергруппировки Lurk, участники которой были задержаны при помощи «Лаборатории Касперского» в июне этого года по подозрению в хищении почти 3 миллиардов рублей со счетов пользователей в России. Выяснилось, что прибыль киберпреступникам приносила не только кража денег с помощью... Подробнее

Какие покемоны охотятся на пользователей: «Лаборатория Касперского» обнаружила зловред, прикрывающийся именем популярной игры

Какие покемоны охотятся на пользователей: «Лаборатория Касперского» обнаружила зловред, прикрывающийся именем популярной игры«Лаборатория Касперского» обнаружила в официальном магазине Google Play вредоносное приложение Guide for Pokémon Go, содержащего троянца, который заражает устройства Android и, приобретая права суперпользователя, получает над ними полный контроль. По оценкам экспертов компании, жертвами зловреда, эксплуатирующего... Подробнее

Всех обманул: «Лаборатория Касперского» нашла банковского троянца, который крадет деньги в обход защиты Android

Всех обманул: «Лаборатория Касперского» нашла банковского троянца, который крадет деньги в обход защиты Android«Лаборатория Касперского» обнаружила мобильного банковского троянца Trojan-Banker.AndroidOS.Gugi.c, который умеет обходить встроенную защиту от фишинга и программ-вымогателей в ОС Android 6. Речь идет о таких обязательных механизмах обеспечения безопасности, как запрос приложением разрешения на отображение своего окна... Подробнее

Владельцев Galaxy Note 7 предупредили об опасности их использования

Владельцев Galaxy Note 7 предупредили об опасности их использованияКомиссия по безопасности потребительских товаров США (CPSC) призвала владельцев Samsung Galaxy Note 7 отказаться от их использования, поскольку смартфоны представляют опасность из-за угрозы воспламенения батареи. Уведомление опубликовано в пятницу, 9 сентября, на сайте ведомства. Как отметили в комиссии, литий-ионные... Подробнее

«Лаборатория Касперского» о том, как злоумышленники тратят деньги владельцев Android-устройств на не нужные им программы из Google Play

«Лаборатория Касперского» о том, как злоумышленники тратят деньги владельцев Android-устройств на не нужные им программы из Google PlayВ последнее время «Лаборатория Касперского» наблюдает значительное увеличение числа троянцев, которые позволяют злоумышленникам скачивать, устанавливать и запускать приложения из магазина Google Play на Android-устройствах без ведома их владельцев. В результате таких действий жертвы несут прямой финансовый ущерб,... Подробнее

Троянцы-вымогатели и выборы в США — «Лаборатория Касперского» о тенденциях в спаме второго квартала

Троянцы-вымогатели и выборы в США — «Лаборатория Касперского» о тенденциях в спаме второго кварталаПо данным «Лаборатории Касперского», во втором квартале количество спам-рассылок с вложениями, содержащими программы-вымогатели, осталось крайне высоким. Тем не менее в период с 1 по 21 июня доля таких писем резко сократилась. Вероятно, это падение было связано с временным затишьем ботнета Necurs, с которого... Подробнее