Кіберзлочинці Архіви - Блог Грідінсофт

LitterDrifter – російський USB-хробак, націлений на українські організації

USB-хробак LitterDrifter тісно пов’язаний із сумнозвісною групою “Gamaredon”, яка походить з Росії. Він націлений на українські організації. Це ще один інструмент у арсеналі російсього державного кібершпигунства. Це не лише демонструє адаптивність та інноваційність “Гамаредона”, але й піднімає питання про потенційні геополітичні наслідки цієї новітньої кіберзброї.

Хто такі Gamaredon?

Служба безпеки України (СБУ) пов’язала співробітників “Гамаредона” з Федеральною службою безпеки Росії (ФСБ), що додає діяльності групи геополітичного характеру. ФСБ, відповідальна за контррозвідку, боротьбу з тероризмом і військовий контроль, проливає світло на стратегічний і спонсорований державою характер операцій “Гамаредона”. Незважаючи на постійно змінний характер цілей, інфраструктура Gamaredon демонструє стійкі закономірності, що підкреслює необхідність ретельної перевірки з боку експертів з кібербезпеки.

LitterDrifter – Хробак у 2023?

Один з новітніх інструментів “Гамаредона” – черв’як LitterDrifter, що розповсюджується через USB накопичувачі. Це шкідливе програмне забезпечення, написане на VBS, демонструє адаптивність та інноваційність “Гамаредона”. Незважаючи на застарілий номінальний тип шкідника, він містить досить багато функцій, які необхідні в сучасних кібератаках.

Як частина інфраструктури APT (advanced persistent threat), LitterDrifter вносить глобальний аспект в діяльність “Гамаредона”. Окрім запланованих цілей в Україні, цей черв’як залишив по собі потенційні інфекції в таких країнах, як США, В’єтнам, Чилі, Польща, Німеччина і навіть у Гонконгу. Глобальне поширення LitterDrifter збільшує загальний потенціал загрози для кібератак світового масштабу.

Основна функціональність черв’яка LitterDrifter полягає в тому, що він є інструментом віддаленого доступу. Іншими словами, це бекдор з можливостями саморозповсюдження, подібними до тих, які були притаманні вірусам-хробакам. Він функціонує як прихована несанкціонована точка доступу в комп’ютерній системі, програмному забезпеченні або мережі, яка дозволяє отримати доступ до цільового середовища. У кібератаках бекдори здебільшого діють як інструменти початкового доступу та розвідки, які потім “відкривають двері” для подальшого проникнення шкідливого програмного забезпечення.

Діяльність Гамаредона проти України

Група “Гамаредон” проводить тривалу та цілеспрямовану кампанію кібершпигунства проти України та її структур. До її складу входять військові, неурядові організації, судові, правоохоронні та неприбуткові установи. Активність групи вперше зафіксована щонайменше у 2013 році. Група, яку підозрюють у зв’язках з російським кібершпигунством, послідовно зосереджується на проникненні в українські установи. Про це свідчить вибір україномовних приманок та основних цілей у регіоні.

LitterDrifter ще один інструмент, який використовує ця група у своїх різноманітних кіберопераціях. Як виявили дослідники, що здійснюють постійний моніторинг та аналіз, Gamaredon використовує LitterDrifter разом з іншими інструментами та шкідливим програмним забезпеченням для досягнення своїх цілей. Це ще більше зміцнило статус угруповання як APT, сконцентрованої на перешкоджанні інтересам України та її союзників.

Як захиститися від LitterDrifter?

У міру того, як LitterDrifter демонструє свій глобальний вплив, з’являється очевидний стимул до об’єднаного посилення глобального захисту у кіберпросторі. Здатність черв’яка долати кордони підкреслює актуальність міжнародної співпраці у боротьбі з кіберзагрозами та їх пом’якшенні.

Захист від таких загроз, як LitterDrifter, вимагає поєднання проактивних практик кібербезпеки та пильності. Ось кілька рекомендацій, які допоможуть посилити ваш захист:

Будьте обережні, підключаючи USB-накопичувачі до комп’ютера, особливо якщо вони з невідомих або ненадійних джерел. Використовуйте USB-накопичувачі, які мають режим “тільки для читання”, щоб запобігти несанкціонованому запису.
Регулярно створюйте резервні копії важливих даних і зберігайте їх у безпечному місці. У разі атаки зловмисників наявність останніх резервних копій допоможе вам відновити систему без сплати викупу.
Дотримуйтесь найкращих правил безпеки, таких як використання надійних і унікальних паролів, двофакторна автентифікація та обмеження привілеїв користувачів. Ці заходи можуть створити додаткові рівні захисту від різних кіберзагроз.
Слідкуйте за останніми новинами про загрози та слабкі місця у сфері кібербезпеки. Обізнаність у сфері загроз, що постійно змінюється, дозволить вам відповідно реагувати на них і адаптувати свої заходи безпеки.

Фішинг URL-адрес в Instagram, Facebook Messenger і WhatsApp

Стало відомо, що користувачі найпопулярніших програм обміну повідомленнями опинилися під загрозою потенційних фішингових атак, які маскуються під легітимні посилання. Кілька провідних платформ обміну повідомленнями та електронною поштою, включаючи Facebook messenger, Signal, Whatsapp, Instagram та iMessage мають вразливість за допомогою якої хакери можуть проводити зміну URL-адреси на іншу, але таку, що буде замаскована під справжня посилання від Гугл чи подібне.

В чому фокус?

Фахівці з кібербезпеки підтверджують, що вразливість потенційно використовувалася протягом останніх трьох років, і вона все ще присутня в деяких із згаданих додатків.

Внаслідок того, що інтерфейс програми неправильно відображає URL-адреси з введеними контрольними символами RTLO (заміна справа наліво) Unicode, це робить користувача вразливим до потенційних атак з підробкою URI.

Переважно використовуючись для відображення повідомлень івритом або арабською мовою, введення символу RTLO в рядок змушує програму обміну повідомленнями або браузер відображати його справа наліво, а не як при звичайній орієнтації зліва направо.

Фішинг URL-адрес в Instagram, Facebook Messenger і WhatsApp — Скріншот із демонстраційного відео експлойту, зробленого анонімним дослідником

Однорядковий експлойт зловживає відношенням механізмів Android та iOS до gTLD та їх підтримкою відображення двонаправленого тексту. Таким чином, хак настільки простий як скопіювати та вставити, вам просто потрібно вставити один контрольний символ «\u202E» між двома URL-адресами.

Після того, як ви введете керуючий символ RTLO, URL-адресу буде змінено, оскільки тепер текст розглядається як мова, написана справа наліво (арабська, іврит тощо).

Так, наприклад, хакер може створити посилання “‘gepj.xyz”, але з цією хитрістю воно перетворюється на невинний “zyx.jpeg”, той самий “kpa.li” перетвориться на “li.apk”, який прикидається легітимним APK файлом. У таких випадках посилання може направити користувача до будь-якого місця призначення.

На перший погляд така фішингова URL-адреса буде виглядати як справжній субдомен google.com. або apple.com.

Що говорять дослідники щодо вразливості?

Уразливість отримала CVE в таких версіях додатків для обміну повідомленнями:

CVE-2020-20096 – WhatsApp 2.19.80 або раніше для iOS і 2.19.222 або раніше для Android;

CVE-2020-20095 – iMessage 14.3 або старіша версія для iOS;

CVE-2020-20094 – Instagram 106.0 або раніше для iOS і 107.0.0.11 або раніше для Android;

CVE-2020-20093 – Facebook Messenger 227.0 або раніше для iOS і 228.1.0.10.116 або раніше для Android.

Signal не має присвоєного CVE ID, тому що компанію була повідомлено нещодавно.

«Вимкніть попередній перегляд посилань у всьому, особливо в поштових додатках та у всьому, що пов’язано з сповіщеннями. Не відвідуйте дивні веб-сайти зі спливаючими вікнами. Не натискайте випадкових оголошень з розіграшами призів», – радять дослідники з Sick.Code користувачам згаданих програм, де виправлення ще не застосовано.

Отже, як це так сталося, що така дріб’язкова вразливість була упущена спільнотою кібербезпеки? Причина може полягати в тому, що через те, що вона і була дріб’язковою її було упущено серед всіх більш складних і небезпечних уразливостей. Хто знає?

Вперше вразливість було відкрито у 2019 році

У серпні 2019 року дослідник на ім’я «zadewg» зробив перше відкриття вразливості. Пізніше позаштатний дослідник безпеки з Sick.Code звернув увагу на вразливость, коли її було опубліковано в програмі CVE у Twitter.

Дослідник з Sick.Codes зв’язався з “zadewg”, щоб поцікавитися, чи він зробив репозиторій публічним чи ні. Дослідник лише здивовано відповів, на те, що CVE було випущено лише зараз, і не виявив бажання поділитися додатковою інформацією про метод експлойту вразливості.

Але двоє дослідників погодилися поділитися PoC (доказом концепції) на GitHub. Однорядкова PoC є загальнодоступною, і кожен, навіть з невеликими технічними знаннями, може спробувати її перевірити.

Для тих, хто цікавиться, існує ціла купа інших методів експлуатації на основі RTLO, що включають ще більш складні технічні концепції.

Користувачам уражених програм дослідники радять бути надзвичайно обережними при отриманні повідомлень, які містять URL-адреси, завжди натискати ліву частину отриманої URL-адреси та стежити за майбутніми оновленнями, які мають вирішити проблему.

Фахівці з кібербезпеки припускають, що ця фішингова атака може вплинути на багато інших програм миттєвого обміну повідомленнями та електронної пошти, але ще раз — підтверджено, що проблема пприсутня лише в тих, які згадані в статті.

Також повідомлялося, що Telegram має подібну уразливість, але його розробники вже вирішили цю проблему.

Єдино, що ще цікаво це те, як розробники вирішать проблему, оскільки символи RTLO Unicode мають легітимне використання, а будь-яке виправлення потенційно може зіпсувати його функціональність.

Що ще можна сказати про фішинг?

Тут буде представлено для вас маленьку базу знань щодо фішингу. Кожен знає, що це або має загальне уявлення про те, що таке фішинг.

Згідно з Вікіпедією, фішинг — це тип атаки соціальної інженерії, під час якої зловмисник надсилає шахрайське оманливе повідомлення з намірами розкритя зловмиснику конфіденційної інформації. Іноді фішингові атаки також робляться для запуску шкідливого програмного забезпечення на машині жертви.

У цій самій статті на Вікіпедії йдеться про те, що у 2020 році фішинг був найпоширенішим видом кібератак із двічі більшою кількістю інцидентів, ніж будь-який інший вид кіберзлочинів.

Фішинг поділяється на різні типи, але з однаковою метою: голосовий фішинг, фішинг у соціальних “вейлінг”, атака ділової електронної пошти (BEC), фішинг Microsoft 365 і фішинг-список.

Пояснимо деякі із згаданих типів. “Вейлінг” означає наміри зловмисників націлитися на «велику рибу», як правило, на генерального директора якоїсь компанії, щоб отримати через цю людину дуже конфіденційну інформацію, до якої ця конкретна ціль зазвичай має доступ.

А фішинг-список означає, що зловмисники націлені на конкретну людину, виключаючи рандомізацію атаки. У цьому типі фішингу кіберзлочинці можуть створювати більш реалістичні фішингові повідомлення, оскільки вони часто проводять невелике дослідження щодо своїх майбутніх жертв. За даними Інституту SANS, 95 відсотків усіх атак на корпоративні мережі відбуваються саме через такий тип фішингу.

Говорячи про поради щодо того, як уникнути фішингу, хоча можна було б написати довгий список у деталях або без них, я особисто вважаю, що найкращим правилом було б завжди прислухатися до здорового глузду.

Подумайте, чи дійсно цей електронний лист був призначений для вас, чи можна було б потенційно отримати такий тип повідомлення від вашого банку, наприклад? Будьте обережні, не переходьте відразу до клацання після того як отримали повідомлення.

Скільки заробляють кіберзлочинці?

Якщо ви коли-небудь замислювалися над тим, скільки заробляють ці хлопці-хакери, ви можете дізнатися це зараз. 27 лютого 2022 року обліковий запис в Twitter під назвою @ContiLeaks та багато інших подібних акаунтів почали публікувати досить соковиті подробиці про гроші та “працівників” злочинного світу.

«Я знаю тебе, ти знаєш мене, ми знаємо нас»

Злив даних в основному стосується Gold Blackburn і Gold Ulrick. В понад 160 000 повідомлень розкриваються переписки, якими обмінювалися майже 500 хакерів в період з січня 2020 року по березень 2022 року. Крім того, був витік вихідного коду та репозитарію інструментів; факти досить вагомі, які навіть привідкривають вуаль над раніше невідомими хакерськими угрупуваннями .

for now stern/deamon – try to hide himeself, changing nicknames, wants to make some voice calls 🙂 reshaev/cyberganster – in total panic. tramp – doing somethings unknown! We know everything about you Conti, go to panic, you can even trust your gf , we against you!
— conti leaks (@ContiLeaks) March 19, 2022

Серед інших витоків даних були також десятки досьє на багатьох кіберзлочинців з інформацією про громадянство, паспорт, номери банківських рахунків, номери телефонів, адреси, імена, фотографії. Фахівці з кібербезпеки поки не можуть визначити мотиви зливачів даних, але вони припускають, що деякі хакери не погоджуються з проросійськими заявами, які Gold Ulrick опублікував на своєму сайті злитих даних. Особа виконавця також не відома.

Що таке Gold Ulrick і Gold Blackburn?

Більшість витоків даних стосується двох різних, але з високим рівнем співпраці хакерських угрупувань. Свої ідентифікаційні назви вони отримали від дослідників Secureworks® Counter Threat Unit™ (CTU), які спостерігали за активністю, згаданою у витоку даних, і що пов’язана з хакерськими угрупуваннями Gold Blackburn і Gold Ulrick.

Gold Ulrick, фінансово вмотивована кіберзлочинна група, діє з середини 2018 року. Група використовувала програми-вимагачі Ryuk з серпня 2018 року до початку 2021 року та Conti з початку 2020 року. Вони націлені лише на організації.

Скільки заробляють кіберзлочинці? — Згадані в злитих повідомленнях акаунти та їх можливі зв’язки

Gold Blackburn, також фінансово мотивована кіберзлочинна група, діє з червня 2014 року. Зловмисне програмне забезпечення Trickbot, Buer Loader, Zloader, Anchor, BazarLoader належать цій групі.

Як зазначалося, це дуже різні хакерські угрупування, але вони демонструють не менший рівень співпраці. Дослідники CTU спостерігали, як оператори програм-вимагачів Conti і Ryuk використовували BazarLoader, TrickBot або інше шкідливе програмне забезпечення, випущене хакерським угрупуванням Gold Blackburn. Сервери командування та керування Cobalt Strike Beacon і PowerShell Empire (C2), які використовувалися в атаках, що проводили хакерські угрупування, спільно використовували TrickBot, і це може бути ознакою того, що одна організація підтримує інфраструктуру для обох хакерських угрупувань. Що чітко показує одну із численних ознак “близької дружби” серед них.

Але інші хакери також використовували це зловмисне програмне забезпечення, серед них LockBit, Maze та RansomExx (також відоме як 777).

Що було злито?

Як ми вже сказали, повідомлення, що було злито пролили світло на економіку злочинного світу, а також виявило деякі раніше невідомі факти.

Ознайомившись із матеріалом, який було злито, спеціалісти з кібербезпеки зробили кілька припущень щодо того, що саме було злито і що спеціалісти з відповідної галузі можуть взяти з цієї інформації.

У розкритих повідомленнях найбільше згадується персона під нікнеймом “Stern”. Цей обліковий запис, схоже, взаємодіє з широким колом співробітників злочинного світу, що робить його імовірним лідером. Згідно зі злитими повідомленнями, цей обліковий запис приймає ключові організаційні рішення, керує кризовими ситуаціями, спілкується з іншими хакерськими угрупуваннями і видає заробітну плату.

Персона “Stern” також контролює розповсюдження програм-вимагачів і роботу BazarLoader, TrickBot. З таким широким переліком обов’язків це показує, що цей обліковий запис є можливим лідером як в Gold Ulrick, так і в Gold Blackburn.

У повідомленнях також згадувалися представники інших хакерських груп, які активно спілкувалися з персоною “Stern”, а також іншими імовірними членами Gold Ulrick і Gold Blackburn. Серед них: Gold Swarthmore (IcedID),Gold Mystic (LockBit), Gold Crestwood (Emotet). Але дослідники попереджають, що незважаючи на зв’язок “Stern” із багатьма згаданими групами, вони не можуть висловлювати припущення, що ця особа керує всіма угруповуваннями.

Один із висновків, які дослідники могли зробити з витоків, полягає у тому, що вони, безумовно, показали зрілу добре організовану злочинну екосистему, в якій задіяно багато груп загроз. Вони не просто працюють поодинці, а допомагають один одному; можна навіть сказати, що це якась Корпорація Зла, що виросла в підземному світі.

My comments are coming from the bottom of my heart which is breaking over my dear Ukraine and my people. Looking of what is happening to it breaks my heart and sometimes my heart wants to scream.
— conti leaks (@ContiLeaks) March 1, 2022

Одне з повідомлень, яке винятково зацікавило дослідників, чисто з практичної точки зору, – це зарплата кіберзлочинців. Так, звичайно, Корпорація Зла пропонує вам оплачувану відпустку, лікарняний та багато бонусів. З одного злитого повідомлення ми дізнаємося, що в середньому люди там заробляють приблизно 1800 доларів США на місяць.

Така заробітна плата перевищує середню російську зарплату, яка становить приблизно 540 доларів США на місяць. Станом на 1 липня 2021 року на вказану біткойн-адресу внизу повідомлення надійшло 2,31 біткойна (що на той момент становило приблизно 80 000 доларів США).

Статистика програм-вимагачів

Якщо вас здивував той факт, що насправді існує навіть ціла така собі Корпорація Зла, то прочитайте наступну статистику щодо програм-вимагачів, підготовлену дослідниками з Purplesec, щоб зрозуміти фактичний масштаб цього конкретного виду кіберзлочинів:

Фахівці з кібербезпеки підрахували, що кожні 14 секунд хтось з бізнесу стає жертвою програм-вимагачів;

У 2019 році внаслідок збільшення кількості атак програм-вимагачів на 41% 205 000 компаній втратили доступ до своїх файлів;

У 2019 році фахівці з кібербезпеки виявили 68 000 нових троянських програм-вимагачів для мобільних пристроїв;

У 2019 році кількість нових варіантів програм-вимагачів зросла на 46%;

Соціальні кібер атаки, такі як фішинг, становлять 21% випадків зараження програмами-вимагачами;

У 2019 році кількість фішингових електронних листів із програмним забезпеченням-вимагачем зросла на 109% порівняно з 2017 роком;

Останніми роками, 350% у 2018 році, програми-вимагачі стали найпопулярнішою формою кібер атаки;

У 2021 році оператори програм-вимагачів висунули найбільшу відому вимогу про викуп у розмірі 100 мільйонів доларів;

У першому півріччі 2021 року (на 64% більше, ніж у минулому році) було зареєстровано 121 інцидент із програмним забезпеченням-вимагачем;

У 2021 році (зріс на 82% у порівнянні з минулим роком) середній викуп склав майже 570 000 доларів.

Читаючи всю цю статистику, можна уявити, що існує більше ніж одна Корпорація Зла та суми, які просто злітають до неба.