Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

На Украине легализовали медицинский каннабис
Источник подтвердил существование на Украине биолабораторий США
Главная страница » Новости » Просмотр
Версия для печати
Lazarus атакует оборонные предприятия по всему миру
26.02.21 01:10 Армия, ВПК, спецслужбы

В середине 2020 года эксперты "Лаборатории Касперского" обнаружили новую вредоносную кампанию APT-группы Lazarus. Злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt. В результате атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.

Lazarus ведёт свою деятельность как минимум с 2009 года, организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности.

"Лаборатория Касперского" получила возможность более детально исследовать атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании.

Начальное заражение происходило путём целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации.

Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.

Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Однако на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах. Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.

"Lazarus была, возможно, самой активной кибергруппой в 2020 году и, похоже, остаётся таковой. В январе 2021 года команда анализа угроз Google Threat Analysis Team сообщила, что Lazarus использует тот же бэкдор для атак на исследователей в области кибербезопасности. Мы полагаем, что неоднократно увидимThreatNeedle в будущем, и продолжим следить за этим бэкдором", — комментирует Сеонгсу Парк (Seongsu Park), старший эксперт команды GReAT.

"Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа", — добавляет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Чтобы защитить организацию от подобных кибератак, "Лаборатория Касперского" рекомендует компаниям регулярно проводить для сотрудников тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии; если на предприятии есть сегменты сети, которые должны быть изолированы от прочих сетей и интернета, регулярно проверять, так ли это на самом деле, например при помощи периодическиханализов защищённости и тестов на проникновение; дополнительно рекомендуем установить и использовать средства мониторинга сетевой активности внутри и на границе периметра изолированной сети; удостовериться, что сотрудники ознакомлены с политиками кибербезопасности и следуют им; предоставить специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы "Лаборатории Касперского", включая информацию об угрозах промышленным организациям и системам промышленной автоматизации.

 

RedFox27.02.21 02:08
Защиты от человеческого фактора еще никто не придумал, и взломщики этим пользуются.
astill0727.02.21 06:51
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.
Вова27.02.21 11:34
Мне кажется, что такими методами пользуется АНБ США и Ми-5 Великобритании. Крайне вероятно, что именно эти организации и причастны к таким, и аналогичным, кибератакам на компьютерные коммуникации демократических государств.
Alanv27.02.21 11:54
> astill07
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.
"Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации."

Да ещё в момент пандемии (и, наверняка, указивок от медиков предприятия) - это они очень ловко продумали.
RML27.02.21 13:13
> astill07
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Никто27.02.21 22:20
> RML

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Если вы заметили, документы присылаются в формате ворда. При открытии в нем, ворд должен запрашивать, включить макросы или нет. Поэтому можно просто отказать в этом. И они не будут исполняться.
Alanv27.02.21 23:53
> Никто
> RML

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Если вы заметили, документы присылаются в формате ворда. При открытии в нем, ворд должен запрашивать, включить макросы или нет. Поэтому можно просто отказать в этом. И они не будут исполняться.
В ворде можно и легко отключить такой запрос. Так делают лохи, когда часто пользуются документами со встроенными макросами.
NRoss28.02.21 12:47
Как были 15 лет назад эти несчастные макросы ахиллесовой пятой мелкософта, так и остаются.
Походу, этот Микрософт и есть - тот самый Лазарус. Наверняка один из его отделов "кибербезопасности."
Alanv28.02.21 15:04
> NRoss
Как были 15 лет назад эти несчастные макросы ахиллесовой пятой мелкософта, так и остаются.
Походу, этот Микрософт и есть - тот самый Лазарус. Наверняка один из его отделов "кибербезопасности."
Это совершенно естественный результат для любого продукта с возможностью расширения самописными дополнениями.
Для того, чтобы вредные из них широко распространились нужно ещё два условия - распространённость самого продукта (чтобы писать было чущественно интересно) и мощность встроенного макроязыка (в данном случае - полноценного Бейсика).
киборд28.02.21 16:21
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
_STRANNIK28.02.21 16:31
> киборд
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
Угу. А вместо туалетной бумаги , пользоваться газеткой...Диктатура комфорта - страшная штука.
Alanv28.02.21 18:11
> киборд
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
Закрытого MS-формата уже давно нет. А тот zip, который они уже с Office-2007 используют - могут обрабатывать все. Если без ошибок, конечно, и со всеми уже привычными многим финтифлюшками - вполне замена.
А вот встроенного языка, подобного Бейсику у конкурентов нет. Он, конечно, вирусоопасен, но даёт очень много возможностей.Причём ладно Word, но вот в Excel он легко даёт возможность развернуться по полной. Я, например, для своей фирмы на скорую руку писал много обработок разных входящих документов (и результатов работы других программных комплексов) и сведения их в удобную форму.
Никто01.03.21 02:05
> Alanv

В ворде можно и легко отключить такой запрос. Так делают лохи, когда часто пользуются документами со встроенными макросами.
Таких дебилов надо увольнять до того как они откроют первый документ.
rabdrafi01.03.21 02:16
Гы. С 90-х мало что изменилось :о). "человеческий фактор" и "социальная инженерия" всегда помогают обойти защиту.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» «Темные пятна» биографии Председателя ЦБ РФ
» Последний искренний сталинист
» C 8 Марта, драгоценные женщины!
» С днем защитника Отечества!
» Фонды правят миром
» Ответ на главный вопрос жизни, вселенной и всего такого. Или 42.
» Дзюдоист Путин и его дворец в Геленджике.
» Алексей Навальный: История превратилась в фарс

 Новостивсе статьи rss

» Захарова уличила CNN в подлоге с публикацией «российских» танков
» В Хьюстоне прошла памятная церемония в честь юбилея со дня полета в космос Юрия Гагарина
» Компания из Красноярска назвала срок начала испытаний ракеты «Сибирь»
» Фон дер Ляйен предупредила, что не потерпит повтора "турецкого" инцидента
» На Украине потребовали от Запада действий в отношении России
» Путин предложил увеличить зарплату космонавтам
» Счётная палата РФ сообщила о срыве запуска Единого госреестра недвижимости
» В Миннеаполисе ввели режим ЧС и комендантский час

 Репортаживсе статьи rss

» Грузия продала Турции реку Риони с долиной и пограничной с Россией зоной
» "Дать по морде Польше". Лукашенко закрывает посольства у соседей
» Навстречу юбилею: как зарождалась космическая программа СССР
» Инфляция снова стала проблемой России
» Как Мустафа Джемилев и казанские этнократы вырастили «крымскую элиту»
» Глава Роснедр: Извлекаемых запасов нефти России хватит на 58 лет
» Обзор Аравийского п-ва: чего хотят США от Саудии; как «хуситы» выставили ОАЭ из Йемена; зачем Абу-Даби отправил спецгруппу в Ирак; и многое другое за февраль-март 2021
» Как русские дипломаты превратили военные неудачи в триумф

 Комментариивсе статьи rss

» Накануне Дня космонавтики глава «Роскосмоса» дал большое интервью Первому каналу
» "Это невозможно": кто захватил власть под боком у России
» Китай и Россия запускают «экономику глобального сопротивления»
» Россия и Европа: «правый поворот» или «левый тупик»?
» Эстонцы приравняли себя к неграм
» Как получилось, что организаторам геноцида в Руанде удалось скрыться
» Гореотумизм. Почему у них почётно презирать Родину
» Почему в Прибалтике переворачивается представление о жизни в СССР

 Аналитикавсе статьи rss

» Что президент Украины Владимир Зеленский привез из Турции
» Альянс на четверть века: ось Пекин — Тегеран подрывает американские санкции
» Foreign Policy (США): без морских перевозок мировая экономика пойдет ко дну
» «Новые санкции едва ли оставят даже выбоину на крепости под названием Россия»: западные СМИ
» Откуда и куда пошла российская коррупция
» Только мобилизационные проекты могут обеспечить технологическое лидерство и выживание
» Какая роль уготована Египту в новых геополитических реалиях на Ближнем Востоке?
» Будущее Китая в перспективе ближайшего десятилетия
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2020 Inca Group "War and Peace"