Kriptonaudas ķēriens: apdraudējumu izpildītājs „BlueNoroff” iztukšo kriptovalūtu jaunuzņēmumu kontus
„Kaspersky” eksperti ir atmaskojuši vairākus sarežģītu mērķuzbrukumu (APT) izpildītāja „BlueNoroff” uzbrukumus maziem un vidējiem uzņēmumiem visā pasaulē, kas upuriem ir sagādājuši lielus kriptonaudas zaudējumus. Par „SnatchCrypto” nodēvētā kampaņa ir vērsta pret dažādiem uzņēmumiem, kuru darbības veids ir saistīts ar kriptovalūtām un viedlīgumiem, decentralizēto finanšu, blokķēžu un finanšu tehnoloģiju nozari.
„BlueNoroff” jaunākajā kampaņā uzbrucēji viltīgi ļaunprātīgi izmantoja uzbrukumiem pakļauto uzņēmumu darbinieku uzticēšanos, nosūtot viņiem pilnfunkciju „Windows” lūku ar novērošanas funkcijām, kas nomaskēta par līgumu vai citu lietišķu datni. Lai beigās iztukšotu upura kriptonaudas maku, izpildītājs ir izstrādājis plašus un bīstamus resursus: sarežģītu infrastruktūru, mūķus un ļaunprogrammatūru implantus.
„BlueNoroff” ir daļa no lielākas grupas „Lazarus” un izmanto tās daudzveidīgo struktūru un sarežģītās uzbrukumu tehnoloģijas. Sarežģītu mērķuzbrukumu grupa „Lazarus” ir pazīstama ar uzbrukumiem bankām un serveriem, kas savienoti ar SWIFT, un ir pat nodarbojusies ar fiktīvu kriptovalūtu programmatūras izstrādes uzņēmumu veidošanu. Maldinātie klienti pēc tam ieinstalēja lietotnes, kas izskatījās kā īstas, un vēlāk saņēma atjauninājumus ar lūkām.
Tagad šī „Lazarus” nodaļa ir ķērusies pie uzbrukumiem kriptovalūtu jaunuzņēmumiem. Lielākā daļa kriptovalūtu uzņēmumu ir mazi vai vidēja lieluma jaunuzņēmumi, kas nevar ieguldīt daudz naudas iekšējā drošības sistēmā. Apdraudējumu izpildītājs to saprot un izmanto, liekot lietā komplicētas sociālās inženierijas shēmas.
Lai iegūtu upura uzticēšanos, „BlueNoroff” uzdodas par pastāvošu riska kapitāla sabiedrību. „Kaspersky” pētnieki konstatēja vairāk nekā 15 riska kapitāla sabiedrības, kuru zīmols un darbinieku vārdi tika ļaunprātīgi izmantoti kampaņā „SnatchCrypto”. „Kaspersky” eksperti arī uzskata, ka īstajām sabiedrībām nav nekāda sakara ne ar šo uzbrukumu, ne ar šīm e-vēstulēm. Kriptovalūtu jaunuzņēmumu joma nav izvēlēta nejauši: jaunuzņēmumi bieži saņem vēstules vai datnes no nepazīstamiem avotiem. Piemēram, riska kapitāla sabiedrība var atsūtīt līgumu vai citas ar komercdarbību saistītas datnes. Sarežģītu mērķuzbrukumu izpildītājs to izmanto par ēsmu, lai upuri atvērtu e-vēstules pielikumu — dokumentu ar iespējotām makrokomandām.
Ja dokuments tiktu atvērts bezsaistē, datne nebūtu bīstama — visticamāk, tā izskatītos pēc kāda līguma vai cita nekaitīga dokumenta eksemplāra. Bet, ja datnes atvēršanas laikā dators ir savienots ar internetu, upura ierīcē tiek ielādēts vēl viens dokuments ar iespējotām makrokomandām, kas izvieto ļaunprogrammatūru.
Šīs sarežģītu mērķuzbrukumu grupas arsenālā ir dažādi inficēšanas paņēmieni, un tā sakomplektē inficēšanas ķēdi atkarībā no situācijas. Līdztekus par ieroci pārvērstiem „Word” dokumentiem izpildītājs izplata arī ļaunprogrammatūras, kas ir nomaskētas par saspiestām „Windows” saīšņu datnēm. Tas nosūta upura vispārīgo informāciju un „Powershell” aģentu, kas pēc tam izveido pilnfunkciju lūku. Izmantojot to, „BlueNoroff” izvieto citus ļaunprātīgus rīkus, lai novērotu upuri: taustiņspiedienu pierakstītāju un ekrānuzņēmumu veidotāju.
Pēc tam uzbrucēji nedēļām un mēnešiem ilgi izseko upurus: ievāc taustiņspiedienus un novēro lietotāja ikdienas darbības, vienlaikus plānojot finanšu zādzības stratēģiju. Kad tiek atrasts izcils upuris, kas kriptonaudas maku pārvaldībai izmanto populāru pārlūka paplašinājumu (piemēram, paplašinājumu „Metamask”), viņi paplašinājuma galveno komponentu aizstāj ar viltotu versiju.
Pēc pētnieku domām, uzbrucēji saņem paziņojumu, kad tiek atrasti lieli pārskaitījumi. Kad uzlauztais lietotājs mēģina pārskaitīt līdzekļus uz citu kontu, viņi pārtver darījuma procesu un ievada savu loģiku. Lai pabeigtu uzsākto maksājumu, lietotājs pēc tam noklikšķina uz pogas „Apstiprināt”. Tajā brīdī kibernoziedznieki maina saņēmēja adresi un maksimāli palielina darījuma summu, būtībā ar vienu kustību iztukšojot kontu.
„Tā kā uzbrucēji nepārtraukti izdomā daudz jaunu apmānīšanas un ļaunprātīgas izmantošanas veidu, pat maziem uzņēmumiem ir jāizglīto darbinieki par pamata kiberdrošības metodēm. Tas ir īpaši svarīgi, ja uzņēmums strādā ar kriptonaudas makiem: kriptovalūtu pakalpojumu un paplašinājumu izmantošanā nav nekā slikta, bet ņemiet vērā, ka tas ir arī pievilcīgs sarežģītu mērķuzbrukumu un kibernoziedznieku mērķis. Tāpēc šai nozarei ir jābūt labi aizsargātai,” komentē „Kaspersky” Starptautiskās pētniecības un analīzes grupas (GReAT) vecākais drošības pētnieks Sonsu Paks.
Visu pārskatu par „BlueNoroff” lasiet vietnē „Securelist”.
Lai aizsargātu organizācijas, „Kaspersky” iesaka šos pasākumus.
· Nodrošināt darbiniekiem kiberdrošības higiēnas pamatu mācības, jo daudzi mērķuzbrukumi sākas ar pikšķerēšanu vai citiem sociālās inženierijas paņēmieniem.
· Veikt tīklu kiberdrošības auditu un novērst perimetrā vai tīklā konstatētās vājās vietas.
· Paplašinājuma ievadīšanu ir grūti atrast manuāli, ja vien ļoti labi nepārzināt „Metamask” kodubāzi. Tomēr „Chrome” paplašinājuma modificēšana atstāj pēdas. Pārlūks ir jāpārslēdz izstrādātāja režīmā, un paplašinājums „Metamask” ir instalēts no vietējā direktorija, nevis tiešsaistes veikala. Ja spraudnis nāk no veikala, „Chrome” īsteno koda ciparparaksta validāciju un garantē koda viengabalainību. Tātad, ja šaubāties, uzreiz pārbaudiet paplašinājumu „Metamask” un „Chrome” iestatījumus.
· Ieinstalēt pretmērķuzbrukumu un noteikšanas un reaģēšanas risinājumu, kas nodrošina apdraudējumu atklāšanas, izmeklēšanas un incidentu laicīgas atveseļošanas iespējas. Nodrošināt drošības vadības centra darbiniekiem piekļuvi jaunākajai informācijai par apdraudējumiem un regulāri celt viņu kvalifikāciju ar profesionālām mācībām.
· Līdztekus pienācīgai galiekārtu aizsardzībai specializēti pakalpojumi var palīdzēt novērst augsta līmeņa uzbrukumus. Tādi pakalpojumi kā „Kaspersky Managed Detection and Response” var palīdzēt identificēt un apturēt uzbrukumus agrīnā stadijā, pirms uzbrucēji ir īstenojuši savus nolūkus.
Par „Kaspersky”
„Kaspersky” ir starptautisks kiberdrošības un digitālās informācijas aizsardzības uzņēmums, kas dibināts 1997. gadā. „Kaspersky” dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljoni lietotāju ir aizsargāti ar „Kaspersky” tehnoloģijām, un mēs palīdzam 240 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais.
