Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Генерала Кириллова посмертно наградили "Золотой Звездой" Героя России
Ответил не так, как все ожидали. Путин подвел итоги года
Начальник войск РХБЗ Кириллов погиб при взрыве на Рязанском проспекте
Бундестаг вынес вотум недоверия Шольцу
Главная страница » Новости » Просмотр
Версия для печати
Lazarus атакует оборонные предприятия по всему миру
26.02.21 01:10 Армия, ВПК, спецслужбы

В середине 2020 года эксперты "Лаборатории Касперского" обнаружили новую вредоносную кампанию APT-группы Lazarus. Злоумышленники расширили своё портфолио атаками на оборонную промышленность, в которых они использовали вредоносное ПО ThreatNeedle, относящееся к кластеру Manuscrypt. В результате атакующим удалось преодолеть сегментацию сети и получить доступ к конфиденциальной информации. Среди жертв атак были предприятия из России. Также были зарегистрированы обращения к инфраструктуре злоумышленников из Европы, Северной Америки, Ближнего Востока и Азии, что может говорить о возможных жертвах и в этих регионах.

Lazarus ведёт свою деятельность как минимум с 2009 года, организуя широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков и даже атаки на криптовалютный рынок. В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года среди целей злоумышленников оказались и предприятия оборонной промышленности.

"Лаборатория Касперского" получила возможность более детально исследовать атаку, когда одна из пострадавших организаций обратилась за помощью. Эксперты компании обнаружили в сети бэкдор ThreatNeedle, ранее замеченный в атаках Lazarus на криптовалютные компании.

Начальное заражение происходило путём целевого фишинга: злоумышленники направляли письма с вредоносными документами Microsoft Word или ссылками на такие документы, размещённые на удаленном сервере. Злоумышленники сделали ставку на актуальную тему — профилактику и диагностику коронавирусной инфекции. Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации.

Если пользователь открывал вредоносный документ и разрешал выполнение макросов, зловред переходил к многоэтапной процедуре развёртывания. После установки ThreatNeedle злоумышленники получали практически полный контроль над устройством.

Одна из наиболее интересных деталей данной кампании связана с тем, как злоумышленники преодолели сегментацию сети. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно политикам безопасности, любая передача информации между этими сегментами запрещена, то есть они должны быть полностью разделены. Однако на деле администраторы имели возможность подключения к обоим сегментам для настройки и оказания технической поддержки пользователям в обеих зонах. Злоумышленникам удалось получить учётные данные от маршрутизатора, используемого администраторами для подключений к изолированной и корпоративной сетям. Изменив его настройки и установив на нём дополнительное ПО, они смогли превратить его в хостинг вредоносного ПО в сети предприятия. После этого маршрутизатор использовался для проникновения в изолированный сегмент, вывода данных из него и отправки их на командный сервер.

"Lazarus была, возможно, самой активной кибергруппой в 2020 году и, похоже, остаётся таковой. В январе 2021 года команда анализа угроз Google Threat Analysis Team сообщила, что Lazarus использует тот же бэкдор для атак на исследователей в области кибербезопасности. Мы полагаем, что неоднократно увидимThreatNeedle в будущем, и продолжим следить за этим бэкдором", — комментирует Сеонгсу Парк (Seongsu Park), старший эксперт команды GReAT.

"Lazarus — не только сверхактивная группа, но и весьма продвинутая. Злоумышленники не только преодолели сегментацию сети, но и провели тщательное исследование, чтобы создать персонализированную и эффективную фишинговую рассылку и кастомизированные инструменты для передачи украденной информации на удалённый сервер. Предприятиям необходимо принимать дополнительные меры безопасности для защиты от такого рода кампаний кибершпионажа", — добавляет Вячеслав Копейцев, старший эксперт Kaspersky ICS CERT.

Чтобы защитить организацию от подобных кибератак, "Лаборатория Касперского" рекомендует компаниям регулярно проводить для сотрудников тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других техник социальной инженерии; если на предприятии есть сегменты сети, которые должны быть изолированы от прочих сетей и интернета, регулярно проверять, так ли это на самом деле, например при помощи периодическиханализов защищённости и тестов на проникновение; дополнительно рекомендуем установить и использовать средства мониторинга сетевой активности внутри и на границе периметра изолированной сети; удостовериться, что сотрудники ознакомлены с политиками кибербезопасности и следуют им; предоставить специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более 20 лет работы "Лаборатории Касперского", включая информацию об угрозах промышленным организациям и системам промышленной автоматизации.

 

RedFox27.02.21 02:08
Защиты от человеческого фактора еще никто не придумал, и взломщики этим пользуются.
astill0727.02.21 06:51
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.
Вова27.02.21 11:34
Мне кажется, что такими методами пользуется АНБ США и Ми-5 Великобритании. Крайне вероятно, что именно эти организации и причастны к таким, и аналогичным, кибератакам на компьютерные коммуникации демократических государств.
Alanv27.02.21 11:54
> astill07
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.
"Письма были написаны якобы от имени сотрудника медицинского центра, входящего в состав атакованной организации."

Да ещё в момент пандемии (и, наверняка, указивок от медиков предприятия) - это они очень ловко продумали.
RML27.02.21 13:13
> astill07
Чтобы на оборонных (и банковских тоже) любые сотрудники могли и желали "открывать" документы от незнакомых (лично, т.с.) посылателей и линки в emailах, это нечто. Ну, а "не-любые" сотрудники, могут, из интереса, открыть что-то подобное, разве что в hex. Или посмотреть в cat. А если то, что описано все-таки где-то происходит реально (в не в виде рекламной постановки софта безопасности), то, значит, так им и надо. Лохов нужно выявлять, пусть даже и такими методами.

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Никто27.02.21 22:20
> RML

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Если вы заметили, документы присылаются в формате ворда. При открытии в нем, ворд должен запрашивать, включить макросы или нет. Поэтому можно просто отказать в этом. И они не будут исполняться.
Alanv27.02.21 23:53
> Никто
> RML

Везде есть менеджеры у которых работа такая открывать письма, читать и отвечать на письма, включая от новых для них отправителей. Тут не в отдельно взятом лохе проблема, а в айти директорах, которые не могут из за каких то причин сделать систему контроля за письмами, коих сейчас много производят и продают, но это надо чего то делать заранее и тратить деньги.
Если вы заметили, документы присылаются в формате ворда. При открытии в нем, ворд должен запрашивать, включить макросы или нет. Поэтому можно просто отказать в этом. И они не будут исполняться.
В ворде можно и легко отключить такой запрос. Так делают лохи, когда часто пользуются документами со встроенными макросами.
NRoss28.02.21 12:47
Как были 15 лет назад эти несчастные макросы ахиллесовой пятой мелкософта, так и остаются.
Походу, этот Микрософт и есть - тот самый Лазарус. Наверняка один из его отделов "кибербезопасности."
Alanv28.02.21 15:04
> NRoss
Как были 15 лет назад эти несчастные макросы ахиллесовой пятой мелкософта, так и остаются.
Походу, этот Микрософт и есть - тот самый Лазарус. Наверняка один из его отделов "кибербезопасности."
Это совершенно естественный результат для любого продукта с возможностью расширения самописными дополнениями.
Для того, чтобы вредные из них широко распространились нужно ещё два условия - распространённость самого продукта (чтобы писать было чущественно интересно) и мощность встроенного макроязыка (в данном случае - полноценного Бейсика).
киборд28.02.21 16:21
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
_STRANNIK28.02.21 16:31
> киборд
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
Угу. А вместо туалетной бумаги , пользоваться газеткой...Диктатура комфорта - страшная штука.
Alanv28.02.21 18:11
> киборд
Мыши кололись, но продолжали жрать кактус (MS-форматы). Элементарно запретить их для документооборота (в пользу ртф, например) - самое простое решение, но никак не судьба уже четверть века.
Закрытого MS-формата уже давно нет. А тот zip, который они уже с Office-2007 используют - могут обрабатывать все. Если без ошибок, конечно, и со всеми уже привычными многим финтифлюшками - вполне замена.
А вот встроенного языка, подобного Бейсику у конкурентов нет. Он, конечно, вирусоопасен, но даёт очень много возможностей.Причём ладно Word, но вот в Excel он легко даёт возможность развернуться по полной. Я, например, для своей фирмы на скорую руку писал много обработок разных входящих документов (и результатов работы других программных комплексов) и сведения их в удобную форму.
Никто01.03.21 02:05
> Alanv

В ворде можно и легко отключить такой запрос. Так делают лохи, когда часто пользуются документами со встроенными макросами.
Таких дебилов надо увольнять до того как они откроют первый документ.
rabdrafi01.03.21 02:16
Гы. С 90-х мало что изменилось :о). "человеческий фактор" и "социальная инженерия" всегда помогают обойти защиту.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» Сирийские перспективы
» Какая классовая борьба настоящая, и может ли рабочий класс быть субъектом классовой борьбы?
» Система Джемаля
» Пятница,13-е
» Прокси-война России и мира Запада: кому это выгодно экономически?
» Война на Кандалакшском направлении 1941-1944, Сборник документов с немецко-финской стороны
» Что является капиталом венчурного инвестора
» О категории «снятие» у Гегеля и в диалектическом материализме

 Новостивсе статьи rss

» СМИ сообщили о давлении НАТО на некоторых членов альянса
» СМИ: США направили в Сирию военное оборудование для боевиков РПК
» Перейти на Ту: каким будет новый стратегический самолет-ракетоносец
» ВС России нанесли удар по аэродромам и складам ВСУ
» США призвали своих граждан немедленно покинуть Белоруссию
» СВР: Санду потребовала подготовить захват Молдавской ГРЭС в Приднестровье
» Трамп снова заявил о необходимости для США приобрести Гренландию
» Страна в отключке: Энергокризис в Иране достиг критической точки — New York Times

 Репортаживсе статьи rss

» Индия сорвала многомиллиардный тендер на строительство
» Итоги года с Владимиром Путиным
» Курс остается верным. Президент отметил значительные успехи российской экономики в 2024 году
» Июнь 1939 года. СССР, его враги и его неудавшиеся союзники
» СМИ ЕС в панике от зависимости Польши от российских удобрений
» В зоне СВО ликвидировано уже 6,5 тыс. наемников
» Роберт Фицо: Европа должна начать нормальный диалог с Россией
» Нейросети выживают реальных авторов из соцсетей

 Комментариивсе статьи rss

» Россия не видит Швейцарию посредником по Украине
» "Иначе — война с Украиной": в Европе попросили не отбирать последнее
» США создают биологическое оружие нового поколения
» 60 лет назад была создана ЮНКТАД, которую возглавил непримиримый противник неоколониализма
» Историк рассказал, как украинских националистов "кинул" еще Гитлер
» Как атомной отрасли удалось сохранить научные школы, единство и управляемость
» Пробный залп Трампа по БРИКС — шаг к уничтожению доллара
» Чемезов: решение Путина объединить оборонные предприятия в холдинги спасло ОПК

 Аналитикавсе статьи rss

» Китай впервые за 14 лет поддержит свою экономику
» Инфляция в РФ в ноябре составила 1,43%, годовая ускорилась до 8,88%
» США передали Украине 847 ракет Patriot на 3,26 миллиарда долларов
» Эффект бумеранга. Volkswagen может пасть жертвой русофобской политики Евросоюза
» Молдавии придется выплатить долг "Газпрому", чтобы не остаться без газа
» Европа очень ждет большую кровь под русским флагом
» С чем Россия может вернуться в Афганистан
» Дональд Трамп выиграл выборы. Чем это грозит России и ее союзникам
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2024 Inca Group "War and Peace"