Tema o koronavirusu danas je napunila sve news feedove, a postala je i glavni lajtmotiv za razne aktivnosti napadača koji eksploatiraju temu COVID-19 i sve što je s njom povezano. U ovoj bilješci želio bih skrenuti pozornost na neke primjere takve zlonamjerne aktivnosti, što, naravno, nije tajna za mnoge stručnjake za informacijsku sigurnost, ali čiji će sažetak u jednoj bilješci olakšati pripremu vlastite svijesti -podizanje događaja za zaposlenike, od kojih neki rade na daljinu, a drugi podložniji raznim prijetnjama informacijskoj sigurnosti nego prije.
Minuta brige od NLO-a
U svijetu je službeno proglašena pandemija COVID-19, potencijalno teške akutne respiratorne infekcije uzrokovane koronavirusom SARS-CoV-2 (2019-nCoV). Na Habréu postoji mnogo informacija o ovoj temi - uvijek imajte na umu da mogu biti pouzdane/korisne i obrnuto.
Potičemo vas da budete kritični prema svim objavljenim informacijama.
Službeni izvori
- Web stranice i službene skupine operativnih stožera u regijama
Ako ne živite u Rusiji, pogledajte slične stranice u svojoj zemlji.
Perite ruke, pazite na svoje najmilije, ostanite kod kuće ako je moguće i radite na daljinu.Pročitajte publikacije o: |
Valja napomenuti da danas ne postoje potpuno nove prijetnje povezane s koronavirusom. Umjesto toga, govorimo o vektorima napada koji su već postali tradicionalni, jednostavno korišteni u novom "umaku". Dakle, ja bih nazvao ključne vrste prijetnji:
- stranice za krađu identiteta i biltene koji se odnose na koronavirus i povezani zlonamjerni kod
- Prijevara i dezinformacije s ciljem iskorištavanja straha ili nepotpunih informacija o bolesti COVID-19
- napade na organizacije koje se bave istraživanjem koronavirusa
U Rusiji, gdje građani tradicionalno ne vjeruju vlastima i vjeruju da skrivaju istinu od njih, vjerojatnost uspješnog "promicanja" phishing stranica i lista za slanje e-pošte, kao i lažnih izvora, mnogo je veća nego u zemljama s otvorenijim vlasti. Iako se danas nitko ne može smatrati apsolutno zaštićenim od kreativnih cyber prevaranata koji koriste sve klasične ljudske slabosti čovjeka – strah, suosjećanje, pohlepu itd.
Uzmimo, na primjer, lažnu stranicu koja prodaje medicinske maske.
Sličnu stranicu, CoronavirusMedicalkit[.]com, zatvorile su američke vlasti zbog besplatne distribucije nepostojećeg cjepiva protiv COVID-19 uz "samo" poštarinu za slanje lijeka. U ovom slučaju, uz tako nisku cijenu, računalo se na naglu potražnju za lijekom u uvjetima panike u Sjedinjenim Državama.
Ne radi se o klasičnoj kibernetičkoj prijetnji, budući da zadatak napadača u ovom slučaju nije zaraziti korisnike ili ukrasti njihove osobne podatke ili identifikacijske podatke, već ih jednostavno na valu straha natjerati da se rascijepe i kupe medicinske maske po prenapuhanim cijenama. 5-10-30 puta više od stvarne cijene. Ali samu ideju stvaranja lažne web stranice koja iskorištava temu koronavirusa također koriste kibernetički kriminalci. Na primjer, ovdje je stranica čije ime sadrži ključnu riječ "covid19", ali koja je također stranica za krađu identiteta.
Općenito, svakodnevno praćenje naše službe za istraživanje incidenata , vidite koliko se domena kreira čiji nazivi sadrže riječi covid, covid19, coronavirus itd. A mnogi od njih su zlonamjerni.
U okruženju u kojem su neki zaposlenici tvrtke premješteni na rad od kuće i nisu zaštićeni korporativnim sigurnosnim mjerama, važnije je nego ikad nadzirati resurse kojima se pristupa s mobilnih i stolnih uređaja zaposlenika, svjesno ili bez znanje. Ako ne koristite uslugu za otkrivanje i blokiranje takvih domena (i Cisco veza s ovom uslugom sada je besplatna), tada barem konfigurirajte svoja rješenja za nadzor web pristupa za nadzor domena s relevantnim ključnim riječima. Istodobno, zapamtite da tradicionalni pristup stavljanju domena na crnu listu, kao i korištenje baza podataka o reputaciji, može zakazati jer se zlonamjerne domene stvaraju vrlo brzo i koriste se u samo 1-2 napada ne dulje od nekoliko sati - tada napadači se prebacuju na nove efemerne domene. Tvrtke za informacijsku sigurnost jednostavno nemaju vremena brzo ažurirati svoje baze znanja i distribuirati ih svim svojim klijentima.
Napadači nastavljaju aktivno iskorištavati kanal e-pošte za distribuciju veza za krađu identiteta i zlonamjernog softvera u privicima. A njihova je učinkovitost prilično visoka, budući da korisnici, iako primaju potpuno legalne vijesti o koronavirusu, ne mogu uvijek prepoznati nešto zlonamjerno u njihovoj količini. I dok broj zaraženih samo raste, raspon takvih prijetnji također će samo rasti.
Na primjer, ovako izgleda primjer phishing e-pošte u ime CDC-a:
Praćenje poveznice, naravno, ne vodi na web stranicu CDC-a, već na lažnu stranicu koja žrtvi krade login i lozinku:
Evo primjera phishing e-pošte navodno u ime Svjetske zdravstvene organizacije:
I u ovom primjeru napadači računaju na to da mnogi ljudi vjeruju da vlasti od njih skrivaju prave razmjere zaraze, pa korisnici rado i gotovo bez oklijevanja klikaju na ovakva pisma sa zlonamjernim poveznicama ili privicima koji navodno će otkriti sve tajne.
Usput, postoji takva stranica , koji vam omogućuje praćenje različitih pokazatelja, na primjer, smrtnosti, broja pušača, stanovništva u različitim zemljama itd. Na web stranici postoji i stranica posvećena koronavirusu. I tako, kada sam 16. ožujka otišao na nju, vidio sam stranicu koja me na trenutak natjerala da posumnjam da nam vlasti govore istinu (ne znam koji je razlog ovim brojevima, možda samo greška):
Jedna od popularnih infrastruktura koju napadači koriste za slanje sličnih e-poruka je Emotet, jedna od najopasnijih i najpopularnijih prijetnji u posljednje vrijeme. Wordovi dokumenti priloženi porukama e-pošte sadrže programe za preuzimanje Emotet koji učitavaju nove zlonamjerne module na žrtvino računalo. Emotet se isprva koristio za promicanje poveznica na lažne stranice koje prodaju medicinske maske, ciljajući na stanovnike Japana. Ispod vidite rezultat analize zlonamjerne datoteke pomoću sandboxinga , koji analizira datoteke na zlonamjernost.
Ali napadači iskorištavaju ne samo mogućnost pokretanja u MS Wordu, već iu drugim Microsoftovim aplikacijama, na primjer, u MS Excelu (ovako je postupila hakerska skupina APT36), šaljući preporuke o borbi protiv koronavirusa od indijske vlade koje sadrže Crimson. ŠTAKOR:
Još jedna zlonamjerna kampanja koja iskorištava temu koronavirusa je Nanocore RAT, koja vam omogućuje instaliranje programa na žrtvi računala za daljinski pristup, presretanje pritisaka na tipkovnici, snimanje slika zaslona, pristup datotekama itd.
A Nanocore RAT obično se dostavlja e-poštom. Na primjer, ispod vidite primjer poruke e-pošte s priloženom ZIP arhivom koja sadrži izvršnu PIF datoteku. Klikom na izvršnu datoteku žrtva instalira program za daljinski pristup (Remote Access Tool, RAT) na svoje računalo.
Evo još jednog primjera kampanje koja parazitira na temi COVID-19. Korisnik dobiva pismo o navodnom kašnjenju isporuke zbog koronavirusa s priloženim računom s ekstenzijom .pdf.ace. Unutar komprimirane arhive nalazi se izvršni sadržaj koji uspostavlja vezu s naredbenim i kontrolnim poslužiteljem za primanje dodatnih naredbi i izvršavanje drugih ciljeva napadača.
Parallax RAT ima sličnu funkcionalnost, koja distribuira datoteku pod nazivom “new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” i koja instalira zlonamjerni program koji komunicira s njegovim naredbenim poslužiteljem putem DNS protokola. Alati za zaštitu klase EDR, primjer toga je , a NGFW će pomoći u nadziranju komunikacije s naredbenim poslužiteljima (na primjer, ), ili alate za nadzor DNS-a (na primjer, ).
U donjem primjeru, zlonamjerni softver s daljinskim pristupom instaliran je na računalu žrtve koja je, iz nepoznatog razloga, kupila oglašavanje da obični antivirusni program instaliran na računalu može zaštititi od stvarnog COVID-19. I nakon svega netko je nasjeo na takvu naizgled šalu.
Ali među zlonamjernim softverom postoje i neke stvarno čudne stvari. Na primjer, datoteke šala koje oponašaju rad ransomwarea. U jednom slučaju, naš Cisco Talos odjel datoteka pod nazivom CoronaVirus.exe, koja je blokirala ekran tijekom izvođenja i pokrenula mjerač vremena i poruku "brisanje svih datoteka i mapa na ovom računalu - koronavirus."
Po završetku odbrojavanja, tipka na dnu je postala aktivna i kada se pritisne, ispisuje se poruka da je sve ovo bila šala i da pritisnete Alt+F12 za prekid programa.
Borba protiv zlonamjernih poruka može se automatizirati, na primjer, pomoću , koji vam omogućuje otkrivanje ne samo zlonamjernog sadržaja u privicima, već i praćenje veza za krađu identiteta i klikova na njih. Ali ni u ovom slučaju ne smijete zaboraviti na obuku korisnika i redovito provođenje phishing simulacija i cyber vježbi, koje će pripremiti korisnike na razne trikove napadača usmjerene protiv vaših korisnika. Pogotovo ako rade na daljinu i putem svoje osobne e-pošte, zlonamjerni kod može prodrijeti u mrežu poduzeća ili odjela. Ovdje bih mogao preporučiti novo rješenje , koji omogućuje ne samo provođenje mikro- i nano-obuke osoblja o pitanjima informacijske sigurnosti, već i organiziranje simulacija krađe identiteta za njih.
Ali ako iz nekog razloga niste spremni koristiti takva rješenja, vrijedi barem organizirati redovite slanje pošte svojim zaposlenicima s podsjetnikom na opasnost od krađe identiteta, njezinim primjerima i popisom pravila za sigurno ponašanje (najvažnije je da napadači se ne maskiraju u njih). Usput, jedan od mogućih rizika trenutno su phishing mailovi maskirani kao pisma vašeg menadžmenta, koji navodno govore o novim pravilima i procedurama za rad na daljinu, obveznom softveru koji se mora instalirati na udaljena računala itd. I ne zaboravite da osim e-pošte, cyber kriminalci mogu koristiti instant messengere i društvene mreže.
U ovakav program slanja pošte ili podizanja svijesti možete uključiti i već klasični primjer lažne karte zaraze koronavirusom, koja je bila slična onoj Sveučilište Johns Hopkins. Razlika bio je da je prilikom pristupa phishing stranici na korisnikovo računalo instaliran zlonamjerni softver koji je ukrao podatke o korisničkom računu i poslao ih cyber kriminalcima. Jedna verzija takvog programa također je stvorila RDP veze za daljinski pristup žrtvinom računalu.
Usput, o RDP-u. Ovo je još jedan vektor napada koji napadači počinju aktivnije koristiti tijekom pandemije koronavirusa. Mnoge tvrtke pri prelasku na daljinski rad koriste servise kao što je RDP, koji, ako su zbog žurbe pogrešno konfigurirani, mogu dovesti do infiltracije napadača kako na računala udaljenih korisnika tako i unutar korporativne infrastrukture. Štoviše, čak i uz ispravnu konfiguraciju, različite implementacije RDP-a mogu imati ranjivosti koje napadači mogu iskoristiti. Na primjer, Cisco Talos višestruke ranjivosti u FreeRDP-u, a u svibnju prošle godine otkrivena je kritična ranjivost CVE-2019-0708 u servisu Microsoft Remote Desktop, koja je omogućila izvršavanje proizvoljnog koda na računalu žrtve, uvođenje malwarea itd. Čak je distribuiran i bilten o njoj , i, na primjer, Cisco Talos preporuke za zaštitu od njega.
Postoji još jedan primjer iskorištavanja teme koronavirusa - stvarna prijetnja zaraze obitelji žrtve ako odbije platiti otkupninu u bitcoinima. Da bi se pojačao učinak, da bi se pismu dao značaj i stvorio osjećaj svemoći iznuđivača, u tekst pisma umetnuta je žrtvina lozinka s jednog od njegovih računa, dobivena iz javnih baza podataka za prijavu i zaporke.
U jednom od gornjih primjera pokazao sam phishing poruku Svjetske zdravstvene organizacije. I evo još jednog primjera u kojem se od korisnika traži financijska pomoć za borbu protiv COVID-19 (iako se u zaglavlju u tijelu pisma odmah uočava riječ “DONACIJA”). I traže pomoć u bitcoinima za zaštitu od praćenje kriptovalute.
I danas postoji mnogo takvih primjera koji iskorištavaju suosjećanje korisnika:
Bitcoini su povezani s COVID-19 na još jedan način. Na primjer, ovako izgledaju poruke koje su primili mnogi britanski građani koji sjede kod kuće i ne mogu zaraditi (u Rusiji će to također postati relevantno).
Pod maskom poznatih novina i stranica s vijestima, te poruke nude laku zaradu rudarenjem kriptovaluta na posebnim stranicama. Zapravo, nakon nekog vremena dobijete poruku da se iznos koji ste zaradili možete podići na poseban račun, ali prije toga morate prenijeti mali iznos poreza. Jasno je da nakon primitka tog novca prevaranti ne prenose ništa zauzvrat, a lakovjerni korisnik gubi preneseni novac.
Postoji još jedna prijetnja povezana sa Svjetskom zdravstvenom organizacijom. Hakeri su hakirali DNS postavke D-Link i Linksys usmjerivača, koje često koriste kućni korisnici i male tvrtke, kako bi ih preusmjerili na lažnu web stranicu sa skočnim upozorenjem o potrebi instaliranja aplikacije WHO, koja će ih zadržati u tijeku s najnovijim vijestima o koronavirusu. Štoviše, sama aplikacija sadržavala je maliciozni program Oski koji krade podatke.
Sličnu ideju s aplikacijom koja sadrži trenutni status infekcije COVID-19 iskorištava Android Trojanac CovidLock, koji se distribuira preko aplikacije koja je navodno “certificirana” od strane američkog Ministarstva obrazovanja, WHO-a i Centra za kontrolu epidemije ( CDC).
Mnogi korisnici danas su u samoizolaciji te, ne žele ili ne mogu kuhati, aktivno koriste usluge dostave hrane, namirnica ili druge robe, poput toaletnog papira. Napadači su također ovladali ovim vektorom za vlastite potrebe. Na primjer, ovako izgleda zlonamjerno web mjesto, slično legitimnom izvoru u vlasništvu Kanadske pošte. Link iz SMS-a koji je žrtva primila vodi na web stranicu koja javlja da se naručeni proizvod ne može isporučiti jer nedostaju samo 3$ koje je potrebno dodatno platiti. U tom slučaju, korisnik se usmjerava na stranicu na kojoj mora navesti podatke svoje kreditne kartice... sa svim posljedicama koje iz toga proizlaze.
Zaključno, želio bih dati još dva primjera cyber prijetnji povezanih s COVID-19. Na primjer, dodaci "COVID-19 Coronavirus - Live Map WordPress Plugin", "Coronavirus Spread Prediction Graphs" ili "Covid-19" ugrađeni su u stranice koje koriste popularni WordPress mehanizam i, uz prikaz karte širenja coronavirus, također sadrže zlonamjerni softver WP-VCD. I tvrtka Zoom, koja je s porastom broja online događanja postala vrlo, vrlo popularna, suočila se s onim što stručnjaci nazivaju “Zoombombingom”. Napadači, a zapravo obični porno trolovi, povezivali su se na online chatove i online sastanke te prikazivali razne opscene videe. Usput, sa sličnom prijetnjom danas se susreću ruske tvrtke.
Mislim da većina nas redovito provjerava razne izvore, službene i ne tako službene, o trenutnom statusu pandemije. Napadači iskorištavaju ovu temu, nudeći nam “najnovije” informacije o koronavirusu, uključujući informacije “koje vlasti skrivaju od vas”. Ali čak i obični obični korisnici nedavno često pomažu napadačima slanjem kodova provjerenih činjenica od “poznanika” i “prijatelja”. Psiholozi kažu da takva aktivnost korisnika “uzbunjivača” koji šalju sve što im dođe u vidokrug (osobito u društvenim mrežama i instant messengerima, koji nemaju mehanizme zaštite od takvih prijetnji), omogućuje im da se osjećaju uključenima u borbu protiv globalna prijetnja i čak se osjećate kao heroji koji spašavaju svijet od koronavirusa. No, nažalost, nedostatak posebnih znanja dovodi do toga da te dobre namjere “sve vode u pakao”, stvarajući nove prijetnje kibernetičkoj sigurnosti i povećavajući broj žrtava.
Zapravo, mogao bih nastaviti s primjerima kibernetičkih prijetnji povezanih s koronavirusom; Štoviše, kibernetički kriminalci ne miruju i smišljaju sve više i više novih načina za iskorištavanje ljudskih strasti. Ali mislim da tu možemo stati. Slika je već jasna i govori nam da će se u bliskoj budućnosti situacija samo pogoršavati. Jučer su moskovske vlasti desetmilijunski grad stavile u samoizolaciju. Isto su učinile i vlasti Moskovske oblasti i mnogih drugih regija Rusije, kao i naši najbliži susjedi na bivšem postsovjetskom prostoru. To znači da će se broj potencijalnih žrtava na meti kibernetičkih kriminalaca višestruko povećati. Stoga vrijedi ne samo preispitati svoju sigurnosnu strategiju, koja je donedavno bila usmjerena samo na zaštitu korporativne mreže ili mreže odjela, i procijeniti koji vam alati za zaštitu nedostaju, već i uzeti u obzir primjere navedene u vašem programu osvješćivanja osoblja, koji postajući važan dio sustava informacijske sigurnosti za udaljene radnike. A spremni pomoći vam u ovome!
P.S. U pripremi ovog materijala korišteni su materijali tvrtki Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security i RiskIQ, Ministarstva pravosuđa SAD-a, resursi Bleeping Computer, SecurityAffairs itd. P.
Izvor: www.habr.com