Tematika koronavirusa je danes napolnila vse novice, postala pa je tudi glavni lajtmotiv za različne aktivnosti napadalcev, ki izkoriščajo temo COVID-19 in vse, kar je z njo povezano. V tem zapisu želim opozoriti na nekaj primerov tovrstnih zlonamernih dejavnosti, ki seveda niso skrivnost za marsikaterega strokovnjaka za informacijsko varnost, a njihov povzetek v enem zapisu vam bo olajšal pripravo lastne zavesti. - organiziranje dogodkov za zaposlene, od katerih nekateri delajo na daljavo, drugi pa bolj dovzetni za različne grožnje informacijski varnosti kot doslej.
Trenutek skrbi NLP-ja
Svet je uradno razglasil pandemijo COVID-19, potencialno hude akutne okužbe dihal, ki jo povzroča koronavirus SARS-CoV-2 (2019-nCoV). Na Habréju je veliko informacij o tej temi – vedno ne pozabite, da so lahko zanesljive/uporabne in obratno.
Spodbujamo vas, da ste kritični do vseh objavljenih informacij.
Uradni viri
- Spletne strani in uradne skupine operativnih štabov po regijah
Če ne živite v Rusiji, obiščite podobna spletna mesta v vaši državi.
Umivajte si roke, skrbite za svoje najdražje, ostanite doma, če je le možno, in delajte na daljavo.Preberite publikacije o: |
Treba je opozoriti, da danes ni povsem novih groženj, povezanih s koronavirusom. Namesto tega govorimo o vektorjih napada, ki so že postali tradicionalni, preprosto uporabljeni v novi »omaki«. Ključne vrste groženj bi torej imenoval:
- lažna spletna mesta in glasila, povezana s koronavirusom in s tem povezano zlonamerno kodo
- Goljufije in dezinformacije, katerih cilj je izkoriščanje strahu ali nepopolnih informacij o bolezni COVID-19
- napadi na organizacije, ki se ukvarjajo z raziskavami koronavirusa
V Rusiji, kjer državljani tradicionalno ne zaupajo oblastem in verjamejo, da pred njimi prikrivajo resnico, je verjetnost uspešnega »promocije« lažnih spletnih mest in poštnih seznamov ter goljufivih virov veliko večja kot v državah z bolj odprto oblasti. Čeprav se danes nihče ne more imeti za absolutno zaščitenega pred ustvarjalnimi kibernetskimi goljufi, ki uporabljajo vse klasične človeške slabosti človeka - strah, sočutje, pohlep itd.
Vzemimo za primer goljufivo spletno mesto, ki prodaja medicinske maske.
Podobno spletno mesto, CoronavirusMedicalkit[.]com, so ameriške oblasti zaprle zaradi brezplačnega razdeljevanja neobstoječega cepiva proti covidu-19 z "samo" poštnino za pošiljanje zdravila. V tem primeru je bil pri tako nizki ceni kalkulacija za skokovito povpraševanje po zdravilu v razmerah panike v ZDA.
Ne gre za klasično kibernetsko grožnjo, saj naloga napadalcev v tem primeru ni okužiti uporabnikov ali ukrasti njihovih osebnih podatkov ali identifikacijskih informacij, temveč jih zgolj na valu strahu prisiliti, da odštejejo in kupijo medicinske maske po napihnjenih cenah. za 5-10-30-krat več kot dejanske stroške. Toda samo idejo o ustvarjanju lažnega spletnega mesta, ki izkorišča temo koronavirusa, uporabljajo tudi kibernetski kriminalci. Tukaj je na primer spletno mesto, katerega ime vsebuje ključno besedo »covid19«, vendar je tudi spletno mesto za lažno predstavljanje.
Na splošno dnevno spremljanje naše službe za preiskovanje incidentov , vidite, koliko domen nastaja, katerih imena vsebujejo besede covid, covid19, coronavirus itd. In veliko jih je zlonamernih.
V okolju, kjer so nekateri zaposleni v podjetju premeščeni na delo od doma in niso zaščiteni s korporativnimi varnostnimi ukrepi, je bolj kot kdaj koli prej pomembno spremljati vire, do katerih dostopajo prek mobilnih in namiznih naprav zaposlenih, zavestno ali brez znanja. Če storitve ne uporabljate za odkrivanje in blokiranje takih domen (in Cisco povezava s to storitvijo je zdaj brezplačna), nato konfigurirajte vsaj svoje rešitve za spremljanje spletnega dostopa za spremljanje domen z ustreznimi ključnimi besedami. Hkrati ne pozabite, da lahko tradicionalni pristop k dodajanju domen na črno listo, kot tudi uporaba zbirk podatkov o ugledu, ne uspe, saj se zlonamerne domene ustvarijo zelo hitro in se uporabijo v samo 1-2 napadih za največ nekaj ur – nato napadalci preklopijo na nove efemerne domene. Podjetja za informacijsko varnost preprosto nimajo časa, da bi sproti posodobila svoje baze znanja in jih razdelila vsem svojim strankam.
Napadalci še naprej aktivno izkoriščajo e-poštni kanal za distribucijo lažnih povezav in zlonamerne programske opreme v priponkah. In njihova učinkovitost je precej visoka, saj uporabniki ob prejemanju popolnoma legalnih novic o koronavirusu v njihovi količini ne morejo vedno prepoznati nečesa zlonamernega. In medtem ko število okuženih samo narašča, bo tudi obseg tovrstnih groženj samo naraščal.
Takole je na primer videti primer lažnega e-poštnega sporočila v imenu CDC:
Sledenje povezavi seveda ne vodi na spletno stran CDC, temveč na lažno stran, ki žrtvi ukrade uporabniško ime in geslo:
Tu je primer lažnega e-poštnega sporočila, domnevno v imenu Svetovne zdravstvene organizacije:
In v tem primeru napadalci računajo na to, da veliko ljudi meni, da jim oblasti prikrivajo pravi obseg okužbe, zato uporabniki z veseljem in skoraj brez zadržkov klikajo tovrstna pisma z zlonamernimi povezavami ali priponkami, ki menda bo razkrila vse skrivnosti.
Mimogrede, obstaja takšno spletno mesto , ki vam omogoča sledenje različnim kazalcem, na primer umrljivosti, številu kadilcev, prebivalstvu v različnih državah itd. Na spletni strani je tudi stran, posvečena koronavirusu. In ko sem 16. marca šel nanjo, sem videl stran, zaradi katere sem za trenutek podvomil, da nam oblasti govorijo resnico (ne vem, kaj je razlog za te številke, morda le napaka):
Ena od priljubljenih infrastruktur, ki jo napadalci uporabljajo za pošiljanje podobnih e-poštnih sporočil, je Emotet, ena najbolj nevarnih in priljubljenih groženj v zadnjem času. Wordovi dokumenti, priloženi e-poštnim sporočilom, vsebujejo programe za prenos Emotet, ki naložijo nove zlonamerne module v računalnik žrtve. Emotet je bil sprva uporabljen za promocijo povezav do goljufivih spletnih mest, ki so prodajale medicinske maske in so bile usmerjene na prebivalce Japonske. Spodaj vidite rezultat analize zlonamerne datoteke s peskovnikom , ki analizira datoteke glede zlonamernosti.
Toda napadalci ne izkoriščajo le zmožnosti zagona v MS Wordu, temveč tudi v drugih Microsoftovih aplikacijah, na primer v MS Excelu (tako je ravnala hekerska skupina APT36), ki pošilja priporočila indijske vlade o boju proti koronavirusu, ki vsebujejo Crimson. PODGANA:
Druga zlonamerna kampanja, ki izkorišča temo koronavirusa, je Nanocore RAT, ki omogoča namestitev programov na žrtev računalnikov za oddaljeni dostop, prestrezanje pritiskov na tipkovnico, zajemanje slik zaslona, dostop do datotek itd.
In Nanocore RAT je običajno dostavljen po e-pošti. Spodaj vidite na primer primer e-poštnega sporočila s priloženim arhivom ZIP, ki vsebuje izvedljivo datoteko PIF. S klikom na izvršljivo datoteko žrtev na svoj računalnik namesti program za oddaljeni dostop (Remote Access Tool, RAT).
Tukaj je še en primer kampanje, ki parazitira na temo COVID-19. Uporabnik prejme pismo o domnevni zamudi dostave zaradi koronavirusa s priloženim računom s končnico .pdf.ace. Znotraj stisnjenega arhiva je izvršljiva vsebina, ki vzpostavi povezavo s strežnikom za ukaze in nadzor za prejemanje dodatnih ukazov in izvajanje drugih ciljev napadalca.
Parallax RAT ima podobno funkcionalnost, ki distribuira datoteko z imenom »new infected CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif« in namesti zlonamerni program, ki komunicira z njegovim ukaznim strežnikom prek protokola DNS. Orodja za zaščito razreda EDR, primer tega je , bodisi NGFW bo pomagal spremljati komunikacijo z ukaznimi strežniki (npr. ) ali orodja za spremljanje DNS (npr. ).
V spodnjem primeru je bila zlonamerna programska oprema za oddaljeni dostop nameščena v računalnik žrtve, ki je iz neznanega razloga kupila oglaševanje, da lahko običajni protivirusni program, nameščen na osebnem računalniku, zaščiti pred resničnim COVID-19. In navsezadnje je nekdo nasedel tako navidezno šali.
Toda med zlonamerno programsko opremo je tudi nekaj res čudnih stvari. Na primer datoteke šale, ki posnemajo delo izsiljevalske programske opreme. V enem primeru naš oddelek Cisco Talos datoteko z imenom CoronaVirus.exe, ki je med izvajanjem blokirala zaslon in zagnala časovnik ter sporočilo "brisanje vseh datotek in map na tem računalniku - koronavirus."
Po končanem odštevanju je gumb na dnu postal aktiven in ob pritisku se je izpisalo sporočilo, da je vse skupaj šala in da pritisnete Alt+F12 za zaključek programa.
Boj proti zlonamernim pošiljanjem je mogoče avtomatizirati, na primer z uporabo , ki omogoča odkrivanje ne le zlonamerne vsebine v priponkah, temveč tudi sledenje lažnim povezavam in klikom nanje. Toda tudi v tem primeru ne smete pozabiti na usposabljanje uporabnikov in redno izvajanje simulacij lažnega predstavljanja in kibernetskih vaj, ki bodo uporabnike pripravile na različne trike napadalcev, uperjene proti vašim uporabnikom. Še posebej, če delajo na daljavo in prek osebne e-pošte, lahko zlonamerna koda prodre v omrežje podjetja ali oddelka. Tukaj bi lahko predlagal novo rešitev , ki omogoča ne le izvajanje mikro- in nano-usposabljanja osebja o vprašanjih informacijske varnosti, temveč tudi organizacijo simulacij lažnega predstavljanja zanje.
Če pa iz nekega razloga niste pripravljeni uporabiti takšnih rešitev, potem je vredno vsaj organizirati redna pošiljanja e-poštnih sporočil svojim zaposlenim z opomnikom o nevarnosti lažnega predstavljanja, njegovih primerov in seznamom pravil za varno vedenje (glavna stvar je, da napadalci se ne preoblečejo v njih). Mimogrede, trenutno je eno od možnih tveganj lažno predstavljanje pisem vašega vodstva, ki domnevno govorijo o novih pravilih in postopkih za delo na daljavo, obvezni programski opremi, ki jo je treba namestiti na oddaljene računalnike itd. In ne pozabite, da lahko kibernetski kriminalci poleg elektronske pošte uporabljajo takojšnje sporočanje in družbena omrežja.
V tovrsten mailing oziroma ozaveščevalni program lahko vključite tudi že klasičen primer lažnega zemljevida okužb s koronavirusom, ki je bil podoben tistemu Univerza Johns Hopkins. Razlika je bilo, da se je ob dostopu do spletnega mesta z lažnim predstavljanjem na uporabnikov računalnik namestila zlonamerna programska oprema, ki je ukradla podatke o uporabniškem računu in jih poslala spletnim kriminalcem. Ena različica takega programa je ustvarila tudi povezave RDP za oddaljeni dostop do računalnika žrtve.
Mimogrede, o RDP. To je še en vektor napadov, ki ga napadalci med pandemijo koronavirusa začenjajo bolj aktivno uporabljati. Številna podjetja ob prehodu na delo na daljavo uporabljajo storitve, kot je RDP, ki lahko ob nepravilni konfiguraciji zaradi naglice povzroči infiltracijo napadalcev tako v računalnike oddaljenih uporabnikov kot v infrastrukturo podjetja. Še več, tudi s pravilno konfiguracijo imajo lahko različne izvedbe RDP ranljivosti, ki jih lahko napadalci izkoristijo. Na primer Cisco Talos več ranljivosti v FreeRDP, maja lani pa je bila v storitvi Microsoft Remote Desktop odkrita kritična ranljivost CVE-2019-0708, ki je omogočala izvajanje poljubne kode na računalniku žrtve, vnos zlonamerne programske opreme itd. Razdelili so celo glasilo o njej , in na primer Cisco Talos priporočila za zaščito pred njim.
Obstaja še en primer izkoriščanja teme koronavirusa - resnična grožnja okužbe družine žrtve, če zavrne plačilo odkupnine v bitcoinih. Da bi povečali učinek, pismu dali pomen in ustvarili občutek vsemogočnosti izsiljevalca, je bilo v besedilo pisma vstavljeno geslo žrtve iz enega od njegovih računov, pridobljeno iz javnih zbirk podatkov o prijavah in geselih.
V enem od zgornjih primerov sem prikazal lažno sporočilo Svetovne zdravstvene organizacije. In tukaj je še en primer, v katerem uporabnike prosijo za finančno pomoč za boj proti COVID-19 (čeprav je v glavi v telesu pisma takoj opazna beseda "DONACIJA"). In prosijo za pomoč v bitcoinih za zaščito pred sledenje kriptovalutam.
In danes je veliko takih primerov, ki izkoriščajo sočutje uporabnikov:
Bitcoini so s COVID-19 povezani na drug način. Na primer, tako izgledajo poštna sporočila, ki jih prejmejo številni britanski državljani, ki sedijo doma in ne morejo zaslužiti (zdaj bo to postalo pomembno tudi v Rusiji).
Ta sporočila, ki se predstavljajo kot znani časopisi in spletna mesta z novicami, ponujajo enostaven zaslužek z rudarjenjem kriptovalut na posebnih spletnih mestih. Dejansko čez nekaj časa prejmete sporočilo, da lahko znesek, ki ste ga zaslužili, dvignete na poseben račun, vendar morate pred tem nakazati majhen znesek davkov. Jasno je, da prevaranti po prejemu tega denarja ne nakažejo ničesar v zameno, lahkoverni uporabnik pa preneseni denar izgubi.
S Svetovno zdravstveno organizacijo je povezana še ena grožnja. Hekerji so vdrli v nastavitve DNS usmerjevalnikov D-Link in Linksys, ki jih pogosto uporabljajo domači uporabniki in mala podjetja, da bi jih preusmerili na lažno spletno stran s pojavnim opozorilom o potrebi po namestitvi aplikacije WHO, ki jih bo obdržala. na tekočem z najnovejšimi novicami o koronavirusu. Poleg tega je sama aplikacija vsebovala zlonamerni program Oski, ki krade podatke.
Podobno idejo z aplikacijo, ki vsebuje trenutno stanje okužbe s COVID-19, izkorišča Androidov trojanec CovidLock, ki se distribuira prek aplikacije, ki naj bi bila “certificirana” s strani Ministrstva za izobraževanje ZDA, WHO in Centra za nadzor epidemij ( CDC).
Številni uporabniki so danes v samoizolaciji in, ne želijo ali ne morejo kuhati, aktivno uporabljajo storitve dostave hrane, živil ali drugega blaga, kot je toaletni papir. Tudi napadalci so obvladali ta vektor za svoje namene. Tako je na primer videti zlonamerno spletno mesto, podobno zakonitemu viru v lasti Kanadske pošte. Povezava iz SMS-a, ki ga prejme žrtev, vodi na spletno stran, ki sporoča, da naročenega izdelka ni mogoče dostaviti, ker manjkajo le 3 USD, ki jih je treba doplačati. V tem primeru je uporabnik usmerjen na stran, kjer mora navesti podatke o svoji kreditni kartici ... z vsemi posledicami, ki iz tega izhajajo.
Za zaključek bi rad navedel še dva primera kibernetskih groženj, povezanih s COVID-19. Na primer, vtičniki »COVID-19 Coronavirus - Live Map WordPress Plugin«, »Coronavirus Spread Prediction Graphs« ali »Covid-19« so vgrajeni v spletna mesta, ki uporabljajo priljubljen mehanizem WordPress in skupaj s prikazom zemljevida širjenja virusa koronavirus, vsebujejo tudi zlonamerno programsko opremo WP-VCD. In podjetje Zoom, ki je zaradi rasti števila spletnih dogodkov postalo zelo, zelo priljubljeno, se je soočilo s tem, čemur strokovnjaki pravijo »Zoombombing«. Napadalci, v resnici pa navadni pornografski troli, so se povezovali na spletne klepete in spletne sestanke ter predvajali različne nespodobne videe. Mimogrede, s podobno grožnjo se danes srečujejo ruska podjetja.
Mislim, da nas večina redno preverja različne vire, tako uradne kot manj uradne, o trenutnem stanju pandemije. Napadalci izkoriščajo to temo in nam ponujajo »najnovejše« informacije o koronavirusu, vključno s podatki, »ki jih oblasti pred vami skrivajo«. Toda tudi običajni navadni uporabniki v zadnjem času pogosto pomagajo napadalcem s pošiljanjem kod preverjenih dejstev od "znancev" in "prijateljev". Psihologi pravijo, da takšna aktivnost uporabnikov »alarmistov«, ki pošiljajo vse, kar jim pride v vidno polje (predvsem v družbenih omrežjih in hitrih sporočilih, ki nimajo zaščitnih mehanizmov pred tovrstnimi grožnjami), omogoča, da se počutijo vključene v boj proti globalna grožnja in se celo počutijo kot junaki, ki rešujejo svet pred koronavirusom. Toda na žalost pomanjkanje posebnega znanja vodi v dejstvo, da ti dobri nameni "vse vodijo v pekel", ustvarjajo nove grožnje kibernetski varnosti in povečujejo število žrtev.
Pravzaprav bi lahko nadaljeval s primeri kibernetskih groženj, povezanih s koronavirusom; Poleg tega kibernetski kriminalci ne mirujejo in izumljajo vse več novih načinov za izkoriščanje človeških strasti. Ampak mislim, da se lahko tu ustavimo. Slika je že jasna in nam pove, da se bo stanje v bližnji prihodnosti samo še poslabšalo. Moskovske oblasti so desetmilijonsko mesto včeraj postavile v samoizolacijo. Enako so storile oblasti moskovske regije in številnih drugih regij Rusije ter naših najbližjih sosed na nekdanjem postsovjetskem prostoru. To pomeni, da se bo število potencialnih žrtev kibernetskih kriminalcev večkrat povečalo. Zato je vredno ne samo ponovno razmisliti o vaši varnostni strategiji, ki je bila do nedavnega osredotočena le na zaščito omrežja podjetja ali oddelka, in oceniti, katera zaščitna orodja vam manjkajo, temveč upoštevati tudi primere, ki so navedeni v vašem programu ozaveščanja osebja, tj. postaja pomemben del sistema informacijske varnosti za oddaljene delavce. A pripravljen vam pomagati pri tem!
PS. Pri pripravi tega gradiva so bili uporabljeni materiali podjetij Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security in RiskIQ, Ministrstvo za pravosodje ZDA, Bleeping Computer resources, SecurityAffairs itd.. P.
Vir: www.habr.com