Uhkaraportti: haittaohjelma, kybervakoiluryhmä Dukes ja miten järjestelmät murrettiin

F-Securen tutkimuksyksikön tuorein uhkaraportti kannattaa ehdottomasti ladata ja lukea huolellisesti. Raportti antaa yleiskuvan uhkatilanteesta ja sen muutoksista viime vuonna. Raportti purkaa viime vuoden huomionarvoisimmat tietoturvatapaukset. Lukija saa uuden analyyttisen työkalun, joka auttaa ymmärtämään, miten nykyiset kyberuhkat murtavat tietoturvan.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 31, 2016
Lukuaika: 4 Minuuttia

F-Securen hiljattain julkaisema uhkaraportti, käy leveällä rintamalla läpi kyberturvallisuuden ongelmia. Raportti perustuu F-Securen vuoden 2015 aikana keräämään laajaan aineistoon. Aineiston perusteella F-Securen asiantuntijat analysoivat resursseja, joita hyökkääjät käyttivät ja käyttävät murtaakseen ihmisten ja yritysten tietoturvan.

Raportin ensimmäinen osa luo enimmäkseen yleiskuvaa hyökkäyksistä. Raportin toinen osa analysoi, miten viime vuoden huomiota herättävimmät uhkat, mukaan lukien kiristysohjelmat ja murtautujan työkalupakit, olivat vain osia hyökkäyskokonaisuuksista. Toisin kuin jotkut luulevat – kyberhyökkäyksissä ei ole kysymys vain tietokoneviruksista. Nykyajan hakkerit tukeutuvat erilaisiin resursseihin monivaiheisilla hyökkäyksillä, joissa jokainen vaihe päästää hyökkääjän tunkeutumaan yhä syvemmälle kohteen järjestelmiin ja verkkoihin.

 

chain of compromise

Raportin käyttäjäkeskeinen malli ”murtautumisen vaiheet” (Chain of Compromise, CoC) purkaa tietomurron vaiheisiin. Malli kuvaa kunkin vaiheen vaikutukset kohteeseen. Mallia voidaan soveltaa melkein mihin vain hyökkäykseen, sillä vaiheet eivät ole sidoksissa tiettyyn hyökkäyksen tai uhrin tyyppiin.

Tämä on CoC-mallin keskeinen vahvuus. Jokainen potentiaalinen kohde näkee mallin avulla, miten kyberuhkat aiheuttavat turvahäiriöitä. Häiriö voi olla esimerkiksi  haittaohjelmatartunta tai tietovuoto.  Raportti tarjoaa konkreettisia esimerkkejä, miten uhka-arvio tehdään. CoC:llä kuvataan esimerkiksi, miten edistyneisiin pitkäkestoisiin verkkohyökkäyksiin (APT) erikoistunut Dukes-ryhmä toteutti kybervakoilukampanjoita. Raportti kertoo, miten ryhmä manipuloi uhrit ”avaamaan oven” kohdistetuilla kalasteluhyökkäyksillä.

Video kertoo kuinka hyödyntää kohdistettua kalasteluhyökkäystä (spear-phishing) hyökkäyksen alkajaisiksi, tunkeutuakseen järjestelmään ja tartuttaakseen kohteen CosmicDuketietovarkausohjelmalla.

Hyökkäys alkaa toimittamalla syötti valepuvussa”, F-Securen tietoturvaneuvonantaja Erka Koivunen.

Tässä tapauksessa vastaanottaja saa väärennetyn sähköpostiviestin (hyvin yleinen kyberrikollisten kikka). Uhri saadaan luulemaan, että viesti tulee tutulta henkilöltä väärentämällä ”lähettäjä”-kentän teksti. Oikeasti viesti tulee tietenkin ihan muualta.

Tämä on yksi tapa, jolla Dukes-ryhmän tapaiset hyökkääjät toteuttavat ensimmäisen eli ”aloitus”-vaiheen. Kun vastaanottaja avaa viestin eli nielee syötin, hän on jo aloittanut altistuksen hyökkäykselle. Murron ensimmäinen vaihe on saavutettu. Jatko määräytyy sen mukaan, miten vakuuttava hyökkääjä osaa olla uhrille.

”Houkuttimet on suunniteltu kaappaamaan huomiosi”, Erka Koivunen.

Sähköpostiviestin mukana tulee erityisesti tarkoitettuihin uhreihin vetoava liitetiedosto. Liite laaditaan sellaiseksi, että vastaanottaja ei arvaa sen todellista tarkoitusta, joka on suorittaa haittakoodia kohteen järjestelmässä.

Kohdistetun kalasteluhyökkäyksen lähettäjän maaleja ovat tietyt nimenomaiset kohteet. On helppo laatia räätälöity ja uskottava viesti henkilöille, jotka tunnetaan. Viesti voi liittyä kiinnostuksen kohteisiin, työhön tai mihin tahansa, mikä tekee sisällöstä kohteille houkuttelevan. Kyse on sosiaalisesta manipuloinnista. Hyökkääjä pyrkii kaappaamaan kohteen mielenkiinnon aivan kuin digimarkkinoijat ja mainostajat yrittävät luoda viestejä, jotka saavat kohteet klikkaamaan verkkomainosta.

Huomaat tämän videossa.  Sähköpostiviestin aihe ja liitedokumentin alku viestivät lukijalle, että sisältö liittyy EU:n Ukrainan tilanteen vuoksi Venäjälle määräämiin pakotteisiin. Tällainen sisältö on merkityksellistä laajalle sellaiselle ihmisjoukolle, joka työskentelee politiikan tai kansainvälisten asioiden parissa. Juuri tämä joukko on Dukes-ryhmän kohde. Olemme havainneet samanlaista taktiikkaa käytetyn yhä uudelleen ja uudelleen myös moniin laajempiin ryhmiin kohdistetuissa hyökkäyksissä.

On ovelaa väittää, että houkutinliitteen tiedot ovat salaisia, vain rajoitetulle joukolle tarkoitettuja. Tämä on vastaanottajalle uskottava perustelu sille, että makrot pitää sallia liitteen avaamiseksi. Lisäksi houkutusta päästä lukemaan salaista tietoa on lähes mahdotonta vastustaa, jos sellaiseen tietoon ei yleensä pääse käsiksi.

Monet eivät tiedä, miten hyökkäykset ja troijalaismakrot toimivat. (Tästä on lisää tietoa uhkaraportissa.) Tästä syystä he eivät todennäköisesti tiedosta, mitä hyökkääjät tarvitsevat murtautuakseen järjestelmään. Videosta näkee, mitä tapahtuu. Kun käyttäjä sallii sisällön. Tapahtuu paljon muutakin kuin vain se, että hän pystyy lukemaan asiakirjan loppuosan. Näin Dukes pääsee käsiksi vastaanottajan järjestelmään (huomaa miten tmp-prosessi alkaa). Kun asiakirjaan piilotettu haittakoodi suoritetaan, hyökkääjä onnistuu vaiheessa ”tunkeutuminen” jättäen näin ovet auki ”tartunta”-vaiheelle.

”Kun hyökkäys aktivoituu, peli on pelattu”, Erka Koivunen.

 

 

 

 

 

Kun vastaanottaja on ”avannut ovet” ja hyökkäys pujahtaa järjestelmään, tartunta CosmicDuke ottaa ohjakset. ”Tmp”-prosessi alkaa pyöriä tietokoneessa, kun pahaa-aavistamaton uhri lukee asiakirjan läpi. CosmicDuke on perimmältään tietovarkausohjelma. Tosin sen mukana tulee muitakin kykyjä sisältäviä komponentteja. Ohjelma varastaa tietoa monella menetelmällä: tallentamalla näppäimenpainalluksia, ottamalla ruutukaappauksia ja nappaamalla salausten purkuavaimia.

Mitä kohteelle sitten tapahtuu?

”Jos kohde ei tee hyökkäykselle jotakin, hän on vaikeuksissa”, Erka Koivunen.

 

 

 

 

 

Kaikille yrityksille ja niiden työntekijöille pitää levittää tietoisuutta näistä ongelmista. Yritykset ovat houkuttelevia kohteita kohdistetuille kalastelukampanjoille. IT-ylläpidon ja -johdon pitää valmistaa työntekijät vastaanottamaan kohdistettuna kalasteluviestejä, joita apt-ryhmät, kyberrikolliset ja lukuisa joukko muita toimijoita lähettää.

Uhkaraportin mukaan makrohaittaohjelmat tekevät paluuta. Yritysten pitää varoittaa työntekijöitä siitä, että pyyntö sallia makrot on merkki vakavasta vaarasta.

Erka valistaa:

”Hyökkääjät luottavat siihen, että löytyy huonoille tavoille oppineita työntekijöitä, jotka poistavat suojaukset sallimalla makrot. Jos yritykset eivät halua työntekijöille ”selkäytimestä” tulevaa rutiinia sallia klikkaamalla, IT-ylläpidon on yritettävä lopettaa makrojen käyttö yrityksessä. Näin makrojen sallimisesta muodostuu ihmisille poikkeustapahtuma. Ehkä ajatellaan hetki ennen kuin klikataan. Jos makroja ei voida tykkänään eliminoida, IT-ylläpidon pitäisi estää muut kuin allekirjoitetut makrot. Näin estetään muiden kuin luotetuista lähteistä tulevien makrojen käyttö.  ”

Lataa uhkaraportti, niin saata saat lisää tietoa vuoden 2015 eniten huomiota herättäneistä uhkista. Lisää tietoa on myös blogikirjoituksessa.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s