Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Nekļūstiet par piegādes ķēdes uzbrukuma posmu

Nekļūstiet par piegādes ķēdes uzbrukuma posmu

Mēs bieži dzirdam vienu un to pašu: „Mūsu uzņēmums nav starp lielākajiem savā jomā; nopietniem uzbrucējiem mūsu uzņēmums neinteresētu.” Bet vienalga, cik populārs ir šis uzskats, tas tik un tā neatbilst patiesībai. Lūk piemērs, kā sarežģītu mērķēto uzbrukumu (APT) operators veica tā saucamo piegādes ķēdes uzbrukumu izmantojot mazu uzņēmumu (pasaules mērogā).

Šogad martā, drošības analītiķu sanāksmes Security Analyst Summit laikā, Kaspersky Lab kolēģi no AVAST pastāstīja par atgadījumu ar nelielo britu uzņēmumu Piriform, kuru viņi iegādājās pērn. Piriform ir slavens ar savu CCleaner utilītprogrammu, kas sakopj datoru — dzēš potenciāli nevajadzīgus failus un nederīgus Windows reģistra ierakstus. Patiesībā tas ir viens no vecākajiem sistēmas sakopšanas rīkiem, kurš lejupielādēts vairāk nekā 2 miljardus reižu. Tas, iespējams, ir iemesls, kāpēc APT operatori to izvēlējās spiegu programmatūras izplatīšanai. Par šo uzbrukumu mēs jau informējām rakstā “Caur Avast piederošo CCleaner ar spiegošanai izmantojamu programmatūru inficēti lielu tehnoloģiju uzņēmumu datori“.

 

 

Uzbrukums ar CCleaner

Sākumā ļaundari ietekmēja Piriform kompilēšanas vidi, inficējot serverus, kuros programmas tika veidotas. Kaut arī ar pirmkodu viss bija kārtībā, kompilētie produkta būvējumi saturēja ļaunprogrammatūru, kuru izmantoja uzbrukumiem. Turklāt, pateicoties mainītajai kompilatora bibliotēkai, ļaunprogrammatūra ieguva likumīgu Piriform digitālo parakstu. Skartas bija versijas CCleaner 5.33.6162 un CCleaner Cloud 1.7.0.3191.

Pati uzbrukuma shēma bija diezgan sarežģīta, tā sastāvēja vismaz no 3 posmiem. Ļaunprogrammatūra, kas bija paslēpta vienā no populārākajām aplikācijām ar aptuveni 100 miljoniem aktīvu lietotāju, tika izplatīta veselu mēnesi. Aptuveni 2,27 miljoni cilvēku lejupielādēja kādu no skartajām programmām, un pēc tam vismaz 1,65 miljoni ļaunprogrammatūras kopiju mēģināja savienoties ar noziedznieku serveriem. Kā vēlāk atklājās, vadības serverī atradās vienkāršs skripts, kas „izlēma”, kurus upurus ietekmēs otrajā posmā. Skripts pārbaudīja upura domēnu un izvēlējās tos, kuri strādāja augsta līmeņa tehnoloģiju uzņēmumos un IT risinājumu piegādē. Šādā veidā tika izraudzīti tikai 40 datori, kuri saņēma papildu ļaunprogrammatūru.

Otrais posms bija veltīts līdzīgam mērķim — precizēt upuru izvēli. Ļaundari no šiem 40 datoriem ievāca informāciju, analizēja to un tad izvēlējās sev interesantākos upurus. Šajā posmā viņi samazināja upuru skaitu līdz četriem.

Šie 4 saņēma tieši viņiem izstrādātu ļoti izplatītās ķīniešu ļaunprogrammatūras ShadowPad būvējumu. Un tas bija patiesais uzbrukuma mērķis: ievietot lūku (backdoor) noteiktu augsta līmeņa uzņēmumu darbinieku datoros.

Kas šajā sakarā būtu darāms?

Galvenā mācība sakarā ar šo atgadījumu jau ir pieminēta ieraksta sākumā: pat tad ja jūs tiešām neesat interesants sarežģītu (dārgu) uzbrukumu mērķis, jūs var izmantot kā piegādes ķēdes posmu. It īpaši tad, ja jums ir daudz lejupielāžu. Lai pēc iespējas samazinātu kaitējumu savam biznesam, nepieciešama aizsardzības stratēģija, sākot no uzbrukumu novēršanas un atklāšanes beidzot ar reaģēšanu, ievainojamību novēršanu un iespējamo risku prognozēšanu. Patstāvīgi tikt galā ar šo visu nebūt nav vienkārši, tāpēc nav jākautrējas vērsties pie ārējiem ekspertiem.

Lai aizsargātu jūsu uzņēmumu, jums aktīvi jāmeklē iespējamie apdraudējumi jūsu infrastruktūrā. Veiksmīgs mērķa uzbrukums var palikt nepamanīts ilgu laiku – tāpat kā Piriform gadījumā, kad uzņēmums, nezinot to, izplatīja ļaunprogrammatūru vairāk nekā mēnesi. Izvairīties no šādiem incidentiem var palīdzēt pieredzējuši “apdraudējumu mednieki”.

Te var nākt talkā Kaspersky Lab eksperti pakalpojuma Kaspersky Threat Hunting ietvaros. Ar Targeted Attack Discovery pakalpojumu eksperti palīdzēs identificēt notiekošu noziedzīgu darbību datortīklā, saprast tās iemeslus un izcelsmi. Viņi palīdzēs arī mīkstināt uzbrukuma sekas un nākotnē izvairīties no līdzīgiem uzbrukumiem. Papildus var izvēlēties Kaspersky Managed Protection — pārraudzību visu diennakti un nepārtrauktu apdraudējumu datu analīzi.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

5 + = 10

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu