Kolejne zagrożenie APT z „rodziny Duke’ów” atakuje ofiary wysokiego szczebla, włącznie z amerykańską kancelarią rządową. Tym razem to CozyDuke, znany także jako CozyBear, CozyCar lub Office Monkeys – to ostatnie określenie pochodzi od filmu, który został wykorzystany jako przynęta.
Atak z całą pewnością jest wyrafinowany, składa się z zaszyfrowanych elementów oraz całkiem nieźle zaprojektowanego zestawu komponentów szkodliwego oprogramowania, których struktura przypomina wcześniejsze zagrożenia – MiniDuke, CosmicDuke i Onion Duke. Ponadto zagrożenie to potrafi unikać wykrycia.
Biurowe małpy są groźne
Warte wspomnienia jest na pewno to, że pierwszy etap tego ataku w całości opiera się na socjotechnice. I, niestety, w wielu przypadkach jest to całkiem skuteczne podejście.
Jako przynęty atakujący używają zabawnego filmu o małpach pracujących w biurze. Archiwum zawierające film zapisany w postaci pliku wykonywalnego jest dostarczane za pośrednictwem wiadomości phishingowej, zawierającej załącznik lub odnośnik do strony (czasami oryginalnej, o dobrej reputacji), która niedawno została zhakowana.
Podczas odtwarzania filmu w systemie instalowany jest po cichu specjalny program (dropper), którego zadaniem jest odbieranie poleceń i dodatkowych komponentów malware’u z serwerów kontrolujących.
Cyberprzestępcy nie pomylili się, zakładając, że wielu odbiorców uruchomi ten film – ba, wiele osób podzieliło się nim z kolegami z biura, rozprzestrzeniając tym samym szkodliwe oprogramowanie. A biorąc pod uwagę fakt, że ofiarami były osoby zajmujące wysokie stanowiska, ilość potencjalnie skradzionych wrażliwych informacji jest imponująca.
Powstało więc pytanie: jak uniknąć takiego zagrożenia, jeśli nawet zaufani pracownicy działają na niekorzyść skrzętnie budowanej polityki bezpieczeństwa? Na pewno nie wolno lekceważyć potęgi socjotechniki: bo ilu lojalnych pracowników oparłoby się kliknięciu odnośnika w starannie przygotowanym liście, np. „od szefa”?
Jak uniknąć zagrożenia Office Monkey
Nawet te najbardziej wyszukane i starannie przygotowane zagrożenia APT nie będą skuteczne, jeśli zastosujesz kilka bardzo podstawowych zasad związanych z bezpieczeństwem oraz wprowadzisz stosowne ograniczenia. Na przykład: zablokowanie uprawnień administratora, regularne łatanie luk oraz zmniejszenie liczby dozwolonych aplikacji może pomóc uniknąć aż do 85% incydentów połączonych z atakami ukierunkowanymi.
Nasza firma posiada w swojej ofercie technologie Kontrola aplikacji oraz Dynamicznych białych list. Dzięki nim film o małpach — jak również inne części szkodliwego oprogramowania CozyDuke — zwyczajnie nie mógłby zostać uruchomiony bez uzyskania zgody administratora systemu.
Pracownicy administracyjni, którzy na co dzień mają do czynienia z korespondencją poufną, mogą mieć ograniczony zakres zadań i obowiązków. Można to z łatwością osiągnąć poprzez wdrożenie trybu Odmowy domyślnej w Kontroli aplikacji, co pozwoli znacznie ograniczyć uruchamianie plików wykonywalnych – dozwolone będą te składniki systemu i programy, które są niezbędne do pracy danej osoby.
Inne skuteczne narzędzia, zwłaszcza odpowiednie dla agencji rządowych i im podobnych, to:
- technologia Kontrola sieci umożliwia dostęp jedynie do dozwolonych zasobów Sieci – zazwyczaj muszą one być powiązane z pracą — lub do pewnych kategorii stron.
- Kaspersky Security for Exchange / Linux Mail przeprowadza filtrowanie zawartości poczty, aby wyeliminować podejrzane wiadomości i załączniki (takie jak archiwa), które mogą pojawiać się w zależności od roli i stażu odbiorcy w firmie.
- Kontrola urządzeń to technologia, która uniemożliwia dobrowolne podawanie określonych informacji, czy to na zewnątrz firmy, czy to w jej obrębie. Ponadto blokuje rozprzestrzenianie szkodliwego oprogramowania, zwiększając ochronę przed pewnymi formami kradzieży danych.
- przeprowadzanie specjalistycznych szkoleń bezpieczeństwa dla pracowników, takie jak prowadzi Kaspersky Lab w ramach usługi Security Intelligence Services. Zwiększają one świadomość i pomagają zrozumieć zagrożenia, które mogą przeniknąć nawet do dobrze chronionych biur. Ponadto pokazują, jak uniknąć wielu niebezpiecznych praktyk wyglądających niewinnie, ale, które może kosztować ich firmę fortunę — lub nawet stanowić zagrożenie dla bezpieczeństwa ich kraju.
Pomyśl o czymś większym
Zanim dojdzie do ataku, aktorzy APT badają wybraną organizację — włącznie z zatrudnionymi osobami, procesem biznesowym, a także obecnymi rozwiązaniami bezpieczeństwa. Ta wiedza jest wykorzystywana do oszacowania luk oraz do obejścia istniejących mechanizmów bezpieczeństwa.
Jak uniknąć zagrożenia CozyDuke?
A zatem: w projektowaniu ochrony przed atakami APT absolutnie konieczne jest podejście wielowarstwowe. Rozszerz swoje rozwiązanie bezpieczeństwa – dodaj do niego inne proaktywne środki bezpieczeństwa, które zadbają o różne obszary sieci IT. Tak przygotowany, staniesz się nieatrakcyjnym i nieopłacalnym celem dla ataku APT.