Companii din 40 de ţări, vizate de atacuri informatice “invizibile”, desfăşurate folosind un malware care nu lasă urme

Experţii Kaspersky Lab semnalează propagarea tot mai mare a unui nou tip de atac informatic “invizibil”, în care fişierele malware sunt ascunse doar în memoria RAM a dispozitivelor, permiţând hackerilor să colecteze parole şi alte date sensibile fără a lăsa dovezi permanente pe hard disk sau alte indicii are să ajute la o eventuală identificare a atacatorilor.

Acţionând cu ţintă precisă şi folosind doar software legitim – teste de intruziune foarte răspândite şi instrumente ca PowerShell pentru automatizarea proceselor de lucru în Windows –  hackerii experimentaţi reuşesc să desfăşoare atacuri informatice fără să lase fişiere malware pe hard drive, ci ascunzându-le în memorie. Această abordare din două perspective ajută la evitarea detecţiei prin tehnologii de “whitelisting” şi nu le lasă investigatorilor prea multe mostre de malware sau alte dovezi cu care să lucreze. Atacatorii sunt prezenţi doar atâta vreme cât au nevoie să-şi strângă informaţii, înainte să li se şteargă urmele din sistem, la primul restart.

La finalul anului 2016, experţii Kaspersky Lab au fost contactaţi de bănci din CIS care găsiseră programul pentru teste de intruziune, Meterpreter – folosit adesea ca instrument de atac – în memoria serverelor lor, deşi nu ar fi trebuit să fie acolo. Kaspersky Lab a descoperit că acest cod Meterpreter a fost folosit împreună cu mai multe script-uri PowerShell legitime şi cu alte instrumente. Acestea au fost adaptate şi transformate într-un cod malware capabil să se ascundă în memorie, fără să fie văzut, şi să colecteze parolele administratorilor de sistem, pentru ca atacatorii să poată controla de la distanţă sistemele victimei. Scopul final pare să fie accesarea proceselor financiare.

Kaspersky Lab a dezvăluit că aceste atacuri se întâmplă la scară largă, lovind peste 140 de reţele ale companiilor mari din mai multe domenii de activitate, cele mai multe victime fiind localizate în SUA, Franţa, Kenya, Marea Britanie şi Rusia.

În total, au fost înregistrate infectări în 40 de ţări.

Nu se ştie cine se află în spatele atacurilor. Folosirea unui cod exploit de tip open source, a instrumentelor Windows obişnuite şi a domeniilor necunoscute face aproape imposibil să determini grupul responsabil – sau dacă este un singur grup sau sunt mai multe care folosesc aceleaşi instrumente. GCMAN şi Carbanak sunt două grupuri cunoscute care acţionează în mod similar.

Astfel de instrumente îngreunează, de asemenea, dezvăluirea detaliilor unui atac. Cursul normal în cazul unui răspuns la incident include investigarea urmelor şi a mostrelor lăsate în reţea de atacatori.  Şi, dacă datele de pe un hard drive pot rămâne disponibile timp de un an după un incident, cele din memorie vor fi şterse la primul restart al computerului. Din fericire, în acest caz, experţii le-au obţinut în timp.

“Hotărârea atacatorilor de a-şi ascunde activitatea şi de îngreuna detecţia şi răspunsul în cazul unui incident explică ultima tendinţă a programelor malware rezidente în memorie. De aceea este foarte importantă analiza malware la nivel de memorie. În cazul acestor incidente, atacatorii au folosit toate tehnicile pentru a-şi ascunde urmele, demonstrând că nu este nevoie de fişiere malware pentru extragerea cu succes a datelor dintr-o reţea şi că folosirea instrumentelor legitime şi open source face atribuirea aproape imposibilă”, a spus Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.

Atacatorii sunt activi încă, aşa că este important de notat că detecţia unui astfel de atac se poate face doar în memoria RAM, reţea şi registru – şi că, în astfel de cazuri, folosirea regulilor Yara bazate pe scanarea fişierelor malware sunt inutile.

Produsele Kaspersky Lab detectează operaţiuni care folosesc tacticile, tehnicile şi procedurile de mai sus.