Специалисты по информационной безопасности заявили об обнаружении кампанию кибершпионажа TunnelSnake, которая проводится с 2019 года и направлена на дипломатические представительства в Азии и Африке. В ней применяется ранее неизвестный руткит. Зловред, названный Moriya, позволяет совершать практически любые действия в операционной системе, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на заражённые устройства. С помощью Moriya злоумышленники несколько месяцев тайно контролировали сети жертв.
Руткиты — это вредоносные программы или наборы программных инструментов, которые дают атакующим практически неограниченный и тайный доступ к заражённому компьютеру. Эти зловреды известны своим умением скрываться благодаря способности проникать в саму структуру операционной системы. Microsoft разрабатывает меры, которые затрудняют успешное развёртывание и работу руткитов, особенно в ядре, и теперь большинство руткитов под Windows используются в сложных целевых атаках, таких как TunnelSnake.
Эксперты начали расследование, когда получили от защитных продуктов уведомления об обнаружении уникального руткита внутри сетей компаний-жертв. Он умеет скрываться особенно хорошо благодаря двум особенностям.
Во-первых, руткит проникает в сетевые пакеты и проверяет их из пространства адресов ядра Windows — той области памяти, где обычно работает только привилегированный и доверенный код. Это позволяло зловреду отправлять уникальные вредоносные пакеты до их обработки сетевым стеком операционной системы и, как следствие, избегать детектирования защитными решениями. Во-вторых, руткиту не приходилось обращаться к серверу за командами, как это обычно происходит с бэкдорами. Он получал команды в специально промаркированных пакетах, которые приходили в общем потоке сетевого трафика. Это значит, что злоумышленникам не требовалось создавать и поддерживать командно-контрольную инфраструктуру. Кроме того, это позволяло им тщательно скрывать следы присутствия в системе.
В большинстве случаев руткит разворачивался путём компрометации уязвимых веб-серверов внутри сетей компаний-жертв. В одном случае атакующие заразили сервер веб-оболочкой China Chopper. Это вредоносный код, который позволяет удалённо контролировать заражённый сервер.
Кроме руткита Moriya злоумышленники использовали и другие инструменты — новые кастомизированные или ранее использованные китайскоговорящими APT-группами. С их помощью атакующие сканировали устройства в локальной сети, находили новые цели и распространяли вредоносное ПО.
«Мы не знаем, кто именно стоит за этой атакой, но, судя по целям и инструментам, это может быть одна из известных китайскоговорящих групп. Мы также нашли более старую версию Moriya, использовавшуюся в отдельной атаке 2018 года. Значит, группа, которая стоит за этой кампанией, активна как минимум с того времени. Выбор целей и инструментов позволяет предположить, что её цель— шпионаж. Это нельзя утверждать наверняка, так как точно не известно, к какой именно информации злоумышленники получили доступ, — рассказывает Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского». — Мы продолжаем совершенствовать способы противодействия целевым атакам, но и злоумышленники совершенствуют свои стратегии. Мы видим всё больше таких кампаний, как TunnelSnake, в которых злоумышленники делают всё возможное, чтобы как можно дольше оставаться незаметными, инвестируют в наборы инструментов, которые становятся более кастомизированными, сложными и незаметными. Но, как показывает наше расследование, такие инструменты можно обнаружить и заблокировать. Гонка вендоров и злоумышленников продолжается. Чтобы выйти из неё победителем, сообщество экспертов по кибербезопасности должно объединять усилия».
Для защиты от целевых атак специалисты рекомендуею компаниям:
- регулярно проводить аудит безопасности IT-инфраструктуры;
- использовать надёжные системы защиты и своевременно обновлять их, чтобы они были в состоянии детектировать новейшие вредоносные инструменты, такие как руткиты;
- для эффективной борьбы с киберугрозами внедрить продукты для борьбы со сложными целевыми атаками и EDR-решения. Предоставить команде SOC-центра доступ к актуальной информации о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками, а также регулярно проводить для них специальные тренинги.