Na początku lutego kilka instytucji finansowych poinformowało, że ich stacje robocze zostały zainfekowane szkodliwym oprogramowaniem pochodzącym najprawdopodobniej z normalnych, działających zgodnie z prawem serwisów WWW. Okazało się, że incydenty te są częścią kampanii na dużą skalę, która ma na celu infekowanie serwisów WWW powszechnie uważanych za bezpieczne, aby za ich pośrednictwem zaatakować przedsiębiorstwa z różnych sektorów. Strategia taka jest znana jako „taktyka wodopoju” (ang. watering hole).
Wszystko zaczęło się od serii ataków hakerskich na polskie banki – wykryły one na swoich terminalach i serwerach nieznane szkodliwe oprogramowanie oraz budzące wątpliwości zaszyfrowane programy lub pliki wykonywalne. Stwierdziły również nasilenie podejrzanych działań w sieci. Szkodliwe oprogramowanie zaatakowało w szczególności systemy, które łączyły się z nietypowymi i odległymi miejscami na świecie, dokąd prawdopodobnie trafiały skradzione dane.
Oprogramowanie, o którym mowa – to RATANKBA. Wykorzystano je nie tylko w atakach na polskie banki, lecz także w serii podobnych incydentów wykrytych w instytucjach finansowych w Meksyku, Urugwaju, Wielkiej Brytanii i Chile.
Jak przebiegały cyberataki?
Banki nie były jedynymi celami cyberprzestępców. Wśród ofiar znalazły się również przedsiębiorstwa z takich branż jak telekomunikacja, doradztwo w dziedzinie zarządzania, informatyka, ubezpieczenia, lotnictwo i edukacja. Kampania nie ograniczała się do Ameryki Północnej i Europy: wiele ataków zaobserwowaliśmy również w regionie Dalekiego Wschodu, zwłaszcza na Tajwanie, w Hongkongu i Chinach.
W kampanii, której ofiarą padły polskie banki, wykorzystano narzędzia i techniki typowe dla ataków ukierunkowanych, z którymi łączą ją takie elementy jak eksploracja w poziomie i rozpoznanie. Przestępcy zastosowali „taktykę wodopoju”. Zainfekowali normalne, uważane za bezpieczne serwisy WWW, które często odwiedzają użytkownicy będący ostatecznym celem. W serwisach tych umieścili szkodliwy kod JavaScript. Pobiera on odciski cyfrowe komponentów przeglądarki, a następnie ściąga eksploity z systemów, na których umieszczono szkodliwe oprogramowanie oraz całe zestawy eksploitów (niektóre z tych systemów prawdopodobnie też zostały zainfekowane).
Infekcja przebiega wieloetapowo, z użyciem różnych typów szkodliwego oprogramowania. W ataku użyto wielu serwerów dowodzenia i kierowania. Niektóre z nich również zostały zainfekowane i wykorzystane jako serwery proxy w celu nawiązywania połączeń z infrastrukturą cyberprzestępców.
W jednym z obserwowanych przez nas incydentów szkodliwe oprogramowanie RATANKBA (TROJ_RATANKBA.A), które na początku zostało umieszczone w systemie ofiary, nawiązywało łączność z normalnym i uważanym za bezpieczny (ale zainfekowanym) serwisem WWW (serwis sprzedający aplikacje do urządzeń mobilnych eye-watch[.]in:443). Z serwisu tego pobierane było również narzędzie hakerskie (nbt_scan.exe). Ponadto przejęta domena była wykorzystywana w kampanii jako jedna z platform komunikacji z serwerem C&C.
Inicjator ataku używa oprogramowania RATANKBA w celu zbadania terenu, a w szczególności różnych aspektów komputera-hosta, na który szkodliwe oprogramowanie zostało początkowo pobrane (tj. komputera będącego ofiarą ataku „watering hole”). Chodzi o pozyskanie informacji dotyczących bieżących zadań, domeny, udostępnień, użytkowników, domyślnego połączenia hosta z internetem itp.
O szczegółach można przeczytać tutaj: http://blog.trendmicro.com/trendlabs-security-intelligence/ratankba-watering-holes-against-enterprises/
Skutki ataków
Liczba ofiar okazała się większa od początkowo szacowanej. Jak informuje nasza sieć Smart Protection Network™, oprócz Ameryki Północnej (głównie Stanów Zjednoczonych), Europy i Ameryki Południowej kampania wyrządziła również duże szkody przedsiębiorstwom na Tajwanie, w Hongkongu, Chinach i Bahrajnie.
Ponadto stwierdziliśmy ataki w Luksemburgu, Francji, na Filipinach, w Japonii, Hiszpanii, Malezji, Norwegii i Rumunii. Podobnie jak w innych regionach, hakerzy uderzyli tu w branżę telekomunikacji (w tym operatorów internetu) i bankowości. Wiele ofiar działa w takich sektorach, jak usługi związane z internetem (np. obsługa centrów przetwarzania danych), doradztwo w dziedzinie zarządzania, informatyka, farmaceutyka, a nawet lotnictwo i edukacja.
Rozwiązania Trend Micro
Instytucje finansowe mogą chronić swoje sieci za pomocą zaawansowanych rozwiązań, które wykrywają i analizują potencjalne zagrożenia oraz skutecznie reagują na ataki nawet najbardziej zdeterminowanych hakerów.
W ramach rozwiązań Trend Micro™ Deep Security™ i Vulnerability Protection dostępne są wirtualne poprawki chroniące punkty końcowe przed takimi zagrożeniami jak przekierowania na adresy URL, na których znajduje się szkodliwe oprogramowanie, oraz eksploity wykorzystujące luki w zabezpieczeniach. OfficeScan Vulnerability Protection zabezpiecza punkty końcowe przed znanymi i nieznanymi eksploitami, zanim użytkownik zdąży zainstalować odpowiednie poprawki. Rozwiązanie Trend Micro™ Deep Discovery™ umożliwia wykrywanie eksploitów i innych podobnych zagrożeń, ich dogłębną analizę oraz proaktywne reagowanie na ataki z wykorzystaniem wyspecjalizowanych modułów, niestandardowego wydzielonego środowiska uruchamiania aplikacji (ang. sandbox) oraz płynnej korelacji obejmującej cały cykl ataku. Pozwala to na wykrywanie ataków nawet bez aktualizacji takich modułów lub wzorców.
Autor: Bartłomiej Wodziński – Regional Account Manager w Trend Micro