Кампания изощренных тайных кибератак нацелена на военных подрядчиков

Кампания кибератак, потенциально направленная на кибершпионаж, подчеркивает все более изощренный характер киберугроз, нацеленных на оборонных подрядчиков в США и других странах.

Тайная кампания, которую исследователи из Securonix обнаружили и отслеживают как STEEP#MAVERICK, за последние месяцы нанесла ущерб нескольким подрядчикам по производству оружия в Европе, в том числе потенциальному поставщику американской программы истребителей F-35 Lightning II.

Что делает кампанию примечательной, по мнению поставщика средств безопасности, так это общее внимание, которое злоумышленник уделил безопасности операций (OpSec) и обеспечению того, чтобы их вредоносное ПО было трудно обнаружить, трудно удалить и сложно проанализировать. 

Постановщик вредоносного ПО на основе PowerShell, используемый в атаках, имеет «показал множество интересных тактик, методология персистентности, контр-криминалистическая экспертиза и многоуровневая обфускация, чтобы скрыть свой код», — говорится в отчете Securonix на этой неделе.

Необычные возможности вредоносных программ

Кампания STEEP#MAVERICK, похоже, началась в конце лета с атак на двух известных оборонных подрядчиков в Европе. Как и многие другие кампании, цепочка атак началась с адресного фишингового электронного письма, которое содержало сжатый (.zip) файл с ярлыком (.lnk) к PDF-документу, якобы описывающему преимущества компании. Securonix описала фишинговое электронное письмо как похожее на то, с которым она столкнулась в начале этого года в ходе кампании с участием Северокорейская группа угроз APT37 (она же Konni).

Когда файл .lnk выполняется, он запускает то, что Securonix назвал «довольно большой и надежной цепочкой стадий», каждая из которых написана на PowerShell и имеет до восьми уровней обфускации. Вредоносная программа также обладает обширными возможностями защиты от криминалистики и противодействия отладке, включая мониторинг длинного списка процессов, которые можно использовать для поиска вредоносного поведения. Вредонос предназначен для отключения ведения журнала и обхода Защитника Windows. Он использует несколько методов для сохранения в системе, в том числе путем внедрения себя в системный реестр, путем внедрения себя в качестве запланированной задачи и создания ярлыка запуска в системе.

Представитель группы исследования угроз Securonix говорит, что количество и разнообразие антианализа и антимониторинговых проверок, которыми обладает вредоносное ПО, необычны. То же самое относится и к большому количеству уровней запутывания полезной нагрузки и попыткам вредоносного ПО заменить или сгенерировать новые настраиваемые полезные нагрузки системы управления и контроля (C2) в ответ на попытки анализа: «Некоторые методы запутывания, такие как использование PowerShell get- псевдоним для выполнения [командлета invoke-expression] встречается очень редко».

Вредоносные действия выполнялись с учетом требований OpSec с использованием различных типов антианалитических проверок и попыток уклонения на протяжении всей атаки в относительно высоком темпе с внедрением пользовательских полезных нагрузок. 

«Основываясь на деталях атаки, один вывод для других организаций заключается в том, чтобы уделять особое внимание мониторингу ваших инструментов безопасности», — говорит представитель. «Организации должны обеспечить, чтобы инструменты безопасности работали должным образом, и не полагаться на один инструмент или технологию безопасности для обнаружения угроз».

Растущая киберугроза

Кампания STEEP#MAVERICK — лишь последняя из растущего числа кампаний, нацеленных на оборонных подрядчиков и поставщиков в последние годы. Во многих из этих кампаний участвовали поддерживаемые государством субъекты, действующие из Китая, России, Северной Кореи и других стран. 

Например, в январе Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустило предупреждение о том, что спонсируемые российским государством субъекты нацелены на так называемых допущенных оборонных подрядчиков (CDC) в атаках, разработанных для кражи конфиденциальной информации и технологий обороны США. В предупреждении CISA говорится, что атаки нацелены на широкий круг CDC, в том числе на те, которые занимаются разработкой боевых систем, технологий разведки и наблюдения, разработкой оружия и ракет, а также проектированием боевых машин и самолетов.

В феврале исследователи из Palo Alto Networks сообщили, что как минимум четыре оборонных подрядчика США стали мишенью кампании по распространению безфайловый бэкдор без сокетов под названием SockDetour. Атаки были частью более широкой кампании, которую поставщик безопасности расследовал вместе с Агентством национальной безопасности в 2021 году с участием китайской передовой постоянной группы, которая целевые оборонные подрядчики и организации в ряде других секторов.

Оборонные подрядчики: уязвимый сегмент

К опасениям по поводу растущего объема кибератак добавляется относительная уязвимость многих оборонных подрядчиков, несмотря на то, что у них есть секреты, которые следует тщательно охранять. 

Недавнее исследование методов обеспечения безопасности 100 ведущих оборонных подрядчиков США, проведенное Black Kite, показало, что почти треть (32%) уязвимы для атак программ-вымогателей. Это происходит из-за таких факторов, как утечка или скомпрометация учетных данных, а также слабая практика в таких областях, как управление учетными данными, безопасность приложений и безопасность уровня сокетов/транспортного уровня. 

Семьдесят два процента респондентов в отчете Black Kite испытали по крайней мере один инцидент, связанный с утечкой учетных данных.

В конце туннеля может быть свет: Министерство обороны США совместно с заинтересованными сторонами отрасли разработало набор передовых методов кибербезопасности, которые военные подрядчики могут использовать для защиты конфиденциальных данных. В соответствии с программой сертификации модели зрелости кибербезопасности Министерства обороны США, оборонные подрядчики должны внедрить эти методы и пройти сертификацию, чтобы иметь возможность продавать их правительству. Плохие новости? Внедрение программы был задержан.