Кампанія кібератак, потенційно спрямована на кібершпигунство, висвітлює дедалі складнішу природу кіберзагроз, націлених на оборонних підрядників у США та інших країнах.
Таємна кампанія, яку дослідники Securonix виявили та відслідковують як STEEP#MAVERICK, за останні місяці вразила багатьох збройних підрядників у Європі, включно з потенційним постачальником американської програми винищувачів F-35 Lightning II.
На думку постачальника засобів безпеки, кампанія заслуговує на увагу так це загальна увага, яку зловмисники приділили безпеці операцій (OpSec) і забезпеченню того, що шкідливе програмне забезпечення важко виявити, видалити та проаналізувати.
Зловмисне програмне забезпечення на основі PowerShell, яке використовується в атаках, має "показав низку цікавих тактик, методологія стійкості, контркриміналістика та багаторівневі обфускації, щоб приховати свій код», — йдеться у звіті Securonix цього тижня.
Незвичайні можливості шкідливого програмного забезпечення
Схоже, що кампанія STEEP#MAVERICK почалася наприкінці літа з нападів на двох відомих оборонних підрядників у Європі. Як і багато інших кампаній, ланцюжок атак розпочався з фішингового електронного листа, який містив стиснений файл (.zip) із файлом ярлика (.lnk) до PDF-документа, який нібито описував переваги компанії. Securonix описав фішинговий електронний лист як схожий на той, з яким він зіткнувся під час кампанії на початку цього року за участю Північнокорейська група загроз APT37 (така ж Konni)..
Коли файл .lnk виконується, він запускає те, що Securonix описав як «досить великий і надійний ланцюжок етапів», кожен з яких написаний у PowerShell і містить аж вісім рівнів обфускації. Зловмисне програмне забезпечення також має широкі можливості антикриміналістичної експертизи та протидії налагодженню, які включають моніторинг довгого списку процесів, які можуть бути використані для пошуку зловмисної поведінки. Зловмисне програмне забезпечення призначене для вимкнення журналювання та обходу Windows Defender. Він використовує кілька методів для збереження в системі, зокрема шляхом вбудовування в системний реєстр, вбудовування себе як заплановане завдання та створення ярлика запуску в системі.
Представник відділу дослідження загроз Securonix каже, що кількість і різноманітність перевірок антианалізу та моніторингу шкідливих програм є незвичайною. Також велика кількість шарів обфускації для корисних навантажень і спроби зловмисного програмного забезпечення замінити або створити нові користувацькі командно-контрольні (C2) корисні навантаження у відповідь на спроби аналізу: «Деякі методи обфускації, такі як використання PowerShell get- псевдонім для виконання [командлет invoke-expression] зустрічається дуже рідко».
Шкідливі дії виконувалися з урахуванням OpSec з різними типами перевірок антианалізу та спробами ухилення протягом атаки, у відносно високому оперативному темпі з ін’єкціями спеціальних корисних навантажень.
«Грунтуючись на деталях атаки, можна зробити висновок для інших організацій: приділяти додаткову увагу моніторингу ваших інструментів безпеки», — каже речник. «Організації повинні забезпечити належну роботу інструментів безпеки та уникати покладатися на один інструмент або технологію безпеки для виявлення загроз».
Зростаюча кіберзагроза
Кампанія STEEP#MAVERICK є лише останньою у зростаючій кількості кампаній, спрямованих на оборонних підрядників і постачальників за останні роки. У багатьох із цих кампаній брали участь підтримувані державою актори, що працюють з Китаю, Росії, Північної Кореї та інших країн.
Наприклад, у січні Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустило тривожне попередження про російських державних акторів, спрямованих на так званих дозволених оборонних підрядників (CDC) під час атак, розроблених щоб викрасти конфіденційну оборонну інформацію та технології США. У попередженні CISA описано, що атаки спрямовані на широку групу CDC, включаючи ті, що займаються розробкою бойових систем, технологій розвідки та спостереження, розробкою зброї та ракет, а також розробкою бойових машин і літаків.
У лютому дослідники Palo Alto Networks повідомили, що щонайменше чотири американські оборонні підрядники стали мішенню кампанії з розповсюдження бекдор без файлів і розеток під назвою SockDetour. Ці атаки були частиною ширшої кампанії, яку постачальник засобів безпеки розслідував разом з Агентством національної безпеки у 2021 році за участю китайської передової постійної групи, яка цільові оборонні підрядники та організації в багатьох інших секторах.
Оборонні підрядники: вразливий сегмент
До занепокоєння щодо зростання кількості кібератак додає відносна вразливість багатьох оборонних підрядників, незважаючи на наявність секретів, які слід ретельно охороняти.
Недавнє дослідження, проведене компанією Black Kite щодо практики безпеки 100 провідних оборонних підрядників США, показало, що майже третина (32%) вразливі до атак програм-вимагачів. Це пов’язано з такими факторами, як витік або скомпрометація облікових даних, а також слабкими методами в таких сферах, як керування обліковими даними, безпека додатків і безпека рівня сокетів безпеки/транспортного рівня.
Сімдесят два відсотки респондентів у звіті Black Kite стикалися принаймні з одним інцидентом, пов’язаним з витоком облікових даних.
Можливо, є світло в кінці тунелю: Міністерство оборони США разом із зацікавленими сторонами галузі розробило набір найкращих практик кібербезпеки для військових підрядників для захисту конфіденційних даних. Згідно з програмою сертифікації моделі зрілості кібербезпеки Міністерства оборони, оборонні підрядники повинні впроваджувати ці практики — і отримати сертифікат, що вони мають — щоб мати можливість продавати уряду. Погана новина? Розгортання програми було затримано.
