Зачем разрабатывать малварь с нуля или приобретать у других разработчиков, если можно воспользоваться бесплатными открытыми решениями? Именно такая логика всё чаще движет киберпреступниками, рассказывают специалисты «Лаборатории Касперского». Один из наиболее ярких примеров последнего времени: использование хакерами опенсорсного фреймворка BeEF (Browser Exploitation Framework) для организации атак.
BeEF – небезызвестный набор инструментов для пентестинга, сфокусированный вокруг безопасности браузеров. Исследователи «Лаборатории Касперского» пишут, что BeEF взяли на вооружение хакеры. Фреймворк позволяет злоумышленникам шпионить за посетителями определенных ресурсов, реализуя атаки watering hole. Для этого BeEF устанавливают на сайты, часто посещаемые потенциальными жертвами, с помощью фреймворка определяют, какие браузеры используют жертвы, а затем крадут логины и пароли и используют их, например, для внедрения в скомпрометированные устройства дополнительного вредоносного ПО.
Так, недавно BeEF был обнаружен на сайте иранского университета, где отслеживал посетителей. В России атаки с применением BeEF затронули сайт посольства одной из стран Ближнего Востока в РФ, организации по управлению внешней торговлей, компании по развитию бизнеса за рубежом и форум разработчиков игр.
Исследователи пишут, что описанная тактика взята на вооружение иранской хакерской группой, которая получила название NewsBeef (а ранее была известна как Newscaster или Charming Kitten). Данная группа активно применяет для своих кампаний компоненты Metasploit, PowerSploit и BeEF. Группа известна тем, что часто создает поддельные страницы в социальных сетях, а затем собирает информацию о посетителях из США, Израиля, Великобритании, Саудовская Аравии и Ирака.
Также злоумышленники компрометируют сайты, работающие на базе популярных CMS, так как совсем несложно найти уязвимость в очередном плагине для WordPress, устаревшую версию Joomla или Drupal. Скомпрометировав ресурс, хакеры либо осуществляют инъекцию src ли iframe, либо используют BeEF. Как правило, после этого злоумышленники шпионят за жертвами, используя возможности evercookie и иные техники. В других случаях хакеры используют Metasploit и доставляют на машины жертв бекдоры. Порой злоумышленники даже подделывают всплывающие окна для ввода учетных данных, с целью похищения логинов и паролей от социальных сетей.
Эксперты «Лаборатории Касперского» пишут, что это уже становится тенденцией. Киберпреступники все чаще используют для проведения целевых атак инструменты, предназначенные для исследовательских целей, вместо вредоносного ПО, специально разработанного или купленного на черном рынке. Такой подход обходится дешевле и он более эффективен. К тому же обнаружить атаку с применением легальных технологий гораздо сложнее. Таким образом, даже кибергруппировки с недостатком опыта и ресурсов могут представлять угрозу для частных пользователей и компаний.
«Легальные инструменты с открытым исходным кодом, предназначенные изначально для проведения тестов на проникновение, и раньше применялись для проведения целевых атак, но теперь это стало трендом. Фреймворк BeEF особенно популярен среди самых разных кибергруппировок по всему миру. Сотрудникам отделов безопасности следует обратить на это внимание, чтобы принять меры для защиты организаций от атак данного типа», — предупреждает Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».