Xakep #305. Многошаговые SQL-инъекции
Эксперты Group-IB обнародовали отчет Hi-Tech Crime Trends 2019-2020, посвященный атакам на различные индустрии и объекты критической инфраструктуры, а также кампаниям, направленным на дестабилизацию сети интернет в отдельных странах.
Авторы отчета изучили активность наиболее опасных как киберкриминальных групп, так и прогосударственных атакующих, целью которых является шпионаж и саботаж. В целом, 38 групп, спонсируемых государствами, были активны за исследуемый период, из них 7 — новые.
Отчет стал уже шестым Hi-Tech Crime Trends и в этом году он впервые поделен на основные атакуемые индустрии и традиционно охватыва етпериод H2 2018 — H1 2019 по сравнению с H2 2017 — H1 2018.
«Последние три года четко показывают скорость эскалации угроз в киберпространстве, если 2017-й стал годом эпидемии вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit, то 2018-й обнаружил слабую готовность к side-channel атакам и угрозам, связанным с уязвимостями в микропроцессорах. Но 2019-й год стал годом открытых военных киберопераций. Конфликт между государствами приобрел новые формы, и кибер-активность играет ведущую роль в этом противостоянии. Фокус исследователей во всем мире постепенно смещается с финансово-мотивированных хакерских групп, зарабатывающих деньги взломом различных организаций, в сторону прогосударственных атакующих. Их активность остается незамеченной годами, немногие прецеденты становятся достоянием общественности, но большинство из них говорит о том, что объекты критической инфраструктуры многих стран уже скомпрометированы. Это говорит о том, что мирное существование больше невозможно в отрыве от кибербезопасности: этот фактор не может игнорировать ни одно государство, ни одна корпорация, ни один человек», — рассказывает Дмитрий Волков, технический директор, руководитель Threat Intelligence, сооснователь Group-IB.
Шпионаж и саботаж
По мнению исследователей, в этом году кибербезопасность вышла на первый план в мировой политической повестке. Блэкаут в Венесуэле, открытые военные операции в киберпространстве между конфликтующими государствами, а также нарушение работы сети интернет в отдельно взятых странах — это крайне опасные прецеденты, способные привести к социальному и экономическому ущербу, а также дестабилизации ситуации в государствах.
За вторую половину 2018 и первую половину 2019 года эксперты по кибербезопасности обнаружили большое количество ранее неизвестных групп, спонсируемых государствами. Одна из групп была раскрыта Group-IB в конце 2019 года, она получила имя RedCurl. Ее целями являются страховые, консалтинговые и строительные компании в разных странах мира, в том числе и в России. RedCurl отличает качество таргетированных фишинговых атак и использование легитимных сервисов, что значительно затрудняет ее детектирование в инфраструктуре компании.
Многие APT-группы, анализируемые в отчете, ведут свои операции уже несколько лет, но долгое время оставались незамеченными. Некоторые из них атакуют схожие цели, что приводит к конкуренции между ними и более быстрому обнаружению их действий. Одной из тенденций в активном противостоянии атакующих стало использование обратного взлома (Hacking back), когда жертвами становятся сами нападающие. Этот прием запрещен для использования частными компаниями.
Дестабилизация сети интернет
Казавшиеся нереалистичными сценарии отключения страны от Интернета становятся все более вероятными, пишут исследователи. Для проведения атаки, способной нарушить стабильность работы глобальной сети в отдельно взятой стране, требуется длительная подготовка, однако анализируемые в отчете Group-IB атаки доказывают, что технически это возможно.
Регистраторы доменных имен — это часть критической инфраструктуры страны. Так как нарушение их работы влияет на функционирование глобальной сети, они являются объектом атак со стороны проправительственных атакующих. Как показали прошедшие месяцы, наиболее опасными стали взломы типа DNS Hijaсking, вследствие проведения которых атакующие могли управлять DNS-записями для MITM-атак, а также манипуляции с трафиком и атаки типа BGP Hijaсking в ходе которых осуществляется перехват маршрута и перенаправление трафика отдельных префиксов автономной системы через стороннее оборудование. Основные способы использования BGP Hijaсking — шпионаж и нарушение работоспособности крупных телекомоператоров.
Телекоммуникационный сектор
Group-IB выделяет 9 групп (APT10, APT33, MuddyWater, HEXANE, Thrip, Chafer, Winnti, Regin и Lazarus), которые представляли угрозу для телекоммуникационного сектора в указанный период. Уходящий год показал, что отрасль телеком является одной из приоритетных для прогосударственных групп: скомпрометировав оператора, атакующие получают возможность развивать атаки в его клиентах с целью шпионажа или саботажа.
Новым драйвером угроз в этой индустрии становится распространение технологии 5G. По сути, все угрозы для серверных и программных решений становятся актуальными для операторов 5G. Среди них: атаки, связанные с BIOS/UEFI, side channel и supply chain. Также, благодаря большому количеству подключенных устройств и широкой полосе пропускания значительно увеличатся мощность и частота DDoS-атак.
Энергетический сектор
Семь групп, описанные в отчете (LeafMiner, BlackEnergy, Dragonfly, HEXANE, Xenotime, APT33 и Lazarus), специализируются в основном на шпионаже, а в отдельных случаях — выводе из строя инфраструктуры или отдельных систем объектов энергетики в разных странах.
Так, в 2019 году группа Lazarus атаковала энергетическую ядерную корпорацию в Индии, что привело к отключению второго энергоблока. Нетипичный выбор жертвы позволяет сделать вывод об интересе к таким атакам со стороны военных ведомств недружественных стран. Со времен Stuxnet основным полигоном для испытаний инструментов является Ближний Восток. Вектором проникновения в изолированные сегменты OT-сети является компрометация ИТ-сети с помощью вредоносных программ и техник, включая «Living off the land».
За исключением приведенного примера, инструменты этих групп остаются скрытыми. За последние годы выявлено только два фреймворка, которые способны влиять на технологические процессы, — Industroyer и Triton (Trisis). Оба они были раскрыты в результате ошибок атакующих, что позволяет сделать вывод о существовании значительно большего количества тщательно маскируемых и еще не обнаруженных угроз. Среди атак, характерных для энергетической отрасли, эксперты ыделяют supply chain — атаки через поставщиков программного и аппаратного обеспечения. Прежде всего, скомпрометированы будут управляющие компании, а через них пойдет развитие атаки на энергетические объекты.
Банковский сектор: русскоязычные хакеры переключилась на международные цели
Взлом банков во всем мире является прерогативой русскоговорящих хакеров: они по-прежнему составляют большинство среди атакующих групп. В 2018 году к «русскоязычной тройке» — Cobalt, Silence и MoneyTaker, а также северо-корейской Lazarus добавилась новая группа SilentCards из Кении.
По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг — Silence и SilentCards, через SWIFT — Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).
Только северокорейская APT-группа применяет метод хищения FastCash. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На данный момент, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.
Использовав российский рынок как тестовый полигон, «русскоязычная тройка» продолжает географическую экспансию. С июля прошлого года трижды были атакованы цели в Индии (Silence, Lazarus), в во Вьетнаме (Lazarus), в Пакистане (Lazarus), на Мальте (Lazarus), в Тайланде (Lazarus), в Чили (Lazarus, Silence), во Вьетнаме (Lazarus), в Кения (SilentCards), в России (MoneyTaker, Cobalt, Silence), в Болгарии (Cobalt, Silence), а также по одной атаке Silence провела в Коста-Рике, Гане и Бангладеш.
Для вывода денег эти группы по-прежнему будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой и будет атаковать банки в Африке. Скорее всего, она расширит список целей за счет других отраслей, где основным вектором будет вымогательство за счет применения программ шифровальщиков.
В России рынок высокотехнологичных преступлений в финансовой сфере сократился на 85%
При этом исследователи отмечают, что сокращение в России ущерба от всех видов киберпреступлений с использованием малвари, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%.
Согласно оценке аналитиков, рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны RU, сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.
Как уже было сказано выше, эксперты выделяют 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и новая группа SilentCards из Кении.
В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker — две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету, до 93 млн руб, то есть почти в 14 раз сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 миллиона рублей.
По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне RU. Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.
Торжество социальной инженерии
По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 миллиона рублей. Русскоязычные хакеры перестали создавать новые десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.
Трояны для Android-устройств исчезают медленнее, но хищения с помощью этого типа малвари также на спаде: ущерб в этом сегменте составил 110 млн рублей, что на 43% ниже аналогичного показателя в прошлом периоде.
Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от SMS-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 новых.
Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение «среднего чека» атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активными остались 11.
Все это ынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.
Кардинг на подъеме
Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд. руб. (879 680 072$). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн относительно прошлого периода.
Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в прошлом году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъеме: их рост составил 19%.
Средняя цена на текстовые данные поднялась с 9$ до 14$, при этом снизилась средняя цена дампа — с 33$ до 22$.
Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по 8-10$ за свежие текстовые данные карты и 16-24$ за дампы. Традиционно высокий прайс на карты европейский банков: 18-21$ за текст, 100-120$ за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ».
Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп — с 48$ до 71$ (4 500 рублей) и немного снизилась цена за текст с 15$ до 12$ (760 рублей). При этом максимальная цена за дамп карты российского банка в 2018 году достигала 170$ (10 000 рублей), а в 2019 поднялась до отметки 500$ (32 000 рублей).
Новым трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.
Фишинг остается «долгоиграющим» методом для получения текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания.