Útoky tohoto typu podle průzkumu firmy Kaspersky zažily podniky v Japonsku, Itálii, Německu a Velké Británii. Mezi napadenými se objevily dodavatelé zařízení a softwaru pro průmyslové firmy.
Cílené útoky na průmyslové objekty přitom přitahují pozornost kyberbezpečnostní komunity – bývají totiž vysoce sofistikované a vybírají si firmy, které se dají zařadit do klíčové infrastruktury daných států.
Jakékoliv narušení procesů takových firem by vedlo k řadě nežádoucích důsledků, jako je úspěšná průmyslová špionáž nebo velké finanční ztráty.
Analyzované útoky z kraje tohoto roku přesně odpovídají těmto kritériím. Phishingové e-maily, které byly použity v první fázi útoku, byly vytvořeny na míru a napsány v jazyce konkrétního cíle. Malware použitý v těchto útocích se spustil pouze tehdy, pokud umístění operačního systému napadeného zařízení odpovídalo jazyku phishingového e-mailu.
V případě útoku na firmu z Japonska tak text phishingového e-mailu a dokumentu Microsoft Office (obsahujícího škodlivá macra) byl v japonštině. Aby bylo navíc možné úspěšně dešifrovat malwarový modul, musel mít operační systém japonskou lokalizaci.
Detailnější analýza ukázala, že útočníci použili nástroj Mimikatz, jehož prostřednictvím ukradli autentizační data k Windows účtům uložených na napadených systémech. Ty mohou následně použít k získání přístupu do jiných systémů v rámci podnikové sítě a k šíření útoku. Obzvláště nebezpečné je, když útočníci získají přístup k účtu, který má administrátorská oprávnění.
„Tyto útoky nás zaujaly několika nestandardními technickými řešeními, která útočníci použili. Malwarový modul je například zakódován uvnitř obrazu pomocí steganografických metod, přičemž samotný obraz je hostován na legitimních webových zdrojích,“ říká Vyacheslav Kopeytsev, bezpečnostní odborník ze společnosti Kaspersky.
Podle něj to vše téměř znemožňuje detekci stahování takového malwaru pomocí nástrojů pro monitorování a řízení síťového provozu – z technického hlediska se totiž tato aktivita neliší od obvyklého přístupu k legitimnímu hostování obrázků.
Ve spojení s konkrétním zacílením tak tyto útoků představují velmi sofistikovanou hrozbu. Alarmující je i fakt, že se mezi oběťmi útoku objevili průmysloví dodavatelé.
Pokud se totiž autentizační údaje zaměstnanců smluvní organizace dostanou do špatných rukou, může to mít mnoho negativních důsledků počínaje krádeží citlivých dat až po útoky na průmyslové podniky prostřednictvím nástrojů pro vzdálenou správu, které používá dodavatel.
Aby se průmyslové firmy nestaly obětí kybernetických útoků, měly by se řídit následujícími tipy expertů z firmy Kaspersky:
- Proškolit zaměstnance v oblasti bezpečné práce s e-maily
- Zakázat spouštění maker v dokumentech Microsoft Office
- Zakázat spuštění PowerShell scriptů (pokud je to možné)
- Věnujte pozornost PowerShell procesům iniciovaných aplikacemi sady Microsoft Office. Zamezte programům přijímat oprávnění SeDebugPrivilege (pokud je to možné)
- Nainstalujte bezpečnostní řešení pro firemní koncové body, jako je Kaspersky Endpoint Security for Business, se schopností centrálně spravovat bezpečnostní nastavení a umožňující automatické stahování aktualizací antivirových databází a softwarových modulů pro bezpečnostní řešení
- Používejte bezpečnostní řešení pro OT koncové body a sítě, jako je KICS for Node a KICS for Networks
- Používejte účty s administrátorskými oprávněními pouze v případech, kdy je to nutné. Po jejich použití restartujte systém, na němž byla provedena autentizace
- Zaveďte bezpečnostní pravidla vyžadující určitou složitost hesel a jejich pravidelné měnění
- Při podezření, že došlo k napadení systému, proveďte antivirovou kontrolu a vynuťte změny hesel u všech účtů, které se připojily k napadenému systému