В понедельник, пока зрители продолжали обсуждать церемонию открытия Зимних Олимпийских игр 2018 в Пхенчхане, оргкомитет Олимпиады был занят решением вопроса, связанного с кибер-атакой.

Все более короткий срок жизни новых образцов вредоносных программ и повышение уровня профессионализма хакеров при проведении атак устанавливают новые стандарты безопасности. В этом случае мы имеем дело с направленной атакой и актом саботажа, в котором хакеры попытались вызвать хаос во время церемонии открытия. Атака повлияла на некоторые телевизионные и Интернет-сервисы перед церемонией, но она не достигла своего успеха в краже данных с серверов.

Исследователи из подразделения Cisco Talos также добавили, что целью вредоносной программы являлась не кража, а скорее всего поражение.

GoldDragoN – новый русский хак?

Преследуя, как правило, цель по достижению максимальной прибыли, хакеры все чаще осуществляют изощренные проникновения в компьютерные сети с использованием новых тактик, таких как атаки без использования вредоносных программ и злоупотребление легитимными инструментами.

Антивирусная лаборатория PandaLabs объяснила, что, не используя вредоносные программы, которые легко обнаруживаются современными решениями информационной безопасности, хакеры пытаются заполучить учетные записи администратора, чтобы потом действовать от его имени. Используемые кибер-преступниками техники атаки, которые не предполагают использования вредоносных программ, могут быть весьма разнообразны. Такие техники позволяют воспользоваться преимуществами всех видов невредоносных инструментов, которыми пользуются ИТ-менеджеры на повседневной основе.

В данном случае, атака все же использовала вредоносное ПО (под названием GoldDragon), но для выполнения определенных действий она использовала такие невредоносные инструменты, как PsExec или CMD. Таким образом, можно было выполнить процессы на других компьютерах, подключенных к сети, не вызывая подозрений и используя не какое-то модифицированное злоумышленниками ПО, а вполне официальные версии.

Для выполнения своих разрушительных действий из командной строки (cmd) запускались системные команды. Например:

C:\WINDOWS\SYSTEM32\CMD.EXE /C C:\WINDOWS\SYSTEM32\VSSADMIN.EXE DELETE SHADOWS /ALL /QUIET

Здесь используется vssadmin.exe для скрытного удаления резервных копий, созданных операционной системой.

По мнению ряда иностранных специалистов, судя по всему, атака осуществлялась из России. ЦРУ и спецслужбы Украины в свое время связали NotPetya и BadRabbit с российскими спецслужбами, а теперь в случае с GoldDragon (он также называется как Olympic Destroyer – Олимпийский разрушитель), все признаки указывают на более утонченную версию BadRabbit.

Системные инструменты как новый вектор атаки

Мониторинг выполнения всех процессов на корпоративных рабочих станциях и серверах необходим для того, чтобы избегать подобных инцидентов, как мы наблюдали на нынешних Олимпийских играх.

Традиционные антивирусы не способны обнаруживать эти типы атак, а также они не могут эффективно реагировать на них. Поэтому решения, аналогичные Adaptive Defense предлагают новую модель безопасности, основанную на мониторинге, контроле и классификации поведения и особенностей выполнения каждого ИТ-процесса, чтобы предложить надежную, эффективную и полноценную защиту.

PandaLabs рекомендует использовать решения информационной безопасности с опциями расширенной защиты, которые способны работать совместно с существующей антивирусной инфраструктурой клиента и интегрировать существующие SIEM-решения.