Operacija Parlamentas, kas ką daro?

Santrauka

„Kaspersky Lab“ nuo 2017 m. Pradžios stebi daugybę atakų, kuriose naudojama nežinoma kenkėjiška programa. Atrodo, kad išpuoliai yra geopolitiškai motyvuoti ir skirti aukšto lygio organizacijoms. Išpuolių tikslas yra akivaizdžiai šnipinėjimas – tai reiškia galimybę patekti į aukščiausio lygio teisėkūros, vykdomosios ir teismines institucijas visame pasaulyje.

1. Užpuolikai nuo 2017 metų pradžios nusitaikė į daugybę organizacijų visame pasaulyje, daugiausia dėmesio skirdami Viduriniams Rytams ir Šiaurės Afrikai (MENA), ypač Palestinai. Didelio lygio organizacijos taip pat buvo nukreiptos į kitus regionus. Nuo 2018 metų pradžios atakų skaičius sumažėjo.
2. Iš pradžių išpuoliai buvo aptikti tiriant sukčiavimo ataką, nukreiptą į politinius asmenis MENA regione. Iš pradžių išpuoliai atrodė menkaverčio Gazos „Cybergang“ (vilionės, failų pavadinimai) darbas, tačiau tolesnė analizė nubrėžė visiškai kitokį vaizdą.
3. Tikslai apima tokius svarbius subjektus kaip parlamentai, senatai, aukščiausi valstybės biurai ir pareigūnai, politologijos mokslininkai, karo ir žvalgybos agentūros, ministerijos, žiniasklaidos priemonės, tyrimų centrai, rinkimų komisijos, olimpinės organizacijos, didelės prekybos įmonės ir kiti nežinomi subjektai.
4. Kenkėjiška programa užpuolikams iš esmės suteikia nuotolinį CMD / „PowerShell“ terminalą, leidžiantį jiems įvykdyti bet kokius scenarijus / komandas ir gauti rezultatus per HTTP užklausas.
5. „Kaspersky Lab“ vartotojai, grėsmių valdymo ir gynybos klientai yra apsaugoti nuo atakų.

„Cisco Talos“ neseniai paskelbė tinklaraštį, kuriame aprašomos tikslinės atakos Viduriniųjų Rytų regione, kurios, mūsų manymu, gali būti susijusios.

Victimologija ir statistika

Remiantis mūsų išvadomis, mes manome, kad užpuolikai yra anksčiau nežinomas geopolitiškai motyvuotas grėsmės veikėjas. Kampanija prasidėjo 2017 m., Kai užpuolikai padarė tik tiek, kad pasiektų savo tikslus. Jie greičiausiai turi prieigą prie papildomų priemonių, kai to reikia, ir atrodo, kad turi prieigą prie išsamios duomenų bazės apie kontaktus jautriose organizacijose ir visame pasaulyje, ypač pažeidžiamų ir nemokytų darbuotojų. Aukos sistemos yra nuo asmeninių stalinių ar nešiojamųjų kompiuterių sistemų iki didelių serverių su domeno valdiklio vaidmenimis ar panašiai. Tikslinių ministerijų pobūdis, įskaitant atsakingas už telekomunikacijų, sveikatos, energetikos, teisingumo, finansų ir kt., Pobūdį.

Aukos pastebėtos Palestinos teritorijose, Egipte, Jordanijoje, JAE, Saudo Arabijoje, Džibutyje, Katare, Libane, Čilėje, Somalyje, Irake, Maroke, Sirijoje, Indijoje, Irane, Kanadoje, JAV, Didžiojoje Britanijoje, Vokietijoje, Izraelyje , Afganistanas, Serbija, Rusija, Omanas, Kuveitas, Pietų Korėja ir Danija.

Aukų / aukų organizacijų skaičius tikriausiai neatspindi visų išpuolių apimties – tik dalis.

Puolimo aprašymas ir priskyrimas

Atrodo, kad operacija „Parlamentas“ yra dar vienas padidėjusios įtampos Viduriniųjų Rytų regione simptomas. Užpuolikai labai rūpinosi, kad liktų po radaru, imituodami kitą puolimo grupę regione. Jie ypač atidžiai tikrino aukos įrenginius prieš tęsdami infekciją, saugodami komandų ir valdymo serverius. Atrodo, kad taikymas sulėtėjo nuo 2018 m. Pradžios, greičiausiai, baigėsi, kai buvo gauti norimi duomenys ar prieiga. Konkrečių aukų taikymasis skiriasi nuo anksčiau matytų elgesio regioninėse kampanijose, kurias vykdė Gazos „Cybergang“ ar „Desert Falcons“, ir nurodo išsamias informacijos rinkimo pratybas, kurios buvo vykdomos prieš išpuolius (fizines ir (arba) skaitmenines).

Apgaulei ir melagingoms vėliavoms vis dažniau pasitelkiant grėsmės veikėjus, priskyrimas yra sunki ir sudėtinga užduotis, kuriai reikalingi patikimi įrodymai, ypač sudėtinguose regionuose, tokiuose kaip Viduriniai Rytai.

Norėdami sužinoti daugiau informacijos ir pavyzdžių apie klaidingas vėliavas, naudojamas kibernetinėse atakose:

Mojuok savo melagingomis vėliavomis! … arba košmarai ir niuansai apie savęs suvokimo priskyrimo erdvę

„OlympicDestroyer“ yra čia, kad apgautų pramonę

Kenkėjiškos programos aprašymas

Kenkėjiška programa pirmą kartą buvo pastebėta supakuota su VMProtect; išpakavus mėginį, nebuvo jokių panašumų su anksčiau žinomomis kenkėjiškomis programomis. Visos eilutės ir nustatymai buvo užšifruoti ir sutrukdyti. Buvo nustatytas funkcionalumas, leidžiantis HTTP ryšį su C&C serveriu ir iškviečiantis „processcreate“, remiantis parametrais, gautais kaip atsakymas.

Konfigūracija ir eilutės šifruojamos naudojant 3DES ir „Base64“ kodavimą. Duomenys, siunčiami į C&C serverį, taip pat užšifruojami naudojant 3DES ir „Base64“. Vietiniam ir tinklo šifravimui naudojami skirtingi raktai.

Kenkėjiška programa pradeda bendrauti su C&C serveriu siunčiant pagrindinę informaciją apie užkrėstą mašiną. Tada C&C serveris atsako pateikdamas užšifruotą serijinę konfigūraciją.

Kenkėjiška programa iš esmės teikia nuotolinį CMD / „PowerShell“ terminalą užpuolikams, leidžiant jiems vykdyti scenarijus / komandas ir gauti rezultatus per HTTP užklausas.

C&C atsakymo su šifruotomis komandomis ir konfigūracijomis pavyzdys

Puolimo apgaulių pavyzdžiai

Vertimas: Žiniasklaidos darbuotojų kontaktų sąrašas

Vertimas: JAE ir Jordanijos santykiai ir Kataro boikoto nebuvimas

Vertimas: Karinio išėjimo į pensiją ataskaita, 2017 m. Birželio mėn

Vertimas: Nauja „Hamas“ struktūra Gazos ruože 2017 m

Vertimas: Aiškinamoji ataskaita (dėl Gazos sektoriaus darbuotojų atlyginimų)

Ką turėtų daryti aukšto lygio organizacijos?

Žinomose organizacijose turėtų būti padidintas kibernetinio saugumo lygis. Puolimai prieš juos yra neišvengiami ir vargu ar kada nors nutrūks. Šios organizacijos turi skirti ypatingą dėmesį savo saugumui, įgyvendindamos papildomas priemones, užtikrinančias gerą jų apsaugą. Kovos su atakomis sprendimai, grėsmių žvalgybos galimybės ir duomenų srautai, numatytasis draudimas užrakinti programas, galutinių taškų aptikimas ir reagavimas, duomenų nutekėjimas ir vidinių grėsmių prevencija ir net izoliuoti / oro spragų tinklai turėtų būti bet kurios organizacijos organizacijų apsaugos strategijos pagrindas. dabartinį grėsmės kraštovaizdį.

Operacijos „Parlamentas“ aukos turi iš naujo įvertinti savo požiūrį į kibernetinį saugumą.

Papildoma informacija

Norėdami gauti daugiau informacijos apie išpuolius ir kompromiso rodiklius, prašome kreiptis: intelreports@kaspersky.com

Arba apsilankykite šiuo adresu: https://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Norėdami rasti daugiau informacijos apie kibernetinio saugumo supratimo mokymus įmonių ar vyriausybės darbuotojams, eikite į „Kaspersky Security Awareness“.