В конце марта 2023 года группировка Lazarus, предположительно связанная с Северной Кореей, провела двойную атаку на цепочку поставок, в ходе которой сначала был внедрен бэкдор в установщик программы X_TRADER. Далее он был запущен на одном из хостов компании 3CX, разработчика VoIP-решений, которые используются более чем 600 тысячами компаний по всему миру. В результате вредоносный код был встроен в установщик 3CX Desktop App. В дальнейшем в системах жертв Lazarus устанавливали один из своих многомодульных бэкдоров.
ИНТЕРЕСНЫЙ ФАКТ
КТО НАПАДАЕТ
ПРОПРАВИТЕЛЬСТВЕННЫЕ ГРУППИРОВКИ, СООТВЕТСТВУЮЩИЕ УРОВНЮ ИНОСТРАННЫХ СПЕЦСЛУЖБ
- Взлом и закрепление в инфраструктуре
- Проникновение в закрытые сегменты
- Контроль технологических процессов для совершения диверсии
- Влияние на обороноспособность страны
- Нарушение цепочек поставок сырья и сбой циклов непрерывного производства
- Контроль инфраструктуры для возможности проведения деструктивных действий в нужный момент
- Шпионаж для сбора информации
- Уникальные техники под каждую жертву
- Уникальные модули вредоносного ПО
- 0-day уязвимости программного и аппаратного обеспечения
- Утилиты Living off the Land (то есть использующие различные легитимные программы) и различные утилиты с открытым кодом для горизонтального перемещения и выстраивания прокси-туннелей
- Использование новых техник, для которых еще не реализованы методы защиты или обнаружения
Предварительно проводится разведка, в том числе с использованием инсайдеров. Проникновение в инфраструктуру происходит любым доступным способом без ограничений по времени и бюджету. Преступники максимально долго и скрытно присутствуют в инфраструктуре, в том числе в закрытых контурах. Могут попадать в инфраструктуру самыми изощренными способами: методами социальной инженерии, атаками через подрядчиков, заражением съемных носителей и т. д.
Отсутствуют.
Спланированную профессиональную атаку часто невозможно выявить на этапе проникновения. Здесь работа хакеров нацелена на сокрытие действий на всех уровнях. В случае обнаружения атаки есть шанс отбросить противника назад, что не обязательно приведет к его отказу от цели, но позволит выиграть время для построения и совершенствования системы защиты.
Противодействие требует выделенного пула экспертов и опыта раскрытия киберпреступлений для выявления неочевидных аномалий в сети и хостах. Необходима высокая зрелость IТ-, ИБ-инфраструктуры и процессов. Используется весь доступный спектр инструментов и сервисов, а также проактивный подход, то есть заблаговременное наведение порядка в процессах, в том числе по управлению доступом. Каждый инцидент должен рассматриваться как цепочка взаимосвязей, приводящих к потенциальной кибератаке. Реализовать это можно, как минимум используя маппинг по Kill Сhain (кибернетическая цепочка поражения) и Mitre ATT&CK (база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак).
Как защититься
Рекомендуемые сервисы и продукты Solar (6+)*
* Данные решения носят рекомендательный характер, обратитесь за консультацией solar@rt-solar.ru.
Все перечисленные угрозы относятся к внешним. Но каждая компания сталкивается и с внутренними угрозами, которые не зависят от масштаба ее деятельности.
Подробнее о них читайте здесь.
Подробнее о них читайте здесь.
