Коронавірус, геотрекінги та поширення шкідливого ПЗ

30.03.2020

  

Спалах коронавірусу на сьогодні вже охоплює більшість районів Європи й Північної Америки. У період глобальної кризи безперечно буде створено ряд високотехнологічних рішень, які допоможуть людству боротися з цим вірусом. Але поки весь світ заходить у глухий кут, оскільки уряди багатьох країн, іноді застосовуючи силу, змушують людей залишатися вдома в самоізоляції. Однак соціальне дистанціювання навряд чи можливо, оскільки більшість людей мають доступ до передових технологій.

Онлайн-стрімінгові платформи надають розваги сотням мільйонів людей, величезна кількість людей почали віддалено працювати або проходити навчання в школах, коледжах або університетах, а використання медичних програм різко зросло, оскільки мільйони вже лікуються за допомогою додатків для телемедицини.

Однак використання деяких технологій здатне викликати численні проблеми конфіденційності. Наприклад, Ізраїль вирішив використовувати таємно зібрані дані зі стільникових телефонів, зазвичай призначені для боротьби з тероризмом. Ця інформація стала використовуватися для виявлення тих людей, які пересікался з носіями Covid-19. Поєднання геотрекінга і технологій штучного інтелекту дозволило ізраїльському уряду ідентифікувати людей, які повинні бути поміщені на карантин через їх можливе зараження коронавірусом. Іран запустив додаток, який нібито діагностує наявність Covid-19. Проте, велика частина з того, що він робить, – це збирає дані про місцезнаходження мільйонів людей, по суті, виступаючи перед урядом як бекдор, що дозволяє відстежувати місце розташування своїх громадян у режимі реального часу.

Коронавірус – це дуже заразне захворювання, яке, швидше за все, потребуватиме перевірки мільярдів людей протягом всього 2020 року. Віддаючи зразок мазка в лікарні, пацієнти також надають їм свої дані, такі як ДНК. Хоча немає ніяких сумнівів в тому, що уряди всіх країн світу хотіли б кращого для своїх громадян, але важливо також відзначити, що в минулому були випадки злому урядових баз даних. Усього кілька місяців тому Міністерство юстиції США висунуло звинувачення проти китайських хакерів за злом Equifax. Важливо розуміти, що більшість американців зовсім не зраділи б тому, якби їх конфіденційні дані ДНК, зібрані за допомогою тестування на Covid-19, виявилися в руках іноземних держав, таких як Китай та Іран.

Нещодавно Google запустила сайт скринінгу Covid-19. Новий ресурс, розроблений компанією Alphabet, називається Project Baseline і призначений для показу Covid-19. Сайт обслуговує тільки потенційних носіїв коронавірусу, розташованих в округах Санта-Клара і Сан-Матео в штаті Каліфорнія (США). Через кілька днів після запуску сенатори звернулися до Генерального директора Alphabet Сундара Пічаї і Віце-президента США Майка Пенса, висловивши занепокоєння з приводу того, як компанія планує захистити всі конфіденційні дані, якими американці будуть ділитися на новому веб-сайті.

Не доводиться сумніватися в тому, що державні установи створені для того, щоб обслуговувати своїх громадян. Однак ці установи керуються людьми, які часто роблять помилки, здатні розкривати особисту інформацію хакерам, які не повинні мати до неї доступу. Уряди, безумовно, повинні подбати про те, щоб розроблені ними інструменти боротьби з тероризмом, такі як системи відстежування місцеположення, які використовуються в Ізраїлі, залишалися тільки в надійних руках. Що стосується звичайних людей, то всі люди, які хочуть убезпечити своє цифрове життя, повинні переконатися, що всі підключені пристрої захищені надійною антивірусною програмою.

Ще одна тема, пов'язана з нинішньою пандемією коронавірусу Covid-19. Щоб спробувати зупинити поширення вірусу, багато компаній по всьому світу перевели своїх співробітників у режим віддаленої роботи. Ця обставина значно розширила поверхню атаки, що тягне за собою велику проблему в плані інформаційної безпеки, оскільки тепер їм необхідно встановити жорсткі правила і вжити ряд заходів для забезпечення безперервності роботи підприємства та його ІТ-систем.

Однак розширена поверхня атак – це не єдиний з ризиків, що виникли в останні кілька днів: багато кібер-злочинці активно використовують цю глобальну невизначеність для проведення фішингових кампаній, поширення шкідливих програм і створення загрози інформаційної безпеки для багатьох компаній.

У кінці минулого тижня була виявлена група постійних загроз підвищеної складності (Advanced Persistent Threat, APT), що отримала назву Vicious Panda, яка проводила кампанії з цільового фішингу (spear-фішинг), використовуючи пандемію коронавіруса для поширення свого шкідливого ПЗ. У електронному листі одержувачу повідомлялося, що він містить інформацію про коронавірус, але насправді в листі було два шкідливих файла RTF (формат Rich Text). Якщо жертва відкривала ці файли, то запускався троян віддаленого доступу (Remote Access Trojan, RAT), який крім іншого здатний робити скріншоти, створювати списки файлів і каталогів на комп'ютері жертви, а також завантажувати файли.

До сих пір ця кампанія була спрямована проти державного сектора Монголії, і, на думку ряду західних експертів, вона являє собою найбільш «свіжу» атаку в китайській операції, що триває проти різних урядів і організацій по всьому світу. На цей раз особливістю кампанії є те, що вона використовує нову світову ситуацію з коронавірусом для більш активного зараження своїх потенційних жертв.

Фішинговий лист виглядає так, ніби його було відправлено з Міністерства закордонних справ Монголії, і в ньому стверджується, що він містить інформацію про кількість людей, заражених вірусом. Щоб «озброїти» цей файл, зловмисники використовували RoyalRoad - популярний інструмент серед китайських творців загроз, який дозволяє їм створювати призначені для користувача документи з вбудованими об'єктами, здатні використовувати уразливості в редакторі рівнянь, інтегрованому в MS Word для створення складних рівнянь.

Як тільки жертва відкриває шкідливі файли RTF, в Microsoft Word використовується вразливість для завантаження шкідливого файлу (intel.wll) в папку автозавантаження Word (% APPDATA% \ Microsoft \ Word \ STARTUP). За допомогою цього методу загроза не тільки набуває стійкості, але і запобігається детонація всього ланцюжка зараження при її запуску в пісочниці, оскільки для повного запуску шкідливого ПЗ потрібно перезапустити Word.

Потім файл intel.wll завантажує DLL-файл, який використовується для завантаження шкідливого ПЗ і для зв'язку з сервером управління хакера. Робота сервера управління здійснюється протягом обмеженого періоду часу кожен день, що ускладнює аналіз і доступ до найбільш складних частин ланцюжка зараження.

Незважаючи на це, дослідники змогли встановити, що на першому етапі цього ланцюжка відразу після отримання відповідної команди завантажується і розшифровується RAT, а також завантажується DLL, яка завантажується в пам'ять. Архітектура, схожа на плагін, передбачає, що на додаток до корисного навантаження, поміченого в цій кампанії, є й інші модулі.

Ця шкідлива кампанія має безліч способів обману, що дозволяють проникнути в системи своїх жертв і після цього поставити під загрозу їх інформаційну безпеку. Щоб захиститися від таких кампаній, важливо робити цілий ряд заходів.

Перша з них надзвичайно важлива: при отриманні електронних листів важливо бути дуже обережним і уважним. Електронна пошта є одним із основних векторів атаки, але при цьому без пошти не може обійтися майже жодна компанія. Якщо ви отримали лист від невідомого відправника, то краще не відкривайте його, а якщо все ж відкрили його, то не відкривайте ніяких вкладень і не натискайте на будь-які посилання.

Щоб поставити під загрозу інформаційну безпеку своїх жертв, ця атака використовує уразливість в Word. Насправді, незакриті уразливості є причиною успішності багатьох кібер-атак, а також поряд з іншими проблемами безпеки вони можуть привести до великих порушень даних. Ось чому так важливо якомога швидше застосовувати відповідний патч для закриття уразливості.

Щоб усунути ці проблеми, компанія Panda Security пропонує компаніям рішення, спеціально розроблене для ідентифікації, управління і установки патчів. Модуль Panda Patch Management автоматично шукає патчі, необхідні для забезпечення безпеки комп'ютерів у вашій компанії, розставляючи пріоритети серед найбільш термінових оновлень і плануючи їх установку. Інформація про патчі, що вимагають установки, повідомляється адміністратору навіть при виявленні експлойтів і шкідливих програм.

Модуль Panda Patch Management здатний відразу ж запускати установку необхідних патчів та оновлень, або ж їх установку можна запланувати з веб-консолі централізованого управління, за необхідності ізолювавши непропатчені комп'ютери. Таким чином, ви можете керувати патчами та оновленнями, щоб забезпечити безперебійну роботу вашої компанії. І ви отримаєте завершену систему захисту, здатну захистити ваші активи.