A PwC UK és a BAE Systems közös elemzést tett közzé egy kiterjedt kiberkémkedési kampányról, amelyet egy Kínához köthető hackercsoportnak (APT10, más néven RedApollo/StonePanda/menuPass_Team) tulajdonítanak.
A támadások kezdetben Ázsiára (leginkább Japánra) fókuszáltak, azonban körülbelül 2014 óta már európai vállalatok is szereplnek a célpontok között.
Az elemzés alapján a támadók többféle malware családot is alkalmaznak, amelyek folyamatos módosuláson esnek át: EvilGrab, ChChes, RedLeaves, Poison Ivy, PlugX.
A jellemző támadási vektor szerint a fertőzési szakasz általában adathalász támadások során történik (csatolmányban található fertőzött, futtatható állományokkal), ezzel juttatva be a trójait, ami azután további káros összetevőket tölt le. A kezdeti lépések során a támadók igyekeznek kiterjedt jogosultsághoz jutni, majd megkezdeni az érzékeny adatok gyűjtését. Az elemzés szerint sok esetben először kiszervezett IT szolgáltatást nyújtó cégeket kompromittálnak, majd azokon keresztül a kapcsolódó rendszereket.
Néhány javasolt megelőző intézkedés:
1. Fehérlisták alkalmazása (whitelisting)
- Windows környezetben Microsoft Software Restriction Policy (SRP) vagy AppLocker alkalmazása.
- Célszerű lehet az alkalmazások futattási helyének könyvtár alapú korlátozása, (pl. PROGRAMFILES, PROGRAMFILES(X86), SYSTEM32-re).
2. Felhasználói fiókok fokozott védelme
- ‘Legkisebb jogosultság elvének’ alkalmazása.
- RDP session-ök korlátozása, lokál admin hozzáférések korlátozása.
- Accountok auditálása, a felesleges fiókok, csoportok zárolása.
- A ‘Protected Users’ biztonsági csoport használata MS Active Directory-ban.
3. Munkaállomás menedzsment
- Biztonságos baseline image alkalmazása.
- Biztonsági frissítések rendszeres telepítése.
4. Host alapú illetéktelen hálózati behatolást jelző rendszer (HIDS) és tűzfalak alkalmazása.
(Bővebben lásd [2] ‘Mitigation‘)
[1] További tanácsok kiszervezett informatikai szolgáltatások igénybevétele esetén:
A támadáskampánnyal kapcsolatban bővebb technikai információ az alábbi hivatkozásokon érhető el:
[2] Az NCCIC elemzése és ajánlásai:
[3] A PwC UK és a BAE Systems közös átfogó elemzése a kampányról:
https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf
[4] “A” melléklet – a támadások azonosítására szolgáló indikátorok:
https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-indicators-of-compromise-v3.pdf
[5] “B” melléklet – technikai információk az azonosított káros kódokról és támadási metódusokról:
https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf
Egyéb hivatkozások:
[6] http://tech.cert-hungary.hu/tech-blog/170502/kibertamadasra-figyelmeztet-az-nccic
