‘Operation Cloud Hopper’ kiberkémkedési kampány

A PwC UK és a BAE Systems közös elemzést tett közzé egy kiterjedt kiberkémkedési kampányról, amelyet egy Kínához köthető hackercsoportnak (APT10, más néven RedApollo/StonePanda/menuPass_Team) tulajdonítanak.

A támadások kezdetben Ázsiára (leginkább Japánra) fókuszáltak, azonban körülbelül 2014 óta már európai vállalatok is szereplnek a célpontok között.

Az elemzés alapján a támadók többféle malware családot is alkalmaznak, amelyek folyamatos módosuláson esnek át: EvilGrab, ChChes, RedLeaves, Poison Ivy, PlugX.

A jellemző támadási vektor szerint a fertőzési szakasz általában adathalász támadások során történik (csatolmányban található fertőzött, futtatható állományokkal), ezzel juttatva be a trójait, ami azután további káros összetevőket tölt le. A kezdeti lépések során a támadók igyekeznek kiterjedt jogosultsághoz jutni, majd megkezdeni az érzékeny adatok gyűjtését. Az elemzés szerint sok esetben először kiszervezett IT szolgáltatást nyújtó cégeket kompromittálnak, majd azokon keresztül a kapcsolódó rendszereket. 

Néhány javasolt megelőző intézkedés: 

1. Fehérlisták alkalmazása (whitelisting)

• Windows környezetben Microsoft Software Restriction Policy (SRP) vagy AppLocker alkalmazása.
• Célszerű lehet az alkalmazások futattási helyének könyvtár alapú korlátozása, (pl. PROGRAMFILES, PROGRAMFILES(X86), SYSTEM32-re).

2. Felhasználói fiókok fokozott védelme

• ‘Legkisebb jogosultság elvének’ alkalmazása.
• RDP session-ök korlátozása, lokál admin hozzáférések korlátozása.
• Accountok auditálása, a felesleges fiókok, csoportok zárolása.
• A ‘Protected Users’ biztonsági csoport használata MS Active Directory-ban.

3. Munkaállomás menedzsment

• Biztonságos baseline image alkalmazása. 
• Biztonsági frissítések rendszeres telepítése.

4. Host alapú illetéktelen hálózati behatolást jelző rendszer (HIDS) és tűzfalak alkalmazása.

(Bővebben lásd [2] ‘Mitigation‘)

[1] További tanácsok kiszervezett informatikai szolgáltatások igénybevétele esetén:

http://tech.cert-hungary.hu/tech-blog/170420/biztonsagi-ajanlasok-kiszervezett-informatikai-szolgaltatas-eseten

A támadáskampánnyal kapcsolatban bővebb technikai információ az alábbi hivatkozásokon érhető el:

[2] Az NCCIC elemzése és ajánlásai:

https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C-Intrusions_Affecting_Multiple_Victims_Across_Multiple_Sectors.pdf

[3] A PwC UK és a BAE Systems közös átfogó elemzése a kampányról:

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

[4] “A” melléklet – a támadások azonosítására szolgáló indikátorok: 

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-indicators-of-compromise-v3.pdf

[5] “B” melléklet – technikai információk az azonosított káros kódokról és támadási metódusokról:

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf

Egyéb hivatkozások:

[6] http://tech.cert-hungary.hu/tech-blog/170502/kibertamadasra-figyelmeztet-az-nccic

A PwC UK és a BAE Systems közös elemzést tett közzé egy kiterjedt kiberkémkedési kampányról, amelyet egy Kínához köthető hackercsoportnak (APT10, más néven RedApollo/StonePanda/menuPass_Team) tulajdonítanak.

A támadások kezdetben Ázsiára (leginkább Japánra) fókuszáltak, azonban körülbelül 2014 óta már európai vállalatok is szereplnek a célpontok között.

Az elemzés alapján a támadók többféle malware családot is alkalmaznak, amelyek folyamatos módosuláson esnek át: EvilGrab, ChChes, RedLeaves, Poison Ivy, PlugX.

A jellemző támadási vektor szerint a fertőzési szakasz általában adathalász támadások során történik (csatolmányban található fertőzött, futtatható állományokkal), ezzel juttatva be a trójait, ami azután további káros összetevőket tölt le. A kezdeti lépések során a támadók igyekeznek kiterjedt jogosultsághoz jutni, majd megkezdeni az érzékeny adatok gyűjtését. Az elemzés szerint sok esetben először kiszervezett IT szolgáltatást nyújtó cégeket kompromittálnak, majd azokon keresztül a kapcsolódó rendszereket. 

Néhány javasolt megelőző intézkedés: 

1. Fehérlisták alkalmazása (whitelisting)

• Windows környezetben Microsoft Software Restriction Policy (SRP) vagy AppLocker alkalmazása.
• Célszerű lehet az alkalmazások futattási helyének könyvtár alapú korlátozása, (pl. PROGRAMFILES, PROGRAMFILES(X86), SYSTEM32-re).

2. Felhasználói fiókok fokozott védelme

• ‘Legkisebb jogosultság elvének’ alkalmazása.
• RDP session-ök korlátozása, lokál admin hozzáférések korlátozása.
• Accountok auditálása, a felesleges fiókok, csoportok zárolása.
• A ‘Protected Users’ biztonsági csoport használata MS Active Directory-ban.

3. Munkaállomás menedzsment

• Biztonságos baseline image alkalmazása. 
• Biztonsági frissítések rendszeres telepítése.

4. Host alapú illetéktelen hálózati behatolást jelző rendszer (HIDS) és tűzfalak alkalmazása.

(Bővebben lásd [2] ‘Mitigation‘)

[1] További tanácsok kiszervezett informatikai szolgáltatások igénybevétele esetén:

http://tech.cert-hungary.hu/tech-blog/170420/biztonsagi-ajanlasok-kiszervezett-informatikai-szolgaltatas-eseten

A támadáskampánnyal kapcsolatban bővebb technikai információ az alábbi hivatkozásokon érhető el:

[2] Az NCCIC elemzése és ajánlásai:

https://www.us-cert.gov/sites/default/files/publications/IR-ALERT-MED-17-093-01C-Intrusions_Affecting_Multiple_Victims_Across_Multiple_Sectors.pdf

[3] A PwC UK és a BAE Systems közös átfogó elemzése a kampányról:

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

[4] “A” melléklet – a támadások azonosítására szolgáló indikátorok: 

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-indicators-of-compromise-v3.pdf

[5] “B” melléklet – technikai információk az azonosított káros kódokról és támadási metódusokról:

https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf

Egyéb hivatkozások:

[6] http://tech.cert-hungary.hu/tech-blog/170502/kibertamadasra-figyelmeztet-az-nccic

Címkék

APT10 Operation Cloud Hopper kampány kiberkémkedés