20.12.2022 13:36
EditorGIB 0 790 Источник

Летом этого года менеджеры компании, поставляющей решения для нефтегазового комплекса, обнаружили в своей корпоративной почте подозрительную активность. Все входящие письма от филиала международного банка оказались в папке «Удаленные». В ней, например, обнаружили как запросы на выделение очередного кредитного транша в $ 1 млн, так и ответ банка о переводе $700 000 на какой-то "левый" незнакомый счет. Расследование показало: неизвестные получили доступ к почтовому ящику директора по корпоративному финансированию и в момент обсуждения очередного транша вмешались в переписку, и указали свой подставной счет. А потом, заметая, следы, отправили всю цепочку писем и все входящие от банка в папку "Удаленные". 

Компрометация деловой электронной почты (Business Email Compromise, BEC) — довольно популярный в последнее время тип атак, нацеленный на руководителей или сотрудников финансовых департаментов — их обманом заставляют перевести деньги на мошеннические счета. При этом, как показывает практика, мультифакторная аутентификация, до недавнего времени предотвращавшая большинство атак на электронную почту, с развитием методов злоумышленников, уже не гарантирует надежной защиты от компрометации. Специалисты Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов и Павел Зевахин разбирались, в чем дело. 

Перевод в никуда 

По данным Group-IB, в России в 2022 году более 60% организаций столкнулись с компрометацией корпоративной электронной почты, а в целом подобный тип атак вырос на 15% по сравнению с предыдущим годом.  Средняя сумма, ущерба в 2022 год в BEC — атаках, выросла вдвое — до 4 млн. руб.

Атаки, направленные на компрометацию деловой электронной почты, базируются на использовании методов социальной инженерии, прежде всего, на способности злоумышленника выдать себя за «своего» человека, например, топ-менеджера, или проверенного контрагента /партнера, чья просьба о переводе денег не вызовет сомнений.


Вспоминается такой кейс из практики Group-IB. Пару лет назад исполнительный директор Фонда Хабенского получила письмо от руководителя другой благотворительной организации с просьбой перевести на указанные реквизиты крупную сумму, собранную на лечение пациента. Но поскольку фонд никогда не переводит деньги на личные банковские счета и персональные кошельки, исполнительный директор насторожилась и перезвонила коллеге, чтобы уточнить, чем вызвана подобная просьба. Оказалось, никакой просьбы о переводе не было.

Анализ показал, что злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес. При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена Фонда Хабенского «bfkh[.]ru» использовался фальшивый домен, отличающийся последовательностью букв: «bfhk[.]ru».

Кроме очевидных рисков, связанных с кражей денег, компрометация почты несет множество других опасностей:  

— преступники могут выгрузить из электронной почты, облачных хранилищ, корпоративных чатов чувствительные материалы, переписку в чатах и электронные письма и в дальнейшем шантажировать компанию или ее сотрудников публикацией этих документов в открытых источниках или продажей их конкурентам;

— злоумышленники могут использовать скомпрометированную электронную почту компании для рассылок писем с вредоносными вложениями, фишинга, осуществления атак на филиалы компании и атак на компании-партнеры;

— атакующие могут довольно долго контролировать переписку по электронной почте, причиняя скомпрометированной компании существенный финансовый вред;

— технически реализация подобного типа атак не представляет большой сложности — поэтому они широко распространены;

— могут украсть не только деньги, но и товар. В свежем бюллетене, опубликованном ФБР и Министерством сельского хозяйства США (USDA), говорится, что некоторые BEC-мошенники теперь нацелены на хищение сахара или сухого молока.

И еще один важный момент: сам факт компрометации электронной почты указывает на то, что ИТ-инфраструктура компании и ее сотрудники плохо подготовлены к предотвращению подобного типа атак, поэтому следует предполагать, что и ИТ-инфраструктура компании также может быть скомпрометирована. Это в свою очередь влечет еще большие опасности для бизнеса: атака шифровальщиков, остановка бизнес-процессов, кража у компании чувствительных данных с последующей их публикацией или продажей и т.д.

Доступ к ящику

Кроме описанной выше техники спуфинга (изменение кэша домена или использования домена-клона), злоумышленники могут скомпрометировать электронную почту, взломав «учетку» пользователя. 

Одна из самых распространенных схем получения доступа к аутентификационным данным (почтовый ящик или любой другой веб-сервис) пользователя — это отправка жертве фишингового письма со ссылкой на подменный сайт или форму с полями для ввода логина и пароля. 

 Фишинговая форма для ввода аутентификационных данных.
 Фишинговая форма для ввода аутентификационных данных.
Прикрепленный PDF-файл, содержащий ссылку на фишинговый сайт злоумышленников.
Прикрепленный PDF-файл, содержащий ссылку на фишинговый сайт злоумышленников.

Пользователь переходит на фальшивый сайт и вводит свои аутентификационные данные, которые попадают к злоумышленникам. Дальше им остается только ввести украденные учетные данные и получить доступ к сервису. 

Для решения данной проблемы были внедрены сервисы мультифакторной аутентификации: в случае компрометации учетных данных атакующих остановил бы "второй фактор". Хорошее и простое решение, которое, к сожалению, на данный момент далеко не везде внедрено. И это при том, что уже несколько лет даже оно не обеспечивает должного уровня безопасности.

Типовая фишинговая атака, предотвращенная с помощью мультифакторной аутентификации.
Типовая фишинговая атака, предотвращенная с помощью мультифакторной аутентификации.

Для обхода мультифакторной аутентификации злоумышленники могут применять несколько тактик.

Если рассматривать ситуацию на примере одной из самых популярных платформ – Microsoft Office365/Azure AD, то в основе идентификации пользователей лежат токены.  Соответственно, пользователю для получения доступа к ресурсу необходимо предоставить действительный токен, который выдается при входе в Azure AD с использованием пользовательских учетных данных и прохождения мультифакторной аутентификации.

Далее пользователь предоставляет этот токен веб-сервису, сервис осуществляет проверку и разрешает пользователю доступ. Например, Azure AD выдает токен, содержащий информацию об имени пользователя, исходный IP, сведения о мультифакторной аутентификации, привилегии пользователя и пр.

Одним из способов обхода мультифакторной аутентификации могут являться атаки типа Adversary-in-the-middle (злоумышленник посередине), в ходе которых атакующие вклиниваются между пользователем и запрашиваемым им сайтом, перехватывают токены и учетные данные.

Деятельность атакующих состоит в развертывании своей инфраструктуры, для чего используются такие инструментарии для поднятия прокси-сервисов (фишинговых сайтов), как Evilginx2 и Modlishka. Данные фреймворки генерируют свой сертификат, шифрующий соединение от жертвы до сервера атакующих, который, впоследствии, выступает в роли прокси-сервера (весь траффик идет на оригинальный сервер через прокси атакующих). Таким образом у злодеев остаются как токены, учетные данные, так и авторизованная сессия.

 Атака типа Adversary-in-the-middle
 Атака типа Adversary-in-the-middle

Третий наиболее распространенный способ — перехват сессионных файлов cookie. Это тот случай, когда веб-ресурс оставляет пользователя в системе и не запрашивает учетные данные каждый раз. После перехвата cookie, для авторизации злоумышленнику необходимо лишь подставить эти cookie веб-браузеру. Обычно такие случаи происходят в случае заражения используемых устройств различными вирусами.

Функционал кражи cookie давно внедряется в программы и фреймворки, используемые атакующими. Например, троян IcedID — мы о нем неоднократно писали, помимо своего основного функционала, может воровать cookie и отправлять их на сервер злоумышленников. Redline Stealer помимо кражи cookie, способен извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров, VPN, логи чатов и прочую информацию. Существуют также вредоносные расширения в веб-браузерах, способные воровать cookie.

 Атака с перехватом сессионных cookie.
 Атака с перехватом сессионных cookie.

Расследование BEC-инцидента: что остается за кадром? 

Как правило, расследование подобного рода инцидентов поручают системным администраторам или локальным техническим специалистам, и оно зачастую сводится к отключению учетных записей и смене паролей пользователей. При этом «в тени» остаются несколько ключевых вопросов, ответы на которые крайне необходимы для полной нейтрализации последствий инцидента.

— Как произошла компрометация? Определен ли полный круг скомпрометированных почтовых ящиков, обнаружены ли правила фильтрации почты, перенастроенные атакующими? Какие IP-адреса использовали злоумышленники?

— Как защититься от повторного инцидента, который может произойти в гораздо большем масштабе? Как создать условия для неповторения подобного рода инцидентов?

— В случае неполноценного расследования инцидента всегда существует шанс скомпрометировать кого-то из партнеров/контрагентов. Нет гарантий, что у злоумышленников не остался доступ к какой-либо из скомпрометированных почтовых учетных записей (или даже к рабочей станции).

— В случае, если заражение прошло через личное устройство сотрудника, необходимо установить этого сотрудника и устройство, так как данное устройство может находиться «вне периметра» сети организации, быть активно и предоставлять доступ злоумышленникам.

— Есть ли гарантии, что отсутствуют ранее скомпрометированные почтовые ящики сотрудников организации?

Как избежать подобных рисков? Мы можем рассказать о своем опыте. В ходе реагирования на BEC-инцидент по результатам расследования, помимо подробного отчета, наши специалисты обычно дают исчерпывающие рекомендации по локализации и ликвидации последствий инцидента, а также рекомендации по корректной настройке облачных почтовых сервисов. А в случае подписки на Incident Response Retainer — своевременный доступ к экспертным консультациям в случае возникновения инцидента. 

Рекомендации для компаний и пользователей: 

Понятно, что мультифакторная аутентификация, до недавнего времени предотвращавшая большинство атак на электронную почту, с развитием методов злоумышленников, уже не гарантирует должной защиты от компрометации. При этом с помощью почтовых сообщений злоумышленниками, помимо классического фишинга, могут быть направлены банковские трояны и программы-вымогатели, представляющие, в некоторых случаях, куда большую угрозу. 

Обеспечить должный уровень защиты от подобных угроз может только корректное сочетание проактивных и реактивных мер. Например, для предотвращения BEС-атак, фишинговый рассылок вредоносного ПО Group-IB рекомендует использовать систему Business Email Protection, которая позволяет обнаружить и заблокировать все виды атак через электронную почту – от простых до самых изощренных, которые часто остаются незамеченными традиционными средствами защиты. BEP анализирует более 290 форматов файлов для обеспечения безопасности всех вложений в почте. Осуществляет проверку всех ссылок, в том числе использующих техники обфускации и перенаправления. Детонирует и анализирует подозрительные вложения и ссылок в изолированных средах для блокировки атак еще на этапе их подготовки.

P.S.Недавно Group-IB объявила о своем участии в программе поддержки стартапов-резидентов особой экономической зоны (ОЭЗ) «Иннополис» — Startup Service Pack. Мы будем на безвозмездной основе предоставить молодым компаниям облачные решения —  Group-IB Attack Surface Management и Group-IB Business Email Protection,  позволяющие защитить их IT-инфраструктуру и электронную почту от актуальных киберугроз.

Комментарии (0)