Постапокалиптические сценарии, главными героями которых являются киберпреступники, становятся все более реальными. То они атакуют (причем успешно) электростанции, то насосные станции, управляющие поставками воды для крупных городов. Теперь и за фабрики принялись (точнее, об этом стало известно именно сейчас — скорее всего, атаки, как успешные, так и не очень, реализовывались в течение многих лет).
В сообщении Swisscom CSIRT указывалось, что в этом году киберпреступники организовали успешную атаку на ряд промышленных объектов Европы с использованием шифровальщика Cring. В нескольких случаях атака привела к временной остановке производственных процессов, в результате чего производство потерпело крупные убытки. Сейчас стали известны подробности атаки.
Так что это за атака такая?
О подробностях рассказали журналисты ArsTechnica, получив информацию из первых рук от Kaspersky ICS CERT (кстати, вот ссылка на оригинал). Для того, чтобы проникнуть в сеть предприятия киберпреступники воспользовались уязвимостью CVE-2018-13379. Она дает возможность извлечь файл сеанса VPN-шлюза. Этот файл включает такие данные, как имя пользователя и пароль в открытом виде.
Речь идет об уязвимости сервера Fortigate, что дает возможность злоумышленнику получить доступ к системным файлам устройства Fortigate SSL-VPN. В текущей ситуации киберпреступники могут получить доступ к файлу «sslvpn_websession» напрямую из интернета без необходимости аутентифицироваться.
Так вот, за несколько дней до начала атаки киберпреступники выполняют тестовые подключения к VPN-шлюзу. Благодаря этому они убеждаются, что на устройстве используется версия ПО, которую можно взломать. Возможно, команда злоумышленников и не выполняла эту работу самостоятельно, а просто приобрела список IP систем, которые поддаются взлому. Стоит напомнить, что речь идет именно о Fortigate.
В пользу последней версии говорит то, что предложение о покупке базы устройств публиковалось на одном из закрытых форумов.
Компания Fortigate была в курсе этой проблемы, поэтому старалась предупреждать пользователей.
Ок, атака удалась, а что потом?
После успешного проникновения в сеть операторы вируса воспользовались утилитой Mimikatz. Она применяется для кражи аутентификационных данных учетных записей пользователей Windows, которые ранее выполнили вход на уже взломанной системе.
В одном случае киберпреступникам удалось скомпрометировать учетку доменного администратора организации, которая была атакована. Ну а с этими данными все было уже просто — команда взломщиков воспользовалась фреймворком Cobalt Strike и инструментарием PowerShell для распространения вредоносного ПО внутри сети предприятия.
После загрузки скрипт расшифровывает нагрузку от Cobalt Strike Beacon — это бэкдор, который дает возможность взломщику удаленно контролировать зараженную систему. Удалось узнать и IP сервера — это 198.12.112[.]204.
Система на крючке
Ну и после этого остается уже минимум телодвижений — загружается cmd-скрипт, который загружает и запускает криптовымогатель Cring. Он сохраняется в %TEMP%\execute.bat (например, C:\Windows\Temp\execute.bat) и запускает PowerShell с именем «kaspersky», для маскировки работы вымогателя.
Кстати, Cring запускается вручную операторами вредоноса. Здесь есть интересный нюанс — у файла в URL расширение .txt, но на самом деле это исполняемый файл.
После запуска программа останавливает работу служб:
- Veritas NetBackup: BMR Boot Service, NetBackup BMR MTFTP Service
- Microsoft SQL server: SQLTELEMETRY, SQLTELEMETRY$ECWDB2, SQLWriter
Плюс останавливается служба, которая используется для создания VPN-подключений. Вероятно, это делается для того, чтобы исключить возможность отреагировать со стороны системных администраторов скомпрометированной сети.
Еще завершаются процессы:
- Microsoft Office: mspub.exe
- Oracle Database software: mydesktopqos.exe, mydesktopservice.exe
Удаляются файлы и папки в корне диска с названиями, включающими «Backup» или «backup». Вредоносная программа создает специализированный скрипт kill.bat, который выполняется один раз, после чего удаляет сам себя.
Ну и наступает финальный этап — шифрование всех важных файлов, с использованием криптостойких алгоритмов, которые невозможно расшифровать самостоятельно. Файлы шифруются алгоритмом AES, затем ключ шифрования шифруется при помощи открытого ключа RSA, который встроен в исполняемый файл вредоносной программы. Длина ключа — 8192 бита.
Шифруются все файлы с расширениями:
- .vhdx (виртуальные диски)
- .ndf (базы данных Microsoft SQL Server)
- .wk (таблицы Lotus 1-2-3)
- .xlsx (таблицы Microsoft Excel)
- .txt (текстовые документы)
- .doc (документы Microsoft Word)
- .docx (документы Microsoft Word)
- .xls (таблицы Microsoft Excel)
- .mdb (базы данных Microsoft Access)
- .mdf (образы дисков)
- .sql (сохраненные запросы SQL)
- .bak (файлы резервных копий)
- .ora (базы данных Oracle)
- .pdf (PDF документы)
- .ppt (презентации Microsoft PowerPoint)
- .pptx (презентации Microsoft PowerPoint)
- .dbf (файлы баз данных dBASE)
- .zip (архивы)
- .rar (архивы)
- .aspx (веб-страницы ASP.NET)
- .php (веб-страницы PHP)
- .jsp (веб-страницы Java)
- .bkf (резервные копии, созданные утилитой Microsoft Windows Backup Utility)
- .csv (таблицы Microsoft Excel)
После завершения процесса показывается сообщение с требованием денег.
Сейчас известно о случаях остановки производственных процессов на двух крупных фабриках европейской компании (ее название по понятным причинам не афишируется экспертами по информационной безопасности, которые вскрыли проблему). Скорее всего, это далеко не все, а лишь вершина айсберга.
Можно ли обнаружить признаки заражения?
Да, специалисты Kaspersky Lab опубликовали их, так что можно свериться с этим списком:
Пути к файлам
%temp%\execute.bat (скрипт-загрузчик вредоносного ПО)
C:\__output (исполняемый файл Cring)
Контрольные суммы (MD5)
c5d712f82d5d37bb284acd4468ab3533 (исполняемый файл Cring)
317098d8e21fa4e52c1162fb24ba10ae (исполняемый файл Cring)
44d5c28b36807c69104969f5fed6f63f (скрипт-загрузчик вредоносного ПО)
IP-адреса
129.227.156[.]216 (использовался злоумышленниками в ходе атаки)
129.227.156[.]214 (использовался злоумышленниками в ходе атаки)
198.12.112[.]204 (сервер управления Cobalt Strike)
45.67.231[.]128 (хостинг вредоносного ПО)
mkovalevskyi
Вывод. Видите в процессах касперского — бейте тревогу )))
DZav23
Особенно, если каспера у вас до этого не было=)