Tag Archives: dragonfly

2014 ????????????????? 4 ???

      No Comments on 2014 ????????????????? 4 ???
重大な脆弱性からサイバースパイ活動まで、今年の事件を振り返り、将来への影響を考察します。

Twitter Card Style: 

summary

events-2014-concept-600x315-socialmedia.jpg

2014 年は、大規模なデータ侵害から Web の根幹に関わる脆弱性まで、さまざまなセキュリティ事案が発生しましたが、その中で重要度を判断するのは難しいことです。単に興味を引くだけの出来事もあれば、オンラインセキュリティにおける大きなトレンドを示す出来事もあります。過去の名残に過ぎない脅威もあれば、将来を指し示す脅威もあるのです。

この 1 年にオンラインセキュリティの世界で発生した 4 つの重要な事件を振り返り、そこから得られた(または得るべき)教訓と、来年予想される出来事を考察します。

Heartbleed 脆弱性および ShellShock(Bash Bug)脆弱性の発見
今年の春、Heartbleed 脆弱性が見つかりました。Heartbleed は OpenSSL の深刻な脆弱性です。OpenSSL は、SSL プロトコルと TLS プロトコルの最も普及している実装として、多くの有名な Web サイトで使用されています。攻撃者は、Heartbleed 脆弱性を悪用して、ログイン情報や個人データ、さらには復号鍵といった機密情報を盗み出し、セキュア通信を解読できる可能性があります。

続いて秋口には、Linux および Unix、さらには Unix ベースである Mac OS X の多くのバージョンに搭載されている Bash(シェルと呼ばれる共通コンポーネントの 1 つ)の脆弱性が見つかりました。

ShellShock または Bash Bug と呼ばれるこの脆弱性によって、攻撃者は、侵入先のコンピュータからデータを盗み取ることができるだけでなく、そのコンピュータを制御してネットワーク上の他のコンピュータにアクセスする可能性もあります。

Heartbleed 脆弱性と ShellShock 脆弱性によって、オープンソースソフトウェアのセキュリティに注意が向けられ、電子商取引で使われているきわめて多くのシステムの根幹に関わっていることが明らかになりました。ベンダー独自のプロプライエタリソフトウェアで脆弱性が見つかった場合は、そのベンダー 1 社が提供するパッチが必要になるだけです。しかし、オープンソースソフトウェアの場合には、膨大な数のアプリケーションやシステムに統合されている可能性があるため、管理者はさまざまなベンダーが提供するパッチを必要とします。ShellShock 脆弱性と Heartbleed 脆弱性では、パッチの提供状況や有効性について多くの混乱が発生しました。これを契機に、オープンソースの脆弱性に関して、MAPP プログラムのように足並みを揃えた対応の必要性が認識されることを願っています。

オープンソースプログラムでは、今後もこのような新しい脅威が見つかるでしょう。それらが攻撃者にとって新しい攻撃対象になる可能性がある一方で、最大のリスク要因はやはり、適切なパッチが適用されていない既知の脆弱性です。今年のインターネットセキュリティ脅威レポートによると、正規の Web サイトの 77 % で悪用可能な脆弱性が放置されています。したがって 2015 年は、攻撃者は Heartbleed 脆弱性や ShellShock 脆弱性を悪用すると共に、パッチが適用されていない多数の脆弱性をまんまと悪用し続けることでしょう。

組織化されたサイバースパイ活動とサイバー妨害工作の可能性: Dragonfly および Turla
Dragonfly グループは、2011 年にはすでに活動が確認されており、当初は米国とカナダの航空防衛企業を標的としていましたが、2013 年の初めに主にエネルギー企業に狙いを変えています。このグループは複数の経路で攻撃を仕掛ける能力を備えており、大掛かりな攻撃活動を実行して、産業用制御システム(ICS)機器メーカー数社のソフトウェアにリモートアクセス型のトロイの木馬を感染させました。これにより、攻撃者は、ソフトウェアがインストールされているシステムにアクセスすることができ、標的組織に侵入してサイバースパイ活動を実行する足掛かりができたのです。さらに、それらのシステムの多くでは、石油パイプラインやエネルギー網など、重要なインフラの制御に使用されるICSプログラムが稼働していました。これらの攻撃においてサイバー妨害工作は確認されませんでしたが、攻撃者が妨害工作を実行できる能力を持ち合わせており、いつでも攻撃を仕掛けることができたのは間違いありません。おそらく、攻撃の開始を待ち構えていたところで、実行前に中断したのでしょう。

また、Dragonfly は、標的の組織に侵入するために標的型のスパムメール攻撃や水飲み場型攻撃を実行していました。Turla マルウェアの背後にいるグループも、同様に多段階の攻撃戦略を用いており、スピア型フィッシングメールや水飲み場型攻撃を使って標的を感染させます。水飲み場型攻撃では標的を極度に絞り込んだ侵害機能が用いられ、特定範囲の正規の Web サイトを侵害して、事前に指定した IP アドレス範囲からアクセスした標的のみにマルウェアを配布していました。さらに、攻撃者たちは、重要度の高い標的のために最も高度な監視ツールも用意しています。ただし、Turla の動機は Dragonfly とは異なります。Turla の攻撃者は大使館や政府機関を標的として長期的な監視活動を実行しており、これはきわめて典型的なスパイ活動です。

Dragonfly の攻撃と Turla の攻撃のどちらにも、国家が支援している活動に見られる特徴があり、高度な技術力と豊富なリソースが認められます。これらのグループは、複数の経路で攻撃を仕掛けたり、多数のサードパーティの Web サイトを侵害したりできる能力を備え、サイバースパイ活動を目的としているようです。Dragonfly はさらに、妨害工作を実行する能力も備えています。

こうした攻撃は、ほぼ毎日観測される多数のサイバースパイ攻撃のほんの一例です。問題は世界中で発生していて静まる気配はありません。Sandworm などによる攻撃でも、多数のゼロデイ脆弱性が悪用されています。高度な技術リソースや潤沢な資金力を踏まえると、これらの攻撃は国家が支援している可能性が高いでしょう。

狙われたクレジットカード
盗んだクレジットカードやデビットカードのデータを闇市場で販売して儲けるために、こうしたカード類は犯罪者の格好の標的となっています。今年は、店頭レジ端末(POS)システムを狙って消費者の決済カード情報を盗み取る大規模な攻撃が何件も発生しました。米国が主な標的となった原因として、磁気ストライプのカードよりも高度なセキュリティを提供する、EMV(Europay, MasterCard, and VISA)と呼ばれる「チップアンドピン」方式のシステムが採用されていないことが挙げられます。攻撃に使用されたマルウェアは、決済カードの磁気ストライプから読み取られた情報を、暗号化される前に盗み取ることが可能です。この情報を使ってカードを複製することができます。EMV カードの取引情報は一回限りの暗号化が毎回行われるため、犯罪者が決済データの有用な部分だけを選んで別の購入に再利用するのは困難です。ただし、EMV カードも不正なオンライン購入に利用される危険性があります。

また、今年は、近距離無線通信(NFC)技術を利用して iPhone を「仮想財布」として利用する Apple Pay も開始されました。NFC とは、ハードウェアデバイスから近くにある別の物理オブジェクト(Apple Pay の場合は店のレジ)に、データを無線で送信する通信手段です。

NFC 決済システムは目新しいものではありませんが、多くのスマートフォンで NFC 規格がサポートされるようになれば、来年はこの技術を利用する消費者も増えると予想されます。NFC システムは磁気ストライプよりも安全性が高いとはいえ、依然として犯罪者に悪用される可能性があることには注意が必要です。ただし、犯罪者は個々のカードを標的とする必要があるので、今年米国で発生したような大規模な侵害や盗難は起きないでしょう。しかし、決済カードデータを安全に保管していない小売業者を NFC 決済システムが保護してくれるわけではありません。保管されたデータは、引き続き厳重に保護する必要があります。

法執行機関との協力体制の強化
最後は、よいニュースをお伝えします。今年は、国際的な法執行機関が、サイバー犯罪者の摘発に向けてオンラインセキュリティ業界との協力を深め、従来よりも活発かつ積極的に活動した事例が多く見られました。

Blackshades は、初心者レベルのハッカーから高度なサイバー犯罪グループにいたるまで、さまざまな攻撃者によって使用されている有名かつ強力なリモートアクセス型のトロイの木馬(RAT)です。2014 年 5 月、FBI、欧州警察組織、その他複数の法執行機関は、Blackshades(別名 W32.Shadesrat)に関連するサイバー犯罪活動の疑いで数十名を逮捕しました。今回の一斉摘発において、シマンテックは FBI と緊密に連携し、関与した容疑者たちを追跡するための情報を提供しています。

そのちょうど 1 カ月後、FBI、英国の国家犯罪対策庁、その他複数の国際的な法執行機関は、シマンテックを含め複数の民間パートナーと協力して、非常に危険な 2 つの金融詐欺活動、Gameover Zeus ボットネットと Cryptolocker ランサムウェアネットワークに対する大規模な摘発作戦を実行しました。この結果 FBI は、双方の脅威によって使われていた大規模なインフラを押収しています。

これらの摘発作戦を含めて継続的な取り組みは行われているものの、サイバー犯罪が一夜にしてなくなることはありません。長期的な成功のためには、民間のパートナーと法執行機関が協力を継続することが必要です。サイバー犯罪活動がますます急速に高度化していくなか、サイバー犯罪者を摘発して活動を停止させるべく、今後もこの協力活動が続くことを期待します。

以上が、2014 年のオンラインセキュリティにおける 4 大事件です。まだ 2015 年まで数週間あるので、もちろん新しい事件が発生する可能性もあります。しかし、将来何が起きようとも、シマンテックはお客様を保護することをお約束いたします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The four most important online security events of 2014

From major vulnerabilities to cyberespionage, Symantec looks at what the past year has brought and what it means for the future.

events-2014-concept-600x315-socialmedia.jpg

With such an array of security incidents in 2014—from large-scale data breaches to vulnerabilities in the very foundation of the web—it’s difficult to know which to prioritize. Which developments were merely interesting and which speak of larger trends in the online security space? Which threats are remnants from the past and which are the indications for what the future holds?

The following are four of the most important developments in the online security arena over the past year, what we learned (or should have learned) from them, and what they portend for the coming year.

The discovery of the Heartbleed and ShellShockBash Bug vulnerabilities
In spring 2014, the Heartbleed vulnerability was discovered. Heartbleed is a serious vulnerability in OpenSSL, one of the most common implementations of the SSL and TLS protocols and used across many major websites. Heartbleed allows attackers to steal sensitive information such as login credentials, personal data, or even decryption keys that can lead to the decryption of secure communications.

Then, in early fall, a vulnerability was found in Bash, a common component known as a shell, which is included in most versions of the Linux and Unix operating systems, in addition to Mac OS X (which is, itself, based around Unix). 

Known as ShellShock or the Bash Bug, this vulnerability allows an attacker to not only steal data from a compromised computer, but also to gain control over the computer itself, potentially providing them with access to other computers on the network.

Heartbleed and ShellShock turned the spotlight on the security of open-source software and how it is at the core of so many systems that we rely on for e-commerce. For vulnerabilities in proprietary software we just need to rely on a single vendor to provide a patch. However, when it comes to open-source software, that software may be integrated into any number of applications and systems. This means that an administrator has to depend on a variety of vendors to supply patches. With ShellShock and Heartbleed there was a lot of confusion regarding the availability and effectiveness of patches. Hopefully this will serve as a wake-up call for how we need greater coordinated responses to open-source vulnerabilities, similar to the MAPP program

Moving forward, new threats like these will continue to be discovered in open-source programs. But while this is potentially a rich, new area for attackers, the greatest risk continues to come from vulnerabilities that are known, but where the appropriate patches aren’t being applied. This year’s Internet Security Threat Report showed that 77 percent of legitimate websites had exploitable vulnerabilities. So, yes, in 2015 we’ll see attackers using Heartbleed or ShellShock, but there are hundreds of other unpatched vulnerabilities that hackers will continue to exploit with impunity.

Coordinated cyberespionage and potential cybersabotage: Dragonfly and Turla
The Dragonfly group, which appears to have been in operation since at least 2011, initially targeted defense and aviation companies in the US and Canada, before shifting its focus mainly to energy firms in early 2013. Capable of launching attacks through several different vectors, its most ambitious attack campaign compromised a number of industrial control system (ICS) equipment providers, infecting their software with a remote access-type Trojan. This gave the attackers full access to systems where this software was installed. While this provided the attackers with a beachhead into target organizations in order to carry out espionage activities, many of these systems were running ICS programs used to control critical infrastructure such as petroleum pipelines and energy grids. While no cybersabotage was seen in these attacks, no doubt the attackers had the ability and could have launched such attacks at any time. Perhaps they chose to lie in wait and were interrupted before they could move on. 

Dragonfly also used targeted spam email campaigns and watering hole attacks to infect targeted organizations. Similarly, the group behind the Turla malware also uses a multi-pronged attack strategy to infect victims through spear-phishing emails and watering hole attacks. The watering hole attacks display extremely targeted compromise capabilities, with the attackers compromising a range of legitimate websites and only delivering malware to victims visiting from pre-selected IP address ranges. The attackers would also save their most sophisticated surveillance tools for high-value targets. Turla’s motives are different to Dragonfly, however. The Turla attackers are carrying out long-term surveillance against embassies and government departments, a very traditional form of espionage. 

Both the Dragonfly and Turla campaigns bear the hallmarks of state-sponsored operations, displaying a high degree of technical capability and resources. They are able to mount attacks through multiple vectors and compromised numerous third-party websites, with their apparent purpose being cyberespionage—and sabotage as a secondary capability for Dragonfly. 

These campaigns are just examples of the many espionage campaigns we see on an almost daily basis. This is a global problem and shows no sign of abating, with attacks such as Sandworm also leveraging a number of zero-day vulnerabilities. Given the evidence of deep technical and financial resources these attacks are very likely state-sponsored. 

Credit cards in the crosshairs
The lucrative business of selling stolen credit or debit card data on the black market makes these cards a prime target for bad guys. 2014 saw several high-profile attacks targeting point-of-sale (POS) systems to obtain consumers’ payment card information. One factor making the US a prime target is the failure to adopt the chip-and-PIN system, known as EMV (Europay, MasterCard and VISA), which offers more security than magnetic stripe-based cards. The attacks used malware which can steal the information from the payment card’s magnetic stripe as it is read by the computer and before it is encrypted. This stolen information can then be used to clone that card. Because EMV card transaction information is uniquely encoded every time, it’s harder for criminals to pick up useful payment data pieces and use them again for another purchase. However, EMV cards are just as susceptible to being used for fraudulent online purchases.

Apple Pay, which basically turns your mobile phone into a “virtual wallet” by using near-field communication (NFC) technology, was also launched in 2014. NFC is a type of communication that involves wirelessly transmitting data from one hardware device to another physical object nearby, in this case a cash register. 

While NFC payment systems have been around for a while now, we expect to see an uptick in consumer adoption of this technology in the coming year, as more smartphones support the NFC standard. It’s worth noting that while NFC systems are more secure than magnetic stripes, there is still a possibility of hackers exploiting them, although this would require the bad guys to target individual cards and wouldn’t result in large scale breaches or theft like we have seen in the US. However, the payment technology used won’t protect against retailers who aren’t storing payment card data securely, they’ll still need to be vigilant in protecting stored data. 

Increased collaboration with law enforcement 
Now, for a bit of good news: 2014 saw many examples of international law enforcement teams taking a more active and aggressive stance on cybercrime by increasingly collaborating with the online security industry to take down cybercriminals.

Blackshades is a popular and powerful remote access Trojan (RAT) that is used by a wide spectrum of threat actors, from entry-level hackers right up to sophisticated cybercriminal groups. In May of 2014, the FBI, Europol, and several other law enforcement agencies arrested dozens of individuals suspected of cybercriminal activity centered on the use of Blackshades (also known as W32.Shadesrat). Symantec worked closely with the FBI in this coordinated takedown effort, providing information that allowed the agency to track down those suspected of involvement. 

Just one month later, the FBI, the UK’s National Crime Agency, and a number of international law enforcement agencies, working in tandem with Symantec and other private sector parties, significantly disrupted two of the world’s most dangerous financial fraud operations: the Gameover Zeus botnet and the Cryptolocker ransomware network. This resulted in the FBI seizing a large amount of infrastructure used by both threats. 

While these takedowns are part of an ongoing effort, we won’t see cybercrime disappearing overnight. Both private industry and law enforcement will need to continue to cooperate to have long-lasting impact. As the rate and sophistication of cyberattacks grows, we expect to see a continuation of this trend of collaboration to track down cybercriminals and stop them in their tracks.

So, there you have it, my take on the four most important online security events of 2014. Of course, there’s still a few weeks left before we ring in 2015, so we may yet see other events arise, but you can trust that Symantec is here and that we’ve got your back, no matter what the future may bring!

Los cuatro eventos más destacados de seguridad en Internet del 2014

Desde importantes vulnerabilidades hasta el ciberespionaje, Symantec revisa lo sucedido este año y lo que significará para el futuro.

events-2014-concept-600x315-socialmedia.jpg

Con tanta variedad de incidentes de seguridad en 2014 -desde las fugas de datos a gran escala hasta las vulnerabilidades en la web- es difícil saber qué destacó más. ¿Cuáles situaciones fueron meramente interesantes y cuáles tienen que ver con las tendencias más grandes en temas de seguridad en Internet? ¿Qué amenazas son restos del pasado y cuáles son indicaciones de lo que nos depara el futuro?

A continuación presentamos cuatro de los acontecimientos más importantes en el ramo de la seguridad en línea del último año, lo que aprendimos (o deberíamos haber aprendido) a partir de ellos y lo que presagian para el próximo año.

 

El descubrimiento de las vulnerabilidades Heartbleed y ShellShock Bash Bug

En la primavera de 2014, se descubrió Heartbleed, una grave vulnerabilidad en OpenSSL. Es una de las implementaciones más comunes de los protocolos SSL y TLS que se utilizan en muchos sitios web populares. Heartbleed permite a los atacantes robar información confidencial como credenciales de acceso, datos personales o incluso las claves de cifrado que pueden llevar a la revelación de comunicaciones seguras.

Luego, a principios de otoño, una vulnerabilidad fue encontrada en Bash, un componente común conocido como un caparazón, que se incluye en la mayoría de las versiones de los sistemas operativos Linux y Unix, además de Mac OS X (que en sí mismo está basado en Unix). Conocida como ShellShock o Bash Bug, esta vulnerabilidad permite a un atacante no sólo robar datos de una computadora infectada sino también tener control sobre el propio equipo, lo que podría darle acceso a otros equipos de la red.

Heartbleed y ShellShock se convirtieron en el centro de atención en seguridad del software de código abierto y se identificó como el núcleo de muchos sistemas de los que dependemos para el comercio electrónico. Para las vulnerabilidades en software patentado dependemos de un solo proveedor para proporcionar un parche. Sin embargo, cuando se trata de un software de código abierto, éste puede estar integrado en cualquier número de aplicaciones y sistemas. Esto significa que un administrador tiene que depender de una variedad de proveedores para el suministro de parches. Con ShellShock y Heartbleed hubo una gran confusión en cuanto a la disponibilidad y eficacia de los parches. Esperemos que esto sirva como una llamada de atención para la necesidad de contar con mayores respuestas coordinadas a las vulnerabilidades de código abierto, similares al programa MAPP.

En el futuro, amenazas como éstas seguirán descubriéndose en programas de código abierto. Pero, si bien esto es potencialmente una rica y nueva área para los atacantes, el mayor riesgo viene de las vulnerabilidades conocidas, en las que no se están aplicando los parches adecuados. El Informe sobre las Amenazas de Seguridad de Internet de este año mostró que 77% de los sitios web legítimos tenía vulnerabilidades explotables. Así que, en 2015 probablemente veremos atacantes utilizando Heartbleed o ShellShock, pero hay cientos de otras vulnerabilidades sin parches que los hackers continuarán explotando libremente.

 

Ciberespionaje coordinado y potencial: Dragonfly y Turla

El grupo Dragonfly que parece haber estado en funcionamiento por lo menos desde 2011, inicialmente se enfocó en atacar empresas de defensa y aviación en Estados Unidos y Canadá, antes de cambiar su blanco a empresas de energía, a principios de 2013. Capaz de lanzar ataques a través de varios vectores diferentes, su más ambiciosa campaña de ataque infectó una serie de sistema de control industrial (ICS) de proveedores de equipos, dañando su software con un tipo de acceso remoto troyano. Esto dio a los atacantes acceso completo a los sistemas en los que se había instalado este software. Si bien esto permite a los atacantes llegar a las organizaciones objetivo con el fin de llevar a cabo actividades de espionaje, muchos de estos sistemas estaban utilizando programas ICS para controlar infraestructura crítica, tales como oleoductos y redes de energía. Si bien no se vio ciberespionaje en estos ataques, no hay duda que los atacantes tenían la capacidad y podrían haber puesto en marcha este tipo de acciones en cualquier momento. Quizás eligieron esperar y fueron interrumpidos antes de que pudieran seguir adelante.

Dragonfly también utiliza campañas dirigidas de correo electrónico spam y ataques de tipo watering hole para infectar organizaciones seleccionadas. Del mismo modo, el grupo detrás del software malicioso Turla también utiliza una estrategia de ataque múltiple para infectar a las víctimas a través de correos electrónicos de suplantación de identidad y ataques watering hole. Los ataques infectan una serie de sitios web legítimos y sólo “entregan” el software malicioso a los visitantes de cierto rango de direcciones IP preseleccionados. Los atacantes también podían dejar sus herramientas de vigilancia más sofisticadas para objetivos de alto valor. Los motivos de Turla son diferentes a los de Dragonfly. Los atacantes detrás de Turla están vigilando a largo plazo embajadas y departamentos del gobierno, una forma muy tradicional de espionaje.

Sin embargo, tanto las campañas de Dragonfly y de  Turla llevan el sello de operaciones patrocinadas por algún Estado, mostrando un alto grado de capacidad técnica y recursos. Ellos son capaces de montar ataques a través de múltiples vectores e infectar numerosos sitios web de terceros, con el propósito aparente de ser ciberespionaje -y sabotaje- como una capacidad secundaria de Dragonfly.

Estas campañas son sólo ejemplos de las muchas otras campañas de espionaje que vemos y se crean a diario. Este es un problema mundial y no muestra señales de disminuir, como por ejemplo ataques como Sandworm , relacionados con una serie de vulnerabilidades de día-cero. Dada la evidencia de los amplios recursos técnicos y financieros, es muy probable que estos ataques estén patrocinados por el Estado.

 

Tarjetas de crédito en la mira

El lucrativo negocio de la venta de datos de tarjetas de crédito o débito robadas en el mercado negro las vuelve un objetivo prioritario para los cibercriminales. En 2014 se presentaron varios ataques de alto perfil dirigidos a sistemas de punto de venta (POS) para obtener información de tarjetas de pago de los consumidores. Un factor que hace de Estados Unidos un objetivo prioritario es la falta de adopción del sistema chip-and-PIN, conocido como EMV (Europay, MasterCard y Visa), que ofrece más seguridad que las tarjetas de banda magnética. Los ataques utilizan malware que puede robar información de la banda magnética de la tarjeta de pago, al momento de ser leída por el equipo y antes de que se encripte. Esta información robada puede entonces ser utilizada para clonar esa tarjeta. Debido a que la información de transacciones de tarjetas EMV se codifica de forma única, cada vez, es más difícil para los criminales recoger pedazos de datos útiles de pago y utilizarlos de nuevo para otra compra. Sin embargo, las tarjetas EMV son tan susceptibles de ser utilizadas para compras en línea fraudulentas como las tarjetas tradicionales.

Apple Pay, que básicamente convierte tu teléfono móvil en una “billetera virtual” utilizando tecnología de comunicación de campo cercano (NFC), también se lanzó en 2014. NFC es un tipo de comunicación que implica la transmisión de datos de forma inalámbrica desde un dispositivo a otro objeto físico cercano, en este caso una caja registradora.

Mientras que los sistemas de pago NFC han estado disponibles por un tiempo, esperamos ver el próximo año un aumento en la adopción de esta tecnología en los consumidores, a medida que más teléfonos inteligentes son compatibles con él. Vale la pena señalar que, si bien los sistemas NFC son más seguros que las bandas magnéticas, todavía hay una posibilidad de que los hackers lo exploten, aunque esto requeriría que los atacantes se enfoquen en tarjetas individuales y no daría lugar a fugas a gran escala o robos como los que hemos visto. Sin embargo, la tecnología de pago utilizada actualmente no protegerá contra las tiendas que no almacenan los datos de las tarjetas de pago de sus clientes de forma segura, así que ellos todavía tendrán que estar al pendiente en proteger los datos almacenados.

 

El aumento de la colaboración con la policía

Ahora, para hablar un poco de buenas noticias: en 2014 vimos muchos ejemplos de equipos internacionales de aplicación de la ley que tomaron una postura más activa y agresiva sobre los delitos informáticos, colaborando cada vez más con la industria de la seguridad en Internet para acabar con los criminales cibernéticos.

Blackshades es un troyano de acceso remoto (RAT) muy popular y poderoso utilizado por una amplia gama de agentes de amenaza, desde piratas informáticos principiantes hasta sofisticados grupos de ciberdelincuencia. En mayo de 2014, el FBI, Europol y varias otras agencias de aplicación de la ley arrestaron a decenas de personas sospechosas de actividad criminal cibernética centradas en el uso de Blackshades (también conocido como W32.Shadesrat). Symantec trabajó en estrecha colaboración con el FBI en este esfuerzo coordinado para acabar con ellos, compartiéndoles información que permitió a la agencia localizar a los presuntos implicados.

Apenas un mes después, el FBI, la Agencia Nacional de Crimen del Reino Unido y una serie de agencias internacionales encargadas de hacer cumplir la ley, trabajaron en conjunto con Symantec y otras empresas del sector privado, para detener dos de las operaciones de fraude financiero más peligrosas del mundo: el botnet Gameover Zeus y la red de ransomware CryptoLocker. Y, como resultado, el FBI confiscó una gran infraestructura utilizada por ambas amenazas.

Si bien estos desmantelamientos son parte de un esfuerzo continuo, no veremos a la ciberdelincuencia desaparecer de la noche a la mañana. Tanto la industria privada como las autoridades tendrán que seguir cooperando para tener un impacto duradero. En este sentido, a medida que la tasa y la sofisticación de los ataques cibernéticos se incrementa, esperamos ver la continuación de esta tendencia de colaboración para localizar a los delincuentes y detenerlos en el camino.

Así que, estos son los cuatro eventos más importantes de seguridad en línea que hemos visto este 2014. Por supuesto, todavía quedan algunas semanas antes de que llegue el 2015, por lo que todavía podríamos ver que aparezcan otros eventos, pero se puede confiar en que Symantec está aquí y protegemos tu información, sin importar lo que venga a futuro.

Os quatro eventos de segurança online mais importantes de 2014

De grandes vulnerabilidades a ciberespionagem, a visão da Symantec sobre o que o último ano apresentou e o que significa para o futuro.

events-2014-concept-600x315-socialmedia.jpg

Com uma ampla variedade de incidentes de segurança em 2014 – de violações de dados em larga escala a vulnerabilidades na própria base da rede – é difícil saber o que é prioridade. Quais acontecimentos foram apenas interessantes e quais se referem a tendências na área de segurança online? Que ameaças são resquícios do passado e quais são indicação do que virá no futuro?

Abaixo estão os quatro acontecimentos mais importantes da área de segurança online do último ano, o que aprendemos (ou deveríamos ter aprendido) com eles, e que alerta eles enviam para o ano que vem.

 

A descoberta das vulnerabilidades Heartbleed e ShellShockBash Bug

No primeiro semestre de 2014, a vulnerabilidade Heartbleed foi descoberta. Ela é uma vulnerabilidade séria em OpenSSL, uma das implementações dos protocolos SSL e TLS mais utilizada em sites. O Heartbleed permite que os atacantes roubem informações sensíveis como dados pessoais, de login, ou mesmo chaves de criptografia que podem levar à decodificação de comunicações protegidas.

Além disso, alguns meses depois foi encontrada uma vulnerabilidade em Bash, um componente comum também conhecido como shell, que está incluído na maioria das versões dos sistemas operacionais Linux e Unix, além do Mac OS X (também baseado em Unix). Conhecida como ShellShock (ou Bash Bug), ela permite que um cibercriminoso não apenas roube dados de um computador comprometido, mas também ganhe controle sobre o aparelho em si, potencialmente obtendo acesso a outros dispositivos na rede.

As ameaças Heartbleed e ShellShock levaram a atenção à segurança de softwares de código aberto e em como elas estão no centro de tantos sistemas dos quais dependemos para e-commerce. No caso de vulnerabilidades de software proprietário, precisamos apenas contar com um único fornecedor que entregue um patch.

No entanto, quando se trata de software de código aberto, o software pode estar integrado a uma série de aplicações e sistemas, o que significa que o administrador depende de uma variedade de fornecedores para que entreguem patches. Com o ShellShock e Heartbleed, houve muita confusão quanto à disponibilidade e eficácia dos patches e esperamos que isso sirva como um toque de despertar sobre o quanto precisamos de respostas coordenadas maiores às vulnerabilidades de código aberto, semelhante ao programa MAPP.

Ou seja, daqui em diante novas ameaças como essas continuarão a ser descobertas em programas de código aberto. Ainda que seja uma área nova e potencialmente rica para atacantes, o maior risco continua a vir de vulnerabilidades conhecidas, onde os patches adequados não são aplicados. De acordo com o Relatório sobre Ameaças à Segurança na Internet deste ano, 77% dos sites legítimos tinham vulnerabilidades exploráveis. Portanto, em 2015 veremos cibercriminosos utilizarem o Heartbleed ou ShellShock, mas há centenas de outras vulnerabilidades sem patches que os hackers continuarão a explorar impunemente.

Ciberespionagem coordenada e cibersabotagem em potencial: Dragonfly e Turla

O grupo Dragonfly, que parece estar em operação desde pelo menos 2011, inicialmente visou empresas de defesa e aviação nos EUA e Canadá, antes de mudar seu foco principalmente para empresas de energia no começo de 2013. Capaz de lançar ofensivas através de diversos vetores diferentes, sua campanha de ataque mais ambiciosa comprometeu diversos provedores de equipamentos de sistemas de controle industriais (ICS), infectando softwares com um Trojan de acesso remoto.

Tal ação deu aos atacantes acesso total aos sistemas onde o software estivesse instalado, o que permitia se infiltrar nas organizações alvo para desempenhar atividades de ciberespionagem. Muitos destes sistemas estavam rodando programas ICS utilizados para controlar infraestruturas críticas como oleodutos e redes de energia, porém não houve registro de cibersabotagem nestes ataques. Sem dúvida os criminosos tinham essa capacidade e poderiam ter lançado ataques rapidamente, mas talvez tenham optado por aguardar, sendo interrompidos antes que pudessem avançar.

O Dragonfly também empregou campanhas dirigidas de spam por e-mail e ataques de watering hole para infectar organizações-alvo. De forma semelhante, o grupo por trás do malware Turla também usa uma estratégia de ataque em múltiplas frentes para infectar as vítimas através de e-mails de spearphishing e ataques de watering hole, que exibem capacidades de comprometimento extremamente dirigidas, onde os atacantes comprometem uma série de sites legítimos e entregam o malware apenas para vítimas que acessem a partir de faixas de endereço de IP previamente selecionadas. Eles também deixavam suas ferramentas mais sofisticadas de vigilância para alvos de alto valor. Porém, a motivação do Turla é diferente da do Dragonfly. Os cibercriminosos do Turla estão executando vigilância de longo prazo contra embaixadas e departamentos governamentais, uma forma muito tradicional de espionagem.

Tanto as campanhas do Dragonfly como do Turla carregam a marca de operações patrocinadas por Estados, apresentando um alto nível de capacidade técnica e de recursos. São capazes de montar ataques através de vetores múltiplos e comprometeram diversos sites de terceiros. Seu propósito aparente seria de ciberespionagem – e sabotagem como uma capacidade secundária no caso do Dragonfly.

Estas campanhas são apenas exemplos das inúmeras campanhas de espionagem que encontramos quase diariamente. Este é um problema global e não há sinais de trégua, com ataques como o Sandworm alavancando uma série de vulnerabilidades de dia zero. Considerando-se a evidência de profundos recursos técnicos e financeiros, estes ataques são, muito provavelmente, patrocinados por Estados.

 

Cartões de crédito no alvo

O lucrativo negócio de venda no mercado negro de dados de cartões de crédito ou débito roubados torna esse ramo um grande alvo para criminosos. Em 2014, ocorreram diversos ataques de destaque focados em sistemas point-of-sale (POS) para obter as informações do cartão de pagamento de consumidores. Um fator que torna os Estados Unidos o maior alvo é a incapacidade de adotar o sistema chip-e-PIN, conhecido como EMV (Europay, MasterCard e VISA), que oferece mais segurança que os cartões com faixa magnética. Os ataques utilizaram malwares que podem roubar informações da faixa magnética do cartão de pagamento enquanto ela é lida pelo computador e antes que seja criptografada. As informações roubadas podem então ser utilizadas para clonar o objeto. Como as informações de transações com EMV são criptografadas de modo único a cada vez, é mais difícil para os criminosos captar partes úteis de dados de pagamento e usá-las novamente para outra compra. No entanto, essa tecnologia é igualmente suscetível ao uso em compras online fraudulentas.

O Apple Pay, que basicamente transforma seu celular em uma “carteira virtual” através da tecnologia near-field communication (NFC), também foi lançado em 2014. O NFC é um tipo de comunicação que envolve a transmissão sem fio de dados, de um dispositivo de hardware para outro objeto físico que esteja próximo, neste caso, a caixa registradora.

Os sistemas de pagamento de NFC já existem há algum tempo, mas esperamos ver um aumento na adoção dessa tecnologia por consumidores no próximo ano, já que mais smartphones terão suporte a esse padrão. Vale notar que os sistemas NFC são mais seguros que faixas magnéticas, mas ainda existe a possibilidade de hackers explorarem o sistema, ainda que isso exija que os bandidos se direcionem a cartões individuais e não resulte em violação ou roubo de grande escala como vimos nos EUA. No entanto, a tecnologia de pagamento utilizada não protege contra varejistas que não armazenam dados de cartões de forma segura, eles ainda precisam ser cuidadosos na proteção dos dados armazenados.

 

Maior colaboração com agências de segurança

Agora, uma boa notícia: em 2014 tivemos muitos exemplos de agências internacionais de segurança adotando uma posição mais ativa e agressiva contra o cibercrime, colaborando cada vez mais com o setor de segurança online para derrubar cibercriminosos.

Blackshades é um Trojan de acesso remoto (RAT) popular e poderoso, utilizado por uma série de autores de ameaças, desde hackers iniciantes até grupos cibercriminosos sofisticados. Em maio de 2014, o FBI, a Europol e diversas outras agências de segurança prenderam dezenas de pessoas suspeitas de atividades centradas no uso de Blackshades (também conhecido como W32.Shadesrat). A Symantec trabalhou junto ao FBI neste esforço coordenado de combate, fornecendo informações que permitiram que a agência localizasse pessoas suspeitas de envolvimento.

Apenas um mês depois, o FBI, o National Crime Agency do Reino Unido, e diversas outras agências internacionais de segurança, trabalhando ao lado da Symantec e outras empresas do setor privado, interromperam significativamente duas das mais perigosas operações de fraude financeira do mundo: o botnet Gameover Zeus e a rede Cryptolocker ransomware. Com isso, o FBI apreendeu uma grande infraestrutura usada pelas duas ameaças.

Apesar de estes golpes serem parte de um esforço contínuo, não veremos o desaparecimento do cibercrime de forma rápida. Tanto o setor privado como as agências de segurança precisam continuar a colaborar para ter um impacto duradouro. Conforme a taxa e sofisticação de ciberataques aumentam, esperamos uma continuidade dessa tendência de colaboração para localizar os atacantes e interromper sua ação.

Então, aí está, minha visão sobre os quatro acontecimentos mais importantes na segurança online em 2014. Claro, ainda temos algumas semanas antes da chegada de 2015, então podemos ver o surgimento de outros eventos, mas você pode confiar que a Symantec está aqui e cuidaremos de você, independentemente do que o futuro possa trazer!

Dragonfly: Zachodnie firmy z bran?y energetycznej zagro?one sabota?em

dragonfly_concept.png

Wymierzona w szereg firm, głównie z sektora energetycznego, trwająca kampania szpiegostwa komputerowego umożliwiła atakującym zorganizowanie działań sabotażowych skierowanych przeciwko ich ofiarom. Agresorom, znanym firmie Symantec jako Dragonfly, udało się złamać zabezpieczenia wielu organizacji istotnych pod względem strategicznym w celu wykorzystania ich do szpiegowania. Gdyby zastosowali techniki sabotażowe, którymi dysponują, mogliby spowodować awarie lub przerwy w dostawie energii w zaatakowanych krajach.

Wśród celów Dragonfly znaleźli się operatorzy sieci energetycznych, duże elektrownie, operatorzy rurociągów naftowych oraz dostawcy sprzętu przemysłowego dla firm z branży energetycznej. Większość ofiar ma swoje siedziby w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce.

Grupa Dragonfly jest bardzo dobrze wyposażona — dysponuje szeregiem złośliwych narzędzi i może przypuszczać ataki wieloma różnymi kanałami. Najbardziej zaawansowany atak grupy doprowadził do złamania zabezpieczeń wielu dostawców sprzętu do przemysłowych systemów sterowania (industrial control system, ICS), co spowodowało zainfekowanie udostępnianego przez nich oprogramowania koniem trojańskim o dostępie zdalnym. W wyniku tego ataku firmy instalowały złośliwe oprogramowanie wraz z aktualizacjami pobieranymi na komputery obsługujące taki sprzęt. Zainfekowane komputery nie tylko zapewniły włamywaczom przyczółek w sieciach atakowanych organizacji, lecz także dostarczyły im środków umożliwiających zorganizowanie akcji sabotażowych przeciwko zainfekowanym komputerom ICS.

Ta kampania stanowi powtórzenie działań Stuxnet, pierwszej znanej dużej kampanii przeciwko systemom ICS, która korzystała ze złośliwego oprogramowania. Jednakże, podczas gdy głównym celem akcji Stuxnet było sabotowanie irańskiego programu nuklearnego, zakres działań Dragonfly jest dużo szerszy i obejmuje przede wszystkim szpiegowanie oraz możliwość stałego dostępu, a sabotaż jest jedynie możliwością opcjonalną do wykorzystania w razie potrzeby.

Poza łamaniem zabezpieczeń oprogramowania ICS do infekowania atakowanych organizacji członkowie grupy Dragonfly używają spamu rozsyłanego pocztą elektroniczną oraz ataków typu „watering hole”. Grupa korzysta z dwóch głównych złośliwych narzędzi: Backdoor.Oldrea i Trojan.Karagany. Pierwsze z nich jest najprawdopodobniej niestandardowym programem destrukcyjnym napisanym przez samych agresorów lub specjalnie dla nich.

Przed opublikowaniem informacji firma Symantec poinformowała ofiary ataków i odpowiednie władze krajowe, takie jak centra Computer Emergency Response Center (CERT), które zajmują się incydentami związanymi z bezpieczeństwem w Internecie i reagowaniem na nie.

Informacje podstawowe

Grupa Dragonfly, która przez innych dostawców jest także nazywana Energetic Bear, działa prawdopodobnie od roku 2011, a możliwe, że dużo dłużej. Na początku atakowała firmy z sektora obronnego i lotniczego w Stanach Zjednoczonych i Kanadzie, po czym na początku roku 2013 skoncentrowała się głównie na amerykańskich i europejskich firmach z branży energetycznej.

Zakres kampanii skierowanych przeciwko nim szybko się poszerzał. Najpierw grupa rozsyłała do ich pracowników złośliwe oprogramowanie w wiadomościach e-mail typu „phishing”. Następnie umieściła ataki typu „watering hole” w zainfekowanych witrynach odwiedzanych przez pracowników sektora energetycznego, które miały na celu przekierowanie ich do witryn zawierających zestaw mechanizmów wykorzystywania luk. Ten z kolei instalował destrukcyjny program na komputerach ofiar. Trzeci etap kampanii polegał na zainfekowaniu końmi trojańskimi legalnych pakietów oprogramowania udostępnianych przez trzech różnych producentów sprzętu ICS.

Grupa Dragonfly ma cechy operacji sponsorowanej przez państwo — charakteryzuje się bardzo wysokimi umiejętnościami technicznymi. Jest w stanie przypuszczać ataki wieloma kanałami i łamać przy tym zabezpieczenia wielu witryn obsługiwanych przez podmioty zewnętrzne. W długim okresie zaatakowała wiele organizacji z sektora energetycznego. Wydaje się, że jej głównym motywem jest szpiegostwo komputerowe, a konkretnym celem dodatkowym — możliwość przeprowadzania akcji sabotażowych.

Analiza sygnatur czasowych użytych przez włamywaczy kompilacji złośliwych programów wykazała, że grupa działała głównie od poniedziałku do piątku, z największą intensywnością w okresie dziewięciogodzinnym odpowiadającym godzinom pracy 9:00–16:00 w strefie czasowej UTC +4. Na tej podstawie można przyjąć, że atakujący znajdują się prawdopodobnie w Europie Wschodniej.

 

figure1_9.png

Rysunek 1. 10 krajów z największą liczbą aktywnych infekcji (gdzie atakujący wykradli informacje z zainfekowanych komputerów)

Użyte narzędzia

Dragonfly stosuje w swoich atakach dwa główne złośliwe programy. Oba są narzędziami do uzyskiwania dostępu zdalnego (remote access tool, RAT), które umożliwiają atakującym przejęcie kontroli nad zainfekowanymi komputerami. Ulubionym narzędziem grupy jest Backdoor.Oldrea, znany też jako Havex lub Energetic Bear RAT. Działa ono jako tylne wejście wpuszczające włamywaczy do komputera ofiary i umożliwiające im pobranie danych oraz zainstalowanie kolejnych destrukcyjnych programów.

Najprawdopodobniej jest to program niestandardowy, napisany przez samą grupę lub utworzony przez kogoś innego specjalnie dla niej. Stanowi to pewną wskazówkę świadczącą o możliwościach i zasobach, jakimi dysponuje Dragonfly.

Po zainstalowaniu na komputerze ofiary Oldrea zbiera informacje o systemie obejmujące listę plików, zainstalowane programy oraz katalog główny dostępnych napędów. Pobiera również dane z książki adresowej programu Outlook i pliki konfiguracyjne sieci VPN. Zebrane dane są zapisywane w pliku tymczasowym w formacie szyfrowanym, a następnie wysyłane do kontrolowanego przez atakujących zdalnego serwera dowodzenia i sterowania.

Większość takich serwerów jest najprawdopodobniej hostowana na zainfekowanych serwerach obsługujących systemy zarządzania treścią, co świadczy o tym, że agresorzy zapewne przejęli nad nimi kontrolę przy użyciu tych samych mechanizmów wykorzystywania luk. Oldrea ma podstawowy panel sterowania pozwalający uwierzytelnionemu użytkownikowi na pobranie skompresowanych wersji wykradzionych danych poszczególnych ofiar.

Drugim głównym narzędziem stosowanym przez Dragonfly jest Trojan.Karagany. W odróżnieniu od programu Oldrea, Karagany był już dostępny na czarnym rynku. Kod źródłowy pierwszej wersji tego programu wyciekł w 2010 roku. Według firmy Symantec grupa Dragonfly przejęła go i zmodyfikowała pod kątem swoich potrzeb. Ta wersja została wykryta przez firmę Symantec jako Trojan.Karagany!gen1.

Karagany może przesyłać wykradzione dane, pobierać nowe pliki i uruchamiać pliki wykonywalne na zainfekowanym komputerze.  Potrafi również uruchamiać dodatkowe wtyczki, służące na przykład do przechwytywania haseł, robienia zrzutów ekranu czy katalogowania dokumentów.

Firma Symantec wykryła, że większość komputerów, które padły ofiarą atakujących, została zainfekowana programem Oldrea. Program Karagany został użyty w przypadku zaledwie 5 procent infekcji. Oba programy działają podobnie i nie wiadomo, dlaczego atakujący wyraźnie chętniej korzystają z jednego z nich.

Wiele kanałów ataków

W swoich atakach na cele z branży energetycznej grupa Dragonfly stosowała co najmniej trzy taktyki infekowania. Pierwszą z nich była kampania rozsyłania spamu pocztą e-mail, w ramach której wybrani kierownicy i starsi pracownicy atakowanych firm otrzymali wiadomości zawierające zainfekowany załącznik PDF. Miały one tematy „The account” (Konto) lub „Settlement of delivery problem” (Rozwiązanie problemu z dostarczeniem) i wszystkie zostały wysłane z jednego adresu Gmail.

Kampania rozsyłania spamu zaczęła się w lutym 2013 roku i trwała do czerwca 2013 r. Firma Symantec zidentyfikowała siedem organizacji, które zostały wówczas zaatakowane. Liczba wiadomości wysyłanych do poszczególnych organizacji wahała się od jednej do 84.

Następnie atakujący skoncentrowali się na atakach typu „watering hole”. Doprowadziło to do złamania zabezpieczeń wielu witryn związanych z tematyką energetyczną i wprowadzenia w nie elementu iframe, który z kolei miał przekierowywać użytkowników do innej prawdziwej witryny o złamanych zabezpieczeniach, gdzie został umieszczony zestaw mechanizmów wykorzystywania luk Lightsout. Wykorzystuje on luki w zabezpieczeniach programów Java lub Internet Explorer w celu wprowadzenia programu Oldrea lub Karagany do komputera ofiary. Fakt, że na każdym etapie operacji atakującym udało się przejąć kontrolę nad wieloma legalnymi witrynami, jest kolejnym dowodem na ich duże możliwości techniczne.

We wrześniu 2013 r. grupa Dragonfly zaczęła korzystać z nowej wersji zestawu mechanizmów wykorzystywania luk znanej jako Hello. Jego strona docelowa zawiera kod JavaScript, który określa cechy charakterystyczne systemu przez zidentyfikowanie zainstalowanych wtyczek przeglądarki. Ofiara jest następnie przekierowywana pod adres URL, który z kolei na podstawie zebranych informacji ustala, jakiego zestawu mechanizmów wykorzystywania luk należy użyć w danym przypadku.

Oprogramowanie zainfekowane koniem trojańskim

Najbardziej zaawansowany sposób ataku stosowany przez grupę Dragonfly polegał na przejęciu kontroli nad wieloma prawidłowymi pakietami oprogramowania. Zostali zaatakowani trzej różni dostawcy sprzętu ICS — w pakiety oprogramowania udostępniane przez nich do pobrania w witrynie internetowej został wprowadzony destrukcyjny kod. Wszystkie trzy firmy produkują sprzęt stosowany w wielu sektorach przemysłu, w tym w branży energetycznej.

Pierwszym zidentyfikowanym programem zainfekowanym koniem trojańskim był produkt służący do konfigurowania dostępu przez sieć VPN do programowalnych sterowników logicznych (Programmable Logic Controller, PLC). Jego dostawca wykrył atak wkrótce po jego wystąpieniu, ale do tego czasu już 250 osób zdążyło pobrać oprogramowanie.

Drugą zaatakowaną firmą był europejski producent specjalistycznych sterowników PLC. W tym przypadku został zainfekowany pakiet oprogramowania zawierający sterownik do jednego ze sprzedawanych urządzeń. Według szacunków firmy Symantec oprogramowanie z koniem trojańskim było dostępne do pobrania co najmniej przez sześć tygodni w czerwcu i lipcu 2013 r.

Trzecią ofiarą była europejska firma produkująca systemy do zarządzania turbinami wiatrowymi, wytwórniami biogazu i inną infrastrukturą energetyczną. Według firmy Symantec zainfekowane oprogramowanie mogło być dostępne do pobrania przez około dziesięć dni w kwietniu 2014 r. 

Członkowie grupy Dragonfly mają duże umiejętności techniczne i potrafią myśleć strategicznie. Biorąc pod uwagę rozmiar niektórych atakowanych organizacji, można uznać, że grupa znalazła ich słaby punkt — złamała zabezpieczenia ich dostawców, czyli firm znacznie mniejszych i dużo słabiej chronionych.

Ochrona

Firma Symantec dysponuje następującymi metodami wykrywania, które mogą ochronić jej klientów przed złośliwym oprogramowaniem stosowanym w tych atakach:

Wykrywanie wirusów

Sygnatury systemu zapobiegania włamaniom

Więcej informacji technicznych o atakach grupy Dragonfly zawiera nasze opracowanie techniczne.

Dragonfly : les entreprises occidentales du secteur de l’énergie face à un risque de cyber-sabotage

Cyberespionage campaign stole information from targets and had the capability to launch sabotage operations.
Read more…