??? ????, 2012??? ???? ???? ???? ???? ??
스캐럽 공격 집단은 러시아 국내외의 러시아어 사용자를 대상으로 백도어 보안 위협인 Trojan.Scieron과 Trojan.Scieron.B를 유포해 왔습니다.
Read More
스캐럽 공격 집단은 러시아 국내외의 러시아어 사용자를 대상으로 백도어 보안 위협인 Trojan.Scieron과 Trojan.Scieron.B를 유포해 왔습니다.
Read More
The Scarab attack group has been distributing back door threats, Trojan.Scieron and Trojan.Scieron.B, to Russian-speaking individuals both inside and outside of Russia.Read More
Block targeted attacks via email attachments with Disarm technology through Symantec Messaging Gateway.
Read more…
La energía es crucial para mantener nuestro estilo de vida moderno, por ello resulta inquietante el incremento anual de intentos de ataques reportados contra las compañías e industrias que la proveen. En la primera mitad de 2013, el sector energético fue el quinto más atacado a nivel mundial, recibiendo el 7.6 por ciento de todos los intentos de ciberataquesen el mundo, lo que se traduce en siete ataques dirigidos por día. Por ello no es de sorprender que en mayo de 2013 el Departamento de Seguridad Nacional de Estados Unidos de América advirtió sobre un incremento en la ola de ataques orientados a sabotear los procesos en las compañías energéticas. En Symantec, nuestros investigadores descubrieron que las empresas tradicionales de servicios públicos de energía están particularmente preocupadas por los escenarios creados por amenazas como Stuxnet o Disttrack / Shamoon, los cuales pueden sabotear instalaciones industriales.
En este escenario estamos aprendiendo que los agresores que tienen como blanco al sector energético también intentan robar propiedad intelectual sobre nuevas tecnologías, como generadores de energía eólica y solar, o diagramas de exploración de campos de gas. Si bien los incidentes de robo de datos pueden no representar una amenaza inmediata y catastrófica para una organización, pudieran ser aprovechados para crear una amenaza estratégica a largo plazo y la información robada podría ser utilizada en el futuro para realizar acciones más dañinas.
La motivación y origen de los ataques dirigidos a este sector pueden ser variable; desde la solicitud de un competidor para tomar acciones contra compañías de energía con el fin de ganar una ventaja de forma sucia, hasta grupos de “hackers a sueldo” como la agrupación Hidden Lynx que están más que dispuestos a realizar este tipo de acciones. También se pueden encontrar hackers patrocinados por naciones para atacar empresas de energía, en un intento por desactivar infraestructura crítica; los grupos de “hacktivistas” también pueden atacar a las empresas para promover sus propios objetivos políticos. En este sentido los investigadores de Symantec saben que las amenazas pueden provenir de cualquier parte del mundo, y algunas veces, los responsables pueden estar familiarizados con los sistemas de la empresa e incluso dentro de la misma compañía, con la intención de llevar a cabo ataques para extorsionar, sobornar o como venganza. Las interrupciones en la operación también pueden simplemente ocurrir por accidente, como una mala configuración o un problema del sistema, por ejemplo en mayo de 2013, la red eléctrica en Austria estuvo cerca de sufrir un apagón debido a un problema de configuración.
Nuestras investigaciones han encontrado que los sistemas de energía modernos se están volviendo más complejos. Existen controles de supervisión y de adquisición de datos (SCADA, por sus siglas en inglés) o sistemas de control industrial (ICS, por sus siglas en inglés) que se sitúan fuera de los muros de protección tradicional. Conforme la tecnología de redes inteligentes siga ganando impulso y más sistemas nuevos de energía estén conectados al Internet de las cosas, se podrían abrir nuevas vulnerabilidades de seguridad relacionadas con tener un sinnúmero de dispositivos conectados a Internet. Adicionalmente, muchos países han comenzado a abrir su mercado energético y han añadido pequeños contribuyentes a la red de energía eléctrica, como plantas hidroeléctricas privadas, turbinas eólicas o colectores solares. Si bien, estos sitios más pequeños representan sólo una pequeña parte de la red, las entradas de alimentación de energía descentralizada pueden ser un desafío para la gestión, y más si los recursos de TI son limitados, por lo cual se deben monitorear cuidadosamente con el fin de evitar pequeños cortes o interrupciones, que podrían ocasionar un efecto dominó en las redes más grandes.
En este sentido vemos la necesidad de una estrategia colaborativa que combine la tecnología con componentes de seguridad industrial para proteger la información de la industria energética. Para contribuir con este esfuerzo, Symantec realizó un estudio amplio sobre los ataques que se llevaron a cabo en el sector energético durante los últimos 12 meses. La investigación presenta los hechos y las datos sobre impactos, además de incluir información sobre los métodos, motivaciones, y la historia de estos ataques.
Para descargar una copia del informe de clic aquí.
También preparamos la siguiente infografía con el fin de ilustrar algunos de los hechos clave alrededor de los ataques dirigidos al sector energético.
A energia é crucial para o nosso estilo de vida moderno. Entretanto, relatos de tentativas de ataques virtuais contra as empresas fornecedoras estão aumentando a cada ano. No primeiro semestre de 2013, o setor de energia foi o quinto mais visado em todo o mundo, sendo alvo de 7,6 % de todos os ataques cibernéticos. Assim, não é surpreendente que, em maio de 2013, o Departamento de Segurança Interna dos EUA alertou para uma crescente onda de ataques que visavam sabotar processos em empresas de energia. Na Symantec, nossos pesquisadores descobriram que as concessionárias de energia tradicionais estão particularmente preocupadas com os cenários criados por ameaças como Stuxnet ou Disttrack / Shamoon, que podem danificar instalações industriais.
Nós também descobrimos que os agressores que têm como alvo o setor de energia ainda tentam roubar a propriedade intelectual sobre novas tecnologias, como geradores de energia solar ou eólica, ou ainda gráficos de exploração de campos de gás. Enquanto incidentes de roubo de dados podem não representar uma ameaça imediata e catastrófica para uma empresa, eles podem criar uma ameaça estratégica de longo prazo. Informações roubadas poderão ser usadas no futuro para realizar ações mais graves.
As motivações e origens de ataques podem variar consideravelmente. Um competidor pode “encomendar” ações danosas contra as empresas de energia para ganhar uma vantagem injusta. Há grupos de “hackers para contratar”, como o grupo Hidden Lynx, que estão mais do que dispostos a se engajar nesse tipo de atividade. Hackers patrocinados pelo Estado podem ter como alvo as empresas de energia em uma tentativa de desativar sua infraestrutura crítica. Grupos “hacktivistas” também podem vitimar empresas para promover seus próprios objetivos políticos. Pesquisadores da Symantec sabem que estas ameaças podem ser provenientes de todo o mundo e, por vezes, de dentro da própria empresa. Funcionários que estão familiarizados com os sistemas podem realizar ataques para extorsão, suborno ou vingança. Além disso, interrupções podem simplesmente acontecer por acidente, como um erro de configuração ou uma falha do sistema. Por exemplo, em maio de 2013, a rede de energia austríaca quase teve um apagão devido a um problema de configuração.
Nossa pesquisa concluiu que os sistemas de energia modernos estão se tornando mais complexos. Há controle de supervisão e aquisição de dados (SCADA), ou sistemas de controle industrial (ICS) que estão fora dos padrões de segurança tradicionais. E como a tecnologia smart grid , ou rede inteligente, continua a ganhar impulso, cada vez mais sistemas de energia serão conectados à Internet das Coisas, o que abre novas vulnerabilidades de segurança relacionadas a inúmeros dispositivos conectados. Além disso, muitos países começaram a abrir seu mercado de energia e adicionar contribuintes menores para a rede de energia elétrica, como usinas de água privada, turbinas eólicas ou painéis solares. Embora essas empresas menores representem apenas uma pequena parte da grade, a entrada de energia descentralizada pode ser um desafio para gerenciar os recursos de TI limitados e precisam ser cuidadosamente monitorados para evitar pequenas falhas que poderiam criar um efeito dominó em toda a grade maior.
Vemos a necessidade de uma abordagem colaborativa, que combine o componente industrial e a segurança para proteger as informações do setor. Para ajudar neste processo, a Symantec realizou um estudo em profundidade sobre ataques focados no setor de energia que ocorreram nos últimos 12 meses. Esta pesquisa apresenta fatos e números, e abrange os métodos, motivações e história desses ataques.
Faça o download do whitepaper.
O infográfico a seguir ilustra os principais pontos a respeito dos ataques contra as indústrias do setor de energia.
ことの始まりはたいてい、求人情報へのリンクが掲載された無害そうに見える電子メールです。もしくは、管理職クラスを名乗る相手から突然電話が掛かってきて、電子メールで送られてきた請求書を処理するように依頼される場合もあるかもしれません。さらには、仕事で頻繁にアクセスする Web サイトの背後に潜んでいる可能性もあります。
標的型攻撃は、さまざまな点で実業界を脅かす最大最悪の敵となってきました。攻撃が成功すれば大混乱が起きるという、その恐れだけでも十分な脅威です。知的財産の盗難、顧客からの信用の失墜、単なる迷惑など、どれも標的型攻撃が起こしうる結果のほんの一面にすぎません。
9 月号のシマンテックインテリジェンスレポートでは、2013 年の標的型攻撃を詳しく取り上げています。今年も、脅威を取りまく世界には新しい手口が登場していますが、既存の手法を改良したり、水飲み場型攻撃やスピア型フィッシングといった攻撃方法に新しい工夫を加えたりして、狙った標的が罠に掛かる確率を高くしようという動きも目立っています。
シマンテックは、攻撃者の活動の実態を確実に把握するために、標的型攻撃について過去 3 年間の傾向を分析しました。1 日当たりの攻撃件数は昨年に比べて減少していますが、3 年間で見ると攻撃は 13% 上昇していることがわかります。
また、攻撃の目標にも変化が見られます。2012 年には、製造業に対する攻撃が標的型攻撃全体の 4 分の 1 を占めていましたが、攻撃者はサービス業に狙いを移したようで、今年は標的の 3 分の 1 はサービス業です。
1 年を通じて標的型攻撃の活動が開始される可能性が高い時期や、使われている悪質なペイロードのタイプについても調査しました。たとえば、実行可能ファイルを添付した電子メールは、2013 年にどのくらい効果を上げているでしょうか。数字を見たらきっと驚くことでしょう。
以前、シマンテックにおける脅威研究の第一人者スティーブン・ドハーティ(Stephen Doherty)と一緒に Hidden Lynx(謎の山猫)グループに関する Q&A ディスカッションに参加しました。Hidden Lynx は、世界でも特に防護の強固な企業に対して標的型攻撃を仕掛けて侵入に成功したグループです。シマンテックセキュリティレスポンスは最近、『Hidden Lynx – Professional Hackers for Hire』と題したホワイトペーパー(英語)でこのグループの詳細を報告しています。このときのディスカッションの一部をご紹介します。
“Hidden Lynx グループの活動はまさに最先端を行っている。最新の悪用コードを手に入れ、スピア型フィッシング攻撃を行っていることが確認されているほか、VOHO は大規模な水飲み場型攻撃だ。難しい場所にまで侵入を果たすべく、サプライチェーン攻撃も行っている。”
そして、Hidden Lynx の正体、活動の方法と目的、グループが今後どうなっていくか、といったことについて説明しています。
シマンテックインテリジェンスレポートの 9 月号が皆さまのお役に立つことを期待しています。レポートはこちらからダウンロードいただけます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
It can all start with what looks like an innocuous email containing a link to a potential job opportunity. Or perhaps it’s an unexpected phone call from someone claiming to be a high-ranking employee, asking you to process an invoice sent by emai…
最近、標的型攻撃でマルウェアを企業に送りつける手段として、ショートカットファイルがよく使われるようになってきました。シマンテックは、ネットワークに侵入するためにショートカットファイルが使われるさまざまな手法を確認しており、その一例を以前のブログでもお伝えしました。最近も、セキュリティ製品による検出をすり抜け、電子メールの受信者を欺いて添付ファイルを実行させるためにショートカットファイルが使われている別の例が見つかっています。この亜種では、分割したマルウェアと、それを再結合するためのショートカットファイルを添付した電子メールが送信されます。
この攻撃に使われる電子メールには、ショートカットファイルを含むアーカイブファイルが添付されています。ショートカットにはフォルダのアイコンが使われていますが、それとは別に実際のフォルダもあり、そこに Microsoft 文書ファイルと、.dat 拡張子の付いた 2 つの隠しファイルが含まれています。
図 1. 添付されているアーカイブファイルの内容
図 2. Summit-Report1 フォルダの内容
エクスプローラをデフォルト設定で使っている一般的なユーザーであれば、アーカイブファイルには 2 つのフォルダだけが含まれているように見えるでしょう。2 つのフォルダのどちらかをクリックすると、文書ファイルを含むフォルダに移動しますが、実際にはショートカットファイルであるフォルダを開こうとすると、copy コマンドが実行され、2 つの .dat ファイルが結合されて 1 つの悪質なファイルが生成されます。こうしてコンピュータはマルウェアに感染してしまいます。添付されているアーカイブファイルの構造はさまざまですが、複数に分割されたファイルとショートカットファイルが含まれている点は変わりません。
図 3. ショートカットファイルのプロパティに、.dat ファイルの結合に使われるスクリプトの一部が表示される
図 4. ~$1.dat の中のバイナリデータ
図 5. ~$2.dat の中のバイナリデータ
図 6. 結合後の実行可能ファイルのバイナリデータ
攻撃の前にマルウェアを分割しておき、被害者のコンピュータ上で再結合するという手口が使われている理由は、いくつか考えられます。最大の理由は、悪質なファイルが検出されるのを防ぐためでしょう。ファイルがいくつかの部分に分割されていれば、セキュリティ製品が悪質なファイルと判定するのは困難だからです。さらに、ゲートウェイセキュリティ製品によって実行可能ファイルが削除されるのを防ぐという理由も考えられます。一般的なゲートウェイ製品には、ファイルタイプを基準にファイルをフィルタ処理する機能があります。電子メールに実行可能ファイルが添付されている場合にそれを削除するように設定できるので、IT 部門ではたいていそのようなフィルタ処理を実施しています。
ショートカットファイルはごく単純で、費用も掛かりません。脆弱性を利用する必要がないので、リソース負荷が高くなることもなく、被害者のコンピュータが脆弱になっている必要もありません。アイコンをフォルダや文書ファイルのように見せかけるのも簡単です。悪質なファイルを準備したら、後は 1 行スクリプトを作成するだけで攻撃態勢が整います。
このような手口の攻撃に備えるには、どうすればよいでしょうか。一般的な状況であれば、電子メールにショートカットファイルを添付する合理的な理由はありません。電子メールの添付ファイルとしてショートカットファイルは不要だと判断できれば、ネットワークのゲートウェイでフィルタ機能を使ってショートカットファイルを除外することを検討できます。
シマンテックは、このブログで説明したマルウェアを Trojan Horse として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。