Пресс-релизы

23 сентября 2011 г

Trend Micro разоблачает LURID

Компании Trend Micro удалось обнаружить серию направленных атак (известных как LURID), которые были успешно проведены на 1465 компьютерах в 61 стране. Наши специалисты отследили 47 пострадавших, среди которых оказались дипломатические миссии, государственные министерства, федеральные космические агентства, и другие компании и исследовательские институты.

Среди стран, наиболее пострадавших от данных атак, оказались Россия, Казахстан и Вьетнам, а также несколько других стран, в основном членов СНГ.

Кампания состояла из более чем 300 злонамеренных, целенаправленных атак (APT — Advanced Persistent Threat), которые контролировались взломщиками посредством уникального идентификатора, встроенного во вредоносное ПО. Исследование Trend Micro показало, что целью злоумышленников были сообщества, расположенные в конкретных географических регионах, а также определенные организации. В общей сложности, сеть оперативного управления, используемая злоумышленниками, включала 15 доменных имен, а также 10 активных IP-адресов для постоянного контроля над 1465 жертвами.

Программа Lurid Downloader, известная также как Enfal, относится к широко распространенному типу вредоносного ПО, однако не является общедоступным средством, которое могут приобрести новоявленные киберпреступники. Данный тип вредоносного ПО применялся во время атак на правительственные и неправительственные организации США. Однако прямой связи между данной сетью и прошлыми атаками обнаружено не было.

Все чаще атаки посредством целенаправленного вредоносного ПО попадают под описание «Advanced Persistent Threat». Потенциальная жертва получает сообщение по электронной почте, содержание которого побуждает получателя открыть приложенный к письму файл. Данные файлы отправляются злоумышленниками и содержат вредоносный код, который использует уязвимые места широко распространенного программного обеспечения, например такого, как Adobe Reader (расширение PDF) и Microsoft Office (например, расширение DOC). Однако внутри этих файлов спрятан код, представляющий собой вредоносное ПО, которое незаметно для пользователя запускается на компьютере. Это позволяет злоумышленникам получить контроль над компьютером и доступ к хранимым данным. Впоследствии злоумышленники имеют возможность углубляться в сеть жертвы и зачастую получать контроль над всеми компьютерами на достаточно продолжительное время. В конечном счете, программа обнаруживает и извлекает конфиденциальную информацию из сети жертвы.

Анализ атаки

Современность: Это серия целевых атак, в которых вредоносное ПО содержится в файлах Adobe Reader, включая CVE-2009-4324, CVE-2010-2883, а также RAR-архивах в виде файлов с экранными заставками.

В соответствии с направлением атаки, вредоносный код LURID выполняется в системе жертвы и устанавливает подключение к сети, в которой расположены управляющие сервера. Зачастую, злоумышленники не полагаются на эксплойт «0-day», они чаще используют более старый и надежный вредоносный код, оставляя при этом новые разработки для самых важных целей. И хотя мы до сих пор ищем любые признаки эксплойтов «0-day», примененных в данной кампании, идентификаторы атаки, использованные злоумышленниками, указывают на то, что применение подобных эксплойтов имело место.

Постоянное присутствие: Во время нашего исследования мы обнаружили два различных механизма постоянного присутствия, задействованных в данном вредоносном ПО. Первый заключается в установке программы в качестве службы Windows для обеспечения своего постоянного присутствия в системе, а другой — в самокопировании в системные папки для обеспечения автозагрузки с помощью изменения основной папки автозагрузки Windows на другую, которую сам же и создает. После этого программа копирует в эту же папку стандартные программы автозагрузки. Также нам удалось структурировать вредоносное ПО и жертв (вредоносное ПО возвращает определенный «маркер», который указывает на его участие в определенной кампании), что позволяет определять, какая жертва и каким вредоносным ПО была заражена.

Угроза: Вредоносное ПО собирает информацию на зараженных компьютерах и отправляет ее на сервера управляющей сети посредством протокола HTTP POST. За счет постоянной связи с управляющими серверами злоумышленники получают возможность отправлять различные команды на зараженные компьютеры. Эти команды позволяют им отправлять и получать файлы, а также активировать на зараженных системах интерактивную оболочку для удаленного управления. Злоумышленники обычно получают структуру папок зараженных компьютеров, а затем воруют данные (например, файлы с расширением .XLS). Исследователи компании Trend Micro смогли обнаружить наличие некоторых подобных команд, но не конкретные файлы.

Полагаясь на информацию, восстановленную на управляющих серверах, мы можем представить следующую цифровую картину:

1465 уникальных хостов (имя хоста и MAC-адрес, как это хранилось на управляющем сервере)

2272 уникальных внешних IP-адресов

Топ-10 стран с наибольшим количеством жертв (на основании 2272 IP-адресов):

РОССИЯ 1063

КАЗАХСТАН 325

УКРАИНА 102

ВЬЕТНАМ 93

УЗБЕКИСТАН 88

БЕЛАРУСЬ 67

ИНДИЯ 66

КЫРГЫЗСТАН 49

МОНГОЛИЯ 42

КИТАЙ 39

Как это часто бывает, трудно определить, кто стоит за этой серией атак, потому что искусственными объектами, например, IP-адресами и регистрацией доменных имен, легко управлять, что позволяет вводить исследователей в заблуждение и заставляет поверить, что виновником является некий подставной субъект.

Несмотря на то, что в результате исследования не удалось определить, на какие данные были направлены атаки, мы можем сказать, что в некоторых случаях злоумышленниками были украдены определенные документы и таблицы.

Благодаря разоблачению сети Lurid, мы получили возможность лучше понять направленность и частоту подобных атак, а также трудности, которые представляет целевое вредоносное ПО для традиционных средств защиты. Поняв принцип работы APT, а также используемый инструментарий, тактики и процедуры угроз, применяемые при таких атаках, можно значительно усовершенствовать стратегию защиты. Эффективно используя новые способы обнаружения угроз от внешних и внутренних источников, в сочетании со средствами обеспечения безопасности, которые дают дополнительные возможности аналитикам, организации смогут лучше подготовиться к обнаружению и сдерживанию подобных целевых атак.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

17 октября 2013 г

 • В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
 • Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays

16 октября 2013 г

 • Украинские предприниматели выходят на международный рынок с помощью Windows Azure
 • Бионические разработки Festo – инвестиции в будущее

15 октября 2013 г

 • Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры

11 октября 2013 г

 • Відбувся 4-й Український форум з управління Інтернетом IGF-UA
 • В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
 • Графические процессоры ускоряют пошив плаща-невидимки
 • Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
 • Количество Android-смартфонов в сети «Киевстар» превысило 2 млн