Шифровальщики продолжают наступать: уязвимость в VPN Fortigate привела к остановке двух фабрик из-за ransomware


    Постапокалиптические сценарии, главными героями которых являются киберпреступники, становятся все более реальными. То они атакуют (причем успешно) электростанции, то насосные станции, управляющие поставками воды для крупных городов. Теперь и за фабрики принялись (точнее, об этом стало известно именно сейчас — скорее всего, атаки, как успешные, так и не очень, реализовывались в течение многих лет).

    В сообщении Swisscom CSIRT указывалось, что в этом году киберпреступники организовали успешную атаку на ряд промышленных объектов Европы с использованием шифровальщика Cring. В нескольких случаях атака привела к временной остановке производственных процессов, в результате чего производство потерпело крупные убытки. Сейчас стали известны подробности атаки.

    Так что это за атака такая?


    О подробностях рассказали журналисты ArsTechnica, получив информацию из первых рук от Kaspersky ICS CERT (кстати, вот ссылка на оригинал). Для того, чтобы проникнуть в сеть предприятия киберпреступники воспользовались уязвимостью CVE-2018-13379. Она дает возможность извлечь файл сеанса VPN-шлюза. Этот файл включает такие данные, как имя пользователя и пароль в открытом виде.

    Речь идет об уязвимости сервера Fortigate, что дает возможность злоумышленнику получить доступ к системным файлам устройства Fortigate SSL-VPN. В текущей ситуации киберпреступники могут получить доступ к файлу «sslvpn_websession» напрямую из интернета без необходимости аутентифицироваться.

    Так вот, за несколько дней до начала атаки киберпреступники выполняют тестовые подключения к VPN-шлюзу. Благодаря этому они убеждаются, что на устройстве используется версия ПО, которую можно взломать. Возможно, команда злоумышленников и не выполняла эту работу самостоятельно, а просто приобрела список IP систем, которые поддаются взлому. Стоит напомнить, что речь идет именно о Fortigate.

    В пользу последней версии говорит то, что предложение о покупке базы устройств публиковалось на одном из закрытых форумов.


    Компания Fortigate была в курсе этой проблемы, поэтому старалась предупреждать пользователей.

    Ок, атака удалась, а что потом?


    После успешного проникновения в сеть операторы вируса воспользовались утилитой Mimikatz. Она применяется для кражи аутентификационных данных учетных записей пользователей Windows, которые ранее выполнили вход на уже взломанной системе.

    В одном случае киберпреступникам удалось скомпрометировать учетку доменного администратора организации, которая была атакована. Ну а с этими данными все было уже просто — команда взломщиков воспользовалась фреймворком Cobalt Strike и инструментарием PowerShell для распространения вредоносного ПО внутри сети предприятия.


    После загрузки скрипт расшифровывает нагрузку от Cobalt Strike Beacon — это бэкдор, который дает возможность взломщику удаленно контролировать зараженную систему. Удалось узнать и IP сервера — это 198.12.112[.]204.


    Система на крючке


    Ну и после этого остается уже минимум телодвижений — загружается cmd-скрипт, который загружает и запускает криптовымогатель Cring. Он сохраняется в %TEMP%\execute.bat (например, C:\Windows\Temp\execute.bat) и запускает PowerShell с именем «kaspersky», для маскировки работы вымогателя.


    Кстати, Cring запускается вручную операторами вредоноса. Здесь есть интересный нюанс — у файла в URL расширение .txt, но на самом деле это исполняемый файл.



    После запуска программа останавливает работу служб:

    • Veritas NetBackup: BMR Boot Service, NetBackup BMR MTFTP Service
    • Microsoft SQL server: SQLTELEMETRY, SQLTELEMETRY$ECWDB2, SQLWriter

    Плюс останавливается служба, которая используется для создания VPN-подключений. Вероятно, это делается для того, чтобы исключить возможность отреагировать со стороны системных администраторов скомпрометированной сети.

    Еще завершаются процессы:

    • Microsoft Office: mspub.exe
    • Oracle Database software: mydesktopqos.exe, mydesktopservice.exe

    Удаляются файлы и папки в корне диска с названиями, включающими «Backup» или «backup». Вредоносная программа создает специализированный скрипт kill.bat, который выполняется один раз, после чего удаляет сам себя.


    Ну и наступает финальный этап — шифрование всех важных файлов, с использованием криптостойких алгоритмов, которые невозможно расшифровать самостоятельно. Файлы шифруются алгоритмом AES, затем ключ шифрования шифруется при помощи открытого ключа RSA, который встроен в исполняемый файл вредоносной программы. Длина ключа — 8192 бита.

    Шифруются все файлы с расширениями:

    • .vhdx (виртуальные диски)
    • .ndf (базы данных Microsoft SQL Server)
    • .wk (таблицы Lotus 1-2-3)
    • .xlsx (таблицы Microsoft Excel)
    • .txt (текстовые документы)
    • .doc (документы Microsoft Word)
    • .docx (документы Microsoft Word)
    • .xls (таблицы Microsoft Excel)
    • .mdb (базы данных Microsoft Access)
    • .mdf (образы дисков)
    • .sql (сохраненные запросы SQL)
    • .bak (файлы резервных копий)
    • .ora (базы данных Oracle)
    • .pdf (PDF документы)
    • .ppt (презентации Microsoft PowerPoint)
    • .pptx (презентации Microsoft PowerPoint)
    • .dbf (файлы баз данных dBASE)
    • .zip (архивы)
    • .rar (архивы)
    • .aspx (веб-страницы ASP.NET)
    • .php (веб-страницы PHP)
    • .jsp (веб-страницы Java)
    • .bkf (резервные копии, созданные утилитой Microsoft Windows Backup Utility)
    • .csv (таблицы Microsoft Excel)

    После завершения процесса показывается сообщение с требованием денег.


    Сейчас известно о случаях остановки производственных процессов на двух крупных фабриках европейской компании (ее название по понятным причинам не афишируется экспертами по информационной безопасности, которые вскрыли проблему). Скорее всего, это далеко не все, а лишь вершина айсберга.

    Можно ли обнаружить признаки заражения?


    Да, специалисты Kaspersky Lab опубликовали их, так что можно свериться с этим списком:

    Пути к файлам

    %temp%\execute.bat (скрипт-загрузчик вредоносного ПО)
    C:\__output (исполняемый файл Cring)

    Контрольные суммы (MD5)

    c5d712f82d5d37bb284acd4468ab3533 (исполняемый файл Cring)
    317098d8e21fa4e52c1162fb24ba10ae (исполняемый файл Cring)
    44d5c28b36807c69104969f5fed6f63f (скрипт-загрузчик вредоносного ПО)

    IP-адреса

    129.227.156[.]216 (использовался злоумышленниками в ходе атаки)
    129.227.156[.]214 (использовался злоумышленниками в ходе атаки)
    198.12.112[.]204 (сервер управления Cobalt Strike)
    45.67.231[.]128 (хостинг вредоносного ПО)

    Selectel
    IT-инфраструктура для бизнеса

    Комментарии 28

      +5
      Вывод. Видите в процессах касперского — бейте тревогу )))
        0
        Особенно, если каспера у вас до этого не было=)
        0
        Какая есть реальная необходимость подобным объектам иметь доступ в инет или подключать к ним левые носители данных?
          0
          Необходимость в удобствах и скорости. Из личного опыта, работал на мебельной фабрике с двумя станками с ЧПУ. До момента пока у меня дошли руки, сотрудник носил программы на дискетке (начало 2000х) в цех (в одну сторону 50-100м). Причём работал так не один год и считал, что так всё и должно быть. Потом, примерно после года работы, во время ремонта сварщики обрезали витую пару… на всё предприятие стоял вой «я не могу работать».
          С другой стороны не все предприятия имеют отдел информационной безопасности, который бы боролся с угрозами.
          С третьей стороны, даже там, где такой отдел есть, зачастую на требования этого отдела забивают болт. Типа «а чё такого если пол предприятия знает учётки и пароли друг друга».
          И самое главное — каждый считает, что его пронесёт…
            0
            интернет для этого не нужен же
            –1
            А там же стоял VPN, значит была какая-то необходимость удалённого подключения.
            Подумалось: раньше удалённые подключения шли по номеру телефона, через модем, и было гораздо безопаснее. Это достигалось за счёт того, что канал передачи отделялся от передаваемой информации. А сейчас и канал VPN организуется по IP, и внутренние данные тоже по IP.
            А сейчас что простыми средствами позволит увеличить безопасность удалённого подключения, даже если средства удалённого доступа содержат уязвимости? Разве только длинный псевдослучайный IPv6 адрес, который не отвечает на traceroute/ping, и не подбирается перебором, и с которого нет исходящих подключений, чтобы он нигде в инете не засветился.
            Или port knocking какой-нибудь, но это уже дополнительные какие-то приложения нужны. IPv6 адрес раз выдал, вбил, и пользуйся.
            Либо специфические средства вроде VPN на уровне провайдера (а не через интернет), или выделенного APN у мобильного оператора.
            –1
            Заголовок конечно радует… шифровальщики наступают… А по факту ломанули систему где минимум два года не платили за обновления. Надо купить касперсокго, не обновлять его два года, а потом можно уже и статью написать о то как из-за него проблемы возникли.
            Т.е. по сути весь посыл статьи в жлобстве выделения денег на безопасность, но никак не в шифровальщиках.
              0
              Ми скууузи, а зачем ставить [.] в IP адреса?
                0
                [.] в IP адреса

                Чтобы антивирусы и прочие программы безопасности не ругались на то, что якобы нашли в тексте статьи этого зловреда.
                0
                Очень был рад когда шифровальщик пошифровал файлы на одном из серверов но не тронул единственное что было самое важное там — базу данных, потому что расширение файла выбрал для нее нестандартное.
                  0
                  Мы так бэкапы оберегали путем архивирования с каким-нибудь расширением типа *.xyz1
                    0

                    А кто мешает вирусописателю проверить не расширение, а заголовок файла. Вот если бы после сжатия еще и рандомизировать файл — уже меньше вероятности попасть в выборку для шифрования вируса

                      +1
                      Никто не мешает, только надо времени побольше — рандомно скакать по всему диску, а надо же максимально быстро, чтобы никто не понял что случилось.
                      Полагаю свою долю попавших шифровальщик и так возьмет, незачем заморачиваться и пытаться найти все по содержимому
                        0
                        Ну так это у них надо спросить что им мешает. Они этого не делают и ищут конкретные расширения — это факт
                    0
                    Разрешен запуск исполняемого кода из темповых каталогов — это пять.
                    Хранение бэкапов на источнике бэкапа — суперпять.
                      0

                      Многие программы при установке распаковываются в темп, потом запускаются. Ну а здесь — была команда от администратора домена, поэтому вполне себе легальная операция.

                        +1
                        Основная проблема, что до сих пор, епрст, есть проги, которые, сволочи, требуют права админа. Новые! Которые идут с приборами! Которым сеть нужна, чтоб результаты передавать в ИС.
                        Вот хочется взять некоторых программистов и… ну вы поняли…
                        (Хотя самый здец был, когда программа работала только от доменного админа, от локального — фиг. Вот что такого там навернули программисты?
                          0
                          Основная проблема, что, есть проги которые требуют права админа

                          В чем именно проблема, и как она решила бы данный кейс? Здесь идёт команда от администратора домена, на установку софта (будь то корпоративное обновление софта, или групповых/локальных политик итд). Ответственность полностью на админе, в надежде, что админ знает, что делает.
                          vviz Если бы запуск скриптов из темпа был запрещен, то хакеры запускали бы скрипты из другой директории, в чем проблема? Они и так получили контролера домена, они могут творить что угодно. Даже системно обратно разрешить запуск скриптов из темп директории, если они были бы запрещены.


                          Проблема здесь не в бэкапах, или настройках компа, а в том, что они ломанули учётку админа.

                            0
                            В том месте, что Mimikatz работает в том числе путём поиска хранящихся в винде данных аутентификации. То есть чем больше важного софта до сих пор не умеет работать от пользовательской учётки, тем проблемнее построить защищённую систему и не продолбать угрозу…
                          –1
                          Точно, cmd-скрипт запустился… А если бы запуск из темпового каталога был запрещен — он бы не запустился… Разве не должно делать так, что бы он не запустился? Или Ваш комент ради комента?
                            0

                            Если запретить все такие скрипты из темпа, то половина прог перестала бы нормально устанавливаться.


                            Ваш комент ради комента?

                            Нет

                              0
                              Ваш коментарий как бальзам на рану. Пока есть люди, придерживающиеся такого мнения, я без работы не останусь.
                                0
                                Рад за вас. Но может вы перестанете вести себя как тролль, а предложите решение, которое будет всех устраивать? Ваши оба комментария в стиле «ну даа, вот дураки» не несут конструктива. А вариант «запретить запускать любые проги, даже админам» не устроит всех, очевидно.
                                  0

                                  Запретить админам логиниться под админской учёткой — как угодно: интерактивно, через VPN? Использовать админскую учётку только для запуска конкретных приложений через runas? (Если что, в университете про такое рассказывают и показывают.)

                                    0
                                    Ну вот есть у взломщиков доступ к учетке доменного админа или эскалация привилегий до него происходит, как в этом плане какие-то ограничения кому-то помешают?
                                    Да, советы по поводу того, чтоб труднее было утечь учетке доменного админа — хорошие, пока у вас не должно крутится ПО, которое через подобное работает (и не то, которое глючит избирательно — под локальным админом не работает, а под доменным — да).
                                    Но в каком месте это спасёт от случая, когда у злоумышленников есть доступ к доменному админу и из под него происходит установка всего прочего? Запуск из темпа ему запретите? И что?
                                    В одном случае киберпреступникам удалось скомпрометировать учетку доменного администратора организации, которая была атакована. Ну а с этими данными все было уже просто — команда взломщиков воспользовалась фреймворком Cobalt Strike и инструментарием PowerShell для распространения вредоносного ПО внутри сети предприятия.
                                      0
                                      Запретить логиниться под админской учёткой

                                      Обычно это везде так и есть. Сделано в том числе для того, чтобы случайно слив свой обычный пароль, не занести какую нибудь грязь, тк пароль от админской учётки другой.


                                      Использовать админскую учётку только для запуска конкретных приложений через runas?

                                      По сути, здесь все так и произошло. Был вызов runas, подставилась учетка админа, его пароль и произведен запуск вируса. Только это делалось через powershell, аналог ssh для windows.
                                      Даже если такое можно было бы делать отдельной группе админов, то ничего не мешало злоумышленникам создать новую учётку и выдать ей любого админа, потому что у них суперправа контроллера домена — контроль любой учётки, любого компьютера и любой групповой политики (в ТЧ запрет на запуск чего либо откуда либо).

                            0
                            Ну зато теперь фирма получила урок, что бэкапы на оффлайн хранилке — это хорошо, может до того, что географически разнесённые бэкапы это ещё лучше, сами дойдут без сгорания серверной.
                              0
                              Конечно, когда почки отвалились можно начинать пить боржоми. Все уроки давно расписаны вдоль и поперек — если знания не привлекаются, то значит у руля аникейщик, и произошедшее проникновение предсказуемо.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое