Eksperci z Kaspersky Lab wykryli serię „niewidocznych” cyberataków ukierunkowanych, w których wykorzystywane jest wyłącznie legalne oprogramowanie: powszechnie dostępne narzędzia do administracji i przeprowadzania testów penetracyjnych, jak również platforma PowerShell do automatyzacji zadań w systemie Windows. Oprogramowanie nie pobiera żadnych szkodliwych plików na dysk twardy, ale ukrywa się w pamięci. To łączone podejście pomaga uniknąć wykrycia przez technologie białej listy i nie pozostawia osobom prowadzącym badania kryminalistyczne niemal żadnych śladów czy próbek szkodliwego oprogramowania, z którymi mogliby pracować. Atakujący pozostają w systemie wystarczająco długo, aby zebrać informacje, po czym ich ślady zostają wymazane wraz z pierwszym ponownym uruchomieniem maszyny.
Meterpreter i skrypty PowerShell na serwerze
Pod koniec 2016 roku z ekspertami z Kaspersky Lab skontaktowały się banki ze Wspólnoty Niepodległych Państw, które w pamięci swoich serwerów znalazły oprogramowanie do przeprowadzania testów penetracyjnych, Meterpreter (obecnie często wykorzystywane do szkodliwych celów), którego nie powinno tam być. Kaspersky Lab odkrył, że kod Meterpretera występował razem z wieloma legalnymi skryptami PowerShell oraz innymi narzędziami. Połączone narzędzia zostały zaadaptowane do szkodliwego kodu, który potrafił ukrywać się w pamięci, gromadząc potajemnie hasła administratorów systemów w celu umożliwienia atakującym przejęcia zdalnej kontroli nad systemami ofiar. Wydaje się, że ostatecznym celem cyberprzestępców był dostęp do procesów finansowych.
Kaspersky Lab ustalił następnie, że takie ataki są przeprowadzane na skalę masową:
Nie wiadomo, kto stoi za tymi atakami. Wykorzystywanie szkodliwego kodu, który jest dostępny na cyberprzestępczym czarnym rynku, popularnych narzędzi systemu Windows oraz nieznanych domen sprawia, że zidentyfikowanie ugrupowania odpowiedzialnego za ataki jest niemal niemożliwe — nie można nawet stwierdzić, czy mamy tu do czynienia z jedną grupą, czy kilkoma, które wykorzystują te same narzędzia. Spośród znanych ugrupowań stosujących najbardziej zbliżone metody należy wskazać na GCMAN i Carbanak.
Tego rodzaju narzędzia utrudniają również ustalenie szczegółów dotyczących ataku. Standardowy proces reagowania na incydent polega na tym, że osoba prowadząca dochodzenie bada ślady i próbki pozostawione w sieci przez przestępców. O ile dane znajdujące się na dysku twardym mogą być dostępne jeszcze długi czas po incydencie, ukryte w pamięci ślady są usuwane przy pierwszym ponownym uruchomieniu komputera.
Cyberprzestępcy stojący za omawianymi działaniami są nadal aktywni, dlatego należy zaznaczyć, że tego rodzaju atak można wykryć tylko w pamięci RAM, sieci i rejestrze, i w takich przypadkach nawet reguły Yara (wykorzystywane do badania i wykrywania zaawansowanych cyberataków) w oparciu o skanowanie szkodliwych plików nie mają zastosowania.
