LockerGoga: что именно произошло с Norsk Hydro

Фото, источник — www.msspalert.com
В ночь с понедельника на вторник (примерно в 23:00 UTC 18.03.2019) специалисты Norsk Hydro заметили сбои в функционировании сети и ряда систем. Вскоре стало понятно, что сбои вызваны массовым заражением систем шифровальщиком, которое очень быстро распространялось по объектам инфраструктуры. После идентификации угрозы служба безопасности начала процесс изоляции, однако вредонос настолько глубоко успел распространиться по инфраструктуре, что пришлось перевести часть производства в ручной режим управления ("откат" к процедурам, принятым до компьютеризации производственных процессов). Расследование атаки потребовало привлечения местных властей и органов правопорядка (National Security Authority / NorCERT, Norwegian Police Security Service, National Criminal Investigation Service), а также ряда коммерческих компаний. Восстановление инфраструктуры еще не завершено и отдельные производства (например, по прессованию алюминиевых профилей) до сих пор функционируют на половину мощности.

Несмотря на то, что расследование инцидента не окончено и пока сложно спрогнозировать сроки его завершения, по имеющимся фактам можно понять механизм действия атакующих и проанализировать, что в Norsk Hydro сделали верно, а что нет, и как еще можно было улучшить защиту.
[spoiler]
Состояние компании после атаки
Norsk Hydro является достаточно крупной компанией: ее объекты расположены в 40 странах мира, а общая численность сотрудников превышает 35000 человек. Так же велик объем информационных систем и компьютеров, которые попали под воздействие атаки. Из информации от представителей компании, озвученной на совместной с властями пресс-конференции , и ежедневных новостей о ходе расследования и восстановления на веб-сайте (обновление от 22.03.2019) следует, что:

• локальных инцидентов на производствах и человеческих травм не произошло;
• все заводы были в итоге успешно изолированы, процессы переведены на ручное управление там, где это возможно (на заводах по прессованию алюминиевых профилей удалось наладить работоспособность только на 50%);
• мобильные устройства и некоторые ПК функционируют нормально, корректно функционирует облачная почта;
• отсутствует полная картина количества вышедших из строя ПК и серверов, отмечается различная степень поражения объектов инфраструктуры;
• отсутствует доступ к системам, содержащим данные о заказах, однако есть необходимый объем информации, который требуется для производства заказов;
• предположений по злоумышленникам нет, наиболее вероятная гипотеза об использованном для атаки ВПО — шифровальщик LockerGoga;
• в компании хорошо налажен процесс резервного копирования, и откат к ранее сделанным резервным копиям является основной стратегией восстановления;
• у компании есть страховка от киберрисков, которую планируют использовать для покрытия ущерба от атаки.
  

Важно отметить то, как повела себя Norsk Hydro во время атаки. Компания действовала максимально открыто: на время проблем с основным сайтом запустила временный, информировала общественность через аккаунт в Facebook, уведомила представителей рынка ценных бумаг о своей ситуации и провела пресс-конференцию в первый же день атаки.



Предупреждение для сотрудников Norsk Hydro о том, что не следует подключать какие-либо устройства к сети в связи с кибератакой. Фото, источник — www.reuters.com

Что представляет собой вредонос LockerGoga
Об атаках с использованием LockerGoga впервые широкой публике стало известно в конце января 2019 г. Тогда от него пострадала консалтинговая компания Altran, однако технических деталей реализации атаки было опубликовано крайне мало. Norsk Hydro была атакована с помощью нескольких версий вредоноса, которые по механике своего действия похожи (за исключениям отдельных "фич") на образцы, применявшиеся в январской атаке.
Исполняемые файлы вредоноса подписаны тем же сертификатом, выпущенным Sectigo (бывший Comodo CA), что и образцы, использовавшиеся при атаке на Altran (вероятно, подставная компания ALISA LTD с 2 владельцами и 2 долями по 1 GBP каждая). На данный момент сертификат отозван, однако во время атаки он был действующим.
Судя по всему, каждый образец вредоноса генерировался уникально под атакуемую компанию, что отмечается в анализе образцов исследователями .

Все выявленные образцы не обладают способностью к саморепликации (в отличие от WannaCry и NotPetya) и должны быть запущены на атакуемом узле. Наиболее вероятная гипотеза распространения вредоноса по сети Norsk Hydro — использование групповых политик AD для создания задач или сервисов с вредоносным содержимым. С высокой вероятностью это означает, что на этапе проникновения использовалось другое ВПО, с помощью которого удалось получить административные привилегии в домене. Одним из возможных механизмов может быть фишинг с последующей кражей паролей или тикетов Kerberos из памяти скомпрометированного узла.

В процессе заражения исполняемый файл вредоноса копируется в директорию %TEMP% и запускается с повышенными привилегиями. После этого он запускает большое число дочерних процессов, распределяя на них шифрование файлов по собранному списку. Судя по поведению имеющихся образцов, шифруются не только файлы с расширениями офисных документов, баз данных и прочих рабочих файлов (doc, dot, wbk, docx, dotx, docb, xlm, xlsx, xltx, xlsb, xlw, ppt, pot, pps, pptx, potx, ppsx, sldx, pdf), но и другие файлы на диске C: (например, библиотеки dll) с вариациями в зависимости от образца. Дочерний процесс генерирует пару key/iv, используя RNG, затем использует алгоритм AES для переписывания файла зашифрованными данными, шифрует key/iv пару публичным ключом, добавляет зашифрованную ключевую пару к файлу и переименовывает файл, добавляя .LOCKED к расширению. Такое поведение позволяет больше утилизировать процессор зараженного компьютера задачами шифрования и произвести весь процесс быстрее.

Родительский процесс также создает текстовый файл на рабочем столе с требованием о выкупе (README_LOCKED.txt с вариациями в названии), меняет пароли локальных пользователей (вероятно, данное поведение зависит от версии образца, т.е. могут шифроваться только пароли локальных администраторов) и совершает принудительный выход из пользовательской сессии. В некоторых версиях выявлена возможность отключения сетевого интерфейса компьютера.

Таким образом, в ряде случаев зараженный ПК может просто не загрузиться (если зашифрованы критичные компоненты ядра ОС) или пользователь не сможет совершить вход в систему для просмотра требований выкупа, что больше характерно для вайперов.

В требовании выкупа (пример приведен ниже) не содержатся адреса кошельков или суммы выкупа, а только почтовые адреса для взаимодействия со злоумышленниками. В разных версиях вредоносных образцов почтовые адреса в требовании различаются.




Вредонос не использует какую-либо C&C инфраструктуру, единственный канал коммуникации со злоумышленником — электронная почта. Также вредонос не старается скрыть следов своей деятельности. В связи с подобной реализацией механизма получения выкупа, а также фактическим выведением из строя шифруемых ПК можно предположить, что цель LockerGoga схожа с вредоносами WannaCry и NotPetya. Однако, так это или нет, на данный момент сказать нельзя.

Что было сделано правильно, а что нет
После раскрытия информации о громких кибератаках очень часто можно увидеть статьи и различные материалы, рассказывающие о том, что жертвы атаки делали не так. В случае Norsk Hydro ситуация складывается иным образом, компания не показала заметных провалов в организации инфраструктуры (производство не остановилось) и хорошо ведет процесс реагирования на атаку, а именно:

• Компания максимально открыта с инвесторами и общественностью по информированию о ходе устранения атаки. Косвенным показателем положительной реакции может быть курс акций на фондовой бирже: несмотря на некоторое падение (3,6%) акций 23.03, есть предпосылки к их дальнейшему стабильному росту.
• Удалось достаточно быстро изолировать производственные объекты для того, чтобы производство на них не пострадало.
• Существуют отработанные процессы, позволяющие производственным мощностям функционировать в режиме ручного управления (как минимум большей части производства).
• Налажен процесс резервного копирования, что существенно облегчит восстановление узлов инфраструктуры после инцидента.
• Существуют резервные каналы коммуникации (облачная почта), позволяющие взаимодействовать сотрудникам даже в случае проблем на основной инфраструктуре.
• Компания пользуется страховкой от киберрисков, что поможет возместить часть ущерба от атаки.
  

При этом Norsk Hydro излишне полагалась на установленное у нее антивирусное решение. Согласно данным исследователей, некоторые образцы вредоноса на начало марта не выявлялись ни одним антивирусным решением, на момент начала атаки число решений, определявших семплы как вредоносные также было невелико. К тому же удостоверяющий центр отозвал сертификат вредоноса слишком поздно — уже после начала атаки. Также для некоторых объектов сегментация промышленной инфраструктуры от офисной, вероятно, была выполнена в недостаточной мере.

Выявить атаку на ранних стадиях помог бы постоянный контроль:

• активности привилегированных учетных записей;
• изменений групповых политик;
• создания новых сервисов и задач планировщика;
• событий смены паролей для привилегированных учетных записей, в т.ч. и локальных администраторов;
• активности, похожей на Pass-the-Hash и Pass-the-Ticket атаки;
  

Такой контроль должен проводиться внутренней службой мониторинга (с помощью SIEM-подобных решений и систем поведенческого анализа) и/или внешним SOC/CSIRT.

Ведь раннее выявление поможет в экономии значительных средств на устранение последствий атаки.

Автор: Михаил Ларин, эксперт Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании "Инфосистемы Джет"

Оригинал