Специалисты Mandiant делятся опытом, попутно объясняя, в какую сторону движется отрасль и каких атак стоит особенно остерегаться.
Когда в прошлом году в одной из организаций оборонной промышленности свыше десятка брандмауэров Fortinet FortiGate таинственным образом вышли из строя и не смогли должным образом перезагрузиться, это была настоящая удача для защитников безопасности, ведь массовый сбой брандмауэров стал первым видимым признаком того, что злоумышленники проникли в сеть компании в ходе скрытной и сложной атаки.
Кибербандиты из Китая, в основном специализирующиеся на шпионаже, которых Mandiant отслеживает как UNC3886, «каким-то образом допустили осечку в своей атаке, ибо вряд ли отказ всех брандмауэров входил в их изначальный план», — сказал Кевин Мандиа, генеральный директор компании Mandiant во время конференции RSA в Сан-Франциско на прошлой неделе. В противном случае, по словам Мандиа, могло пройти очень много времени, прежде чем атака была бы обнаружена организацией-жертвой.
Команда реагирования на инциденты Mandiant работала совместно с Fortinet в расследовании нарушений и обнаружила, что злоумышленники взломали и разместили вредоносное ПО на брандмауэрах FortiGate, платформе управления Fortinet FortiManager, а также в её журнале и инструменте для отчётности FortiAnalyzer.
Злоумышленники применили классическую атаку с обходом каталогов, используя уязвимость нулевого дня в FortiOS от Fortinet ( CVE-2022-41328 ), которая позволила им читать и записывать файлы на диски брандмауэра с помощью интерфейса командной строки. Взломщики также получили права суперадминистратора в брандмауэрах, обошли правила FortiManager и настроили конечную точку виртуального API в FortiManager с помощью специальной вредоносной среды, которую они создали специально для гипервизоров VMware ESXi и FortiAnalyzer. Они также отключили этап проверки цифровой подписи системы, повредив загрузочные файлы. Всё это позволило преступникам глубоко внедриться в сетевую инфраструктуру организации-жертвы.
Внедрение в брандмауэры и в виртуальное оборудование скрывало UNC3886 от EDR-систем, которые легко могли бы их обнаружить, если бы киберпреступники атаковали напрямую рабочие станции. Атака на брандмауэры всё чаще становится единственной жизнеспособной альтернативой для самых настойчивых злоумышленников, поскольку EDR значительно поднял планку безопасности сети.
Мандиа заявил, что описанная им атака была практически идеальной с точки зрения сокрытия в киберпространстве. А самым необычным, по его словам, было то, как китайская группировка тщательно удаляла логи и следы своей активности в сети жертвы, ведь обычно китайские группы не утруждают себя стиранием своих следов при атаке.
В целом, прошлый год стал весьма удачным для китайских киберпреступных объединений. Согласно недавнему исследованию Mandiant, из 13 использованных уязвимостей нулевого дня, которые Mandiant определил как спонсируемые государством, 7 атак исходили именно от китайских преступников.
Когда речь на конференции зашла про технологии искусственного интеллекта, Кевин Мандиа сказал, что злоумышленники, вероятно, будут использовать генеративный ИИ для более целенаправленных фишинговых и социально-инженерных атак. Но он также считает, что технология будет даже в большей степени полезна именно защитникам и исследователям, а повсеместное использование ИИ приведёт к кардинальным изменениям в сфере кибербезопасности.
«Генеративный ИИ должен ощутимо ускорить обнаружение уязвимостей в целевых системах. Я чувствую, что ИИ должен быть более выгодным, по крайней мере, с точки зрения кода и уязвимостей. Потому что мы, защитники, сможем узнать о недостатках в своей безопасности раньше, чем нам укажут на них злоумышленники», — объяснил Мандиа.
Как сообщается, в настоящее время Mandiant разрабатывает свой собственный инструмент обнаружения на основе искусственного интеллекта. «Тот факт, что совсем скоро мы сможем просто взять вредоносное ПО, загрузить его в свой движок и уже через 15 секунд получить подробный отчёт о нем — станет нашим главным преимуществом», заключил Мандиа.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале