Η τεχνολογία Kaspersky Lab Automatic Exploit Prevention – που βρίσκεται ενσωματωμένη στις περισσότερες λύσεις ασφαλείας της εταιρείας για τερματικά σημεία – έχει εντοπίσει μια σειρά στοχευμένων ψηφιακών επιθέσεων. Οι επιθέσεις επιχειρήθηκαν από ένα νέο κακόβουλο λογισμικό το οποίο εκμεταλλεύτηκε μια ευρέως διαδεδομένη zero-day ευπάθεια στο λειτουργικό σύστημα Microsoft Windows 10. Η πρόθεση των κυβερνοεγκληματιών ήταν να αποκτήσουν πλήρη πρόσβαση στα συστήματα των θυμάτων στη Μέση Ανατολή. Η ευπάθεια αυτή επιδιορθώθηκε από την Microsoft στις 9 Οκτωβρίου.
Μία zero-day επίθεση είναι μία από τις πιο επικίνδυνες μορφές κυβερνοαπειλών, καθώς συνεπάγεται την εκμετάλλευση μιας ευπάθειας που δεν έχει ακόμη ανακαλυφθεί και καθοριστεί. Εάν ανακαλυφθεί από έναν απειλητικό παράγοντα, μία ευπάθεια zero-day μπορεί να χρησιμοποιηθεί για τη δημιουργία ενός exploit που μπορεί να δώσει πρόσβαση στον επιτιθέμενο σε ολόκληρο το υπολογιστικό σύστημα της εταιρείας – βιομηχανίας. Αυτή η μορφή επιθέσεων είναι ευρέως διαδεδομένη από εξελιγμένους παράγοντες ΑΡΤ επιθέσεων και χρησιμοποιήθηκε και στη συγκεκριμένη περίπτωση.
To exploit που ανακαλύφθηκε σε λογισμικά Microsoft Windows, έφθανε στα θύματα μέσω ενός PowerShell backdoor. Στη συνέχεια τo exploit εκτελούνταν με σκοπό να αποκτήσει ο αποστολέας του τα απαραίτητα προνόμια για παρουσία στα συστήματα των θυμάτων. Ο κώδικας του κακόβουλου λογισμικού ήταν υψηλής ποιότητας και γραμμένος έτσι ώστε να διευκολύνεται η αποτελεσματική εκμετάλλευση όσο το δυνατόν περισσότερων διαφορετικών Windows.
Οι ψηφιακές επιθέσεις στοχοποίησαν λιγότερους από 12 επιφανείς οργανισμούς στη Μέση Ανατολή κατά τη διάρκεια του περασμένου καλοκαιριού. Θεωρείται ότι η ομάδα που κρύβεται πίσω από την επίθεση είναι η FruityArmor – καθώς το PowerShell backdoor έχει χρησιμοποιηθεί αποκλειστικά από αυτήν την ομάδα στο παρελθόν. Αμέσως μετά την ανακάλυψη, οι ειδικοί της Kaspersky Lab ανέφεραν αμέσως την ευπάθεια στη Microsoft.
Τα προϊόντα της Kaspersky Lab ανίχνευσαν αυτό το exploit προληπτικά μέσω των ακόλουθων τεχνολογιών:
- Μέσω της μηχανής ανίχνευσης συμπεριφοράς της Kaspersky Lab και των εργαλείων αυτόματης εξάπλωσης πρόληψης τα οποία υπάρχουν σε όλα τα προϊόντα ασφαλείας της εταιρείας.
- Μέσω του Advanced Sandboxing και του μηχανισμού Antimalware που υπάρχουν στην πλατφόρμα Kaspersky Anti Targeted Attack.
Όπως δήλωσε ο Anton Ivanov, ειδικός ασφάλειας της Kaspersky Lab,
"Όταν πρόκειται για zero-day ευπάθειες, είναι σημαντικό να παρακολουθείται ενεργά το τοπίο απειλής για νέες exploits. Στην Kaspersky Lab, η συνεχής έρευνα για ανεύρεση ευφυών απειλών, μας βοηθά όχι μόνο στο να βρούμε νέες επιθέσεις, αλλά και να καθορίσουμε τους στόχους διαφορετικών ψηφιακών απειλών. Έχουμε επίσης την πρόθεση να μάθουμε ποιες κακόβουλες τεχνολογίες χρησιμοποιούν αυτοί οι εγκληματίες. Ως αποτέλεσμα της έρευνάς μας, έχουμε ένα ισχυρό τεχνολογικό εργαλείο ανίχνευσης που μας επιτρέπει να αποτρέψουμε επιθέσεις - όπως εκείνη που σκόπευε να χρησιμοποιήσει αυτήν την ευπάθεια"
Για να αποφύγετε τα zero-day exploits, η Kaspersky Lab συνιστά την εφαρμογή των ακόλουθων τεχνικών μέτρων:
- Αποφύγετε τη χρήση λογισμικού που είναι γνωστό ότι είναι ευάλωτο ή που έχει χρησιμοποιηθεί πρόσφατα σε ψηφιακές επιθέσεις.
- Βεβαιωθείτε ότι το λογισμικό που χρησιμοποιείται στην εταιρεία σας ενημερώνεται τακτικά στις πιο πρόσφατες εκδόσεις. Τα προϊόντα ασφάλειας με δυνατότητες Vulnerability Assessment και Patch Management μπορούν να βοηθήσουν στην αυτοματοποίηση αυτών των διαδικασιών.
- Χρησιμοποιήστε μια ισχυρή λύση ασφάλειας, όπως το Kaspersky Endpoint Security for Business που είναι εξοπλισμένο με δυνατότητες ανίχνευσης βάσει συμπεριφοράς για αποτελεσματική προστασία από γνωστές και άγνωστες απειλές, συμπεριλαμβανομένων των expoits.
