Хакнуть грядущее: Fancy Bear обходят машинное обучение

Опубликовано at 18:54
41 0

Легендарная хакерская группировка Fancy Bear снова в центре внимания экспертов, в этот раз благодаря своей неординарной попытке обойти новейшие системы обнаружения вирусов.

Для этой цели преступники убрали большую часть вредоносных функций из своего первоначального бэкдора, скрыв его в огромном количестве легитимного кода. К такому выводу пришли исследователи из Cylance, проведя анализ нового импланта, разработанного киберпреступной группировкой Fancy Bear (известной также как APT28).

Эксперты считают, что новая киберотмычка была изготовлена с целью победить защиту на основе машинного обучения. Имплант от FancyBear представляет собой многопоточную DLL-библиотеку, который обеспечивает группировке полный доступ к целевой системе и контроль над ней. По команде C&C-сервера имплант может загружать или скачивать файлы, создавать процессы, взаимодействовать с хостом через командную оболочку и подключаться к C&C-серверу в соответствии с заданным расписанием сна/активности.

Авторы импланта маскируют его с помощью таких известных библиотек, как OpenSSL, и широко используемого компилятора POCO C ++, в результате чего 99% из более чем 3 мегабайт кода классифицируется как легитимный. Таким образом злоумышленники пытаются обойти развивающиеся системы защиты на базе машинного обучения, предполагают специалисты.

Fancy Bear и раньше проявляли изрядный креатив. В прошлом злоумышленники использовали различные способы уклонения от систем защиты компьютера, чаще всего включающие в себя шифрование частей файла для предотвращения обнаружения антивирусами. Кроме того, злоумышленники использовали алгоритмы генерации доменов для последующей загрузки кода из труднодоступных для прогнозирования локаций, обходя антивирусное сканирования. Маскировка вредоносного ПО в качестве легитимного кода — старая методика киберпреступников.

Хотя обман является ключевой частью их инструментария, однако убедить алгоритмы машинного обучения, предназначенные для обнаружения вредоносных функций кода, намного сложнее. Но хакеры уже делают в этом успехи.

Группировка APT28 действует как минимум с 2007 года и специализируется на краже конфиденциальной информации, связанной с правительственными и военными структурами. APT28 систематически развивает свое вредоносное ПО и использует сложные методы кодирования, которые усложняют анализ ее вредоносов.

В августе 2019 года Microsoft заявила, что Fancy Bear атакует корпоративные IoT-устройства с целью проникновения в сети компаний и создания плацдарма для дальнейших атак. Среди примеров скомпрометированных устройств телефон VOIP, офисный принтер, видеодекодер. Специалисты Microsoft затрудняются сказать, какие цели преследовала группировка в данной конкретной кампании. При этом обвиняют во всем, естественно, российское правительство.

В 2018 году стало известно про любопытную тактику, которую избрала Fancy Bear: группировка создала множество версий своего трояна Zebrocy на разных языках программирования (Go, AutoIt, Delphi, VB.NET, C# и Visual C++), чтобы его было трудней обнаружить.

В том же 2018-м в США группировку Fancy Bear обвинили в краже информации у крупнейших американских компаний в сфере авиации. О крупном взломе журналистам сообщила американская компания Secureworks, которая работает в области кибербезопасности. Специалистам стало известно о массивной атаке хакеров на компьютеры сотрудников оборонного сектора США и крупных компаний, связанных с авиаразработками, — Boeing, Airbus, Lockheed Martin, а также General Atomics, которая является производителем беспилотников, в том числе ударного дрона Reaper.

Читайте также на АКБ:

ФБР и Европол требуют пять русских хакеров-похитителей миллионов $ с трояном GozNym

Впервые после 9/11 – ФБР полностью переобучает персонал под эпоху киберугроз

Русские хакеры и шифровальщики – главные герои выборов-2020

Подписываемся, следим @CyberAgency

Related Post

Отравляющий киберпар: Hexane ломают нефтегазовый сектор Ближнего Востока

Опубликовано - 02.08.2019 0
Исследователи безопасности из компании Dragos идентифицировали новую киберпреступную группировку, получившую название Hexane. Ее вредоносная деятельность направлена на системы промышленного контроля…