W ostatnim tygodniu zespół ds. analizy zagrożeń Microsoft wyśledził wiele kampanii ransomware i powiązał ataki z hakerami DEV-0270, znanymi również jako irański PHOSPHORUS. Microsoft jest prawie pewien, że DEV-0270 przeprowadza złośliwe operacje sieciowe, w tym szeroko zakrojone skanowanie podatności, w imieniu rządu Iranu. Jednak sądząc po ich ukierunkowaniu geograficznym i atakowanych sektorach, można domyślić się, że ataki te są też formą generowania dochodów.
Czym jest DEV-0270?
Grupa DEV-0270 jest obsługiwana przez firmę działającą pod dwoma publicznymi aliasami: Secnerd (secnerd[.]ir) oraz Lifeweb (lifeweb[.]ir). Microsoft zaobserwował liczne przykłady nakładania się infrastruktury między DEV-0270 i Secnerdem/Lifewebem. Organizacje te są również powiązane z Najee Technology Hooshmand z siedzibą w Karaj w Iranie. Zespół hakerów DEV-0270 działa zazwyczaj w bardzo prosty sposób i nie przebiera w ofiarach. Aktor skanuje Internet, aby znaleźć podatne na znane exploity serwery i urządzenia – łatwo więc wywnioskować, że potencjalnymi celami mogą być organizacje, które nie dbają wystarczająco o prywatność, stałe aktualizacje systemów oraz bezpieczeństwo brzegowe.
Podobnie jak w przypadku każdej obserwowanej działalności podmiotu państwowego, Microsoft bezpośrednio powiadamia zaatakowanych klientów swoich usług. Przy okazji dostarcza im informacji potrzebnych do zabezpieczenia ich kont. MS używa oznaczeń DEV-#### jako tymczasowej nazwy nadawanej nieznanemu pojawiającemu się lub rozwijającemu klastrowi zagrożeń, dzięki czemu Microsoft Threat Intelligence Center (MSTIC) może śledzić je jako unikalny zestaw danych. Sytuacja ta ma miejsce, dopóki zespoły bezpieczeństwa nie osiągną zupełnej pewności co do pochodzenia lub tożsamości atakujących stojących za danym działaniem. Po spełnieniu kryteriów DEV jest konwertowany na nazwanego aktora. Stąd właśnie to tajemnicze oznaczenie.
Analiza ataków
DEV-0270 wykorzystuje exploity dla luk o wysokim stopniu ryzyka (CVSS 8.0+) w celu uzyskania dostępów do urządzeń. Grupa znana jest też z bardzo wczesnej adopcji nowo odkrytych podatności. DEV-0270 intensywnie wykorzystuje binarne pliki LOLBIN w całym łańcuchu ataków celem wykrywania i uzyskiwania dostępu do poświadczeń. Obejmuje to nadużywanie wbudowanego narzędzia BitLocker do szyfrowania plików na zhakowanych urządzeniach.
W niektórych przypadkach, kiedy szyfrowanie się powiodło, czas między początkowym dostępem a żądaniem okupu wynosił około dwóch dni. To bardzo szybko, jeśli chodzi o zaplanowany atak. Zaobserwowano, że grupa żąda 8000 USD za klucze deszyfrujące. Ponadto zauważono, że aktor podążał innymi drogami, aby generować dochody poprzez swoją działalność. W jednym z ataków organizacja będąca ofiarą odmówiła zapłacenia okupu, więc aktor zdecydował się wysłać skradzione dane organizacji na sprzedaż w postaci zrzutu bazy danych SQL.
Na podstawie swoich obserwacji zespół Microsoft opracował poniższą grafikę, gdzie zostały umieszczone techniki wykorzystywane przez DEV-0270 na każdym etapie zaplanowanego ataku.
Wiemy, że DEV-0270 skanuje Internet w celu znalezienia serwerów i urządzeń podatnych na błędy w Microsoft Exchange, Fortinet FortiGate SSL-VPN i Apache Log4j, by uzyskać początkowy dostęp, a następnie prowadzi rekonesans sieci i kradzież poświadczeń.
Dostęp do zaatakowanej sieci uzyskuje poprzez etap „persistence” za pomocą zaplanowanego zadania dodanego do systemu Windows. Potem eskaluje uprawnienia do poziomu systemu, umożliwiając przeprowadzanie działań post-exploitacyjnych, takich jak wyłączenie programu Microsoft Defender, ruchu bocznego po SMB i RPC oraz szyfrowanie plików.
Analizowana grupa często używa natywnych poleceń WMI, net, CMD i PowerShell oraz konfiguracji rejestru w celu utrzymania trwałości i wyłączenia bezpieczeństwa OS Windows.
Jak zapobiec włamaniu
Jak widać, metody stosowane przez atakujących z Iranu w tym przypadku są dosyć standardowe. Dlatego też rady dla klientów systemów Microsoft są w dużej mierze trywialne i wymagają po prostu systematyczności oraz podstawowej higieny przy pracach administracyjnych. Wymieńmy poniżej kilka z nich:
- Zastosuj odpowiednie aktualizacje zabezpieczeń dla programu Exchange Server, w tym odpowiednie poprawki dla CVE-2021-26855, CVE-2021-26858, CVE-2021-26857 i CVE-2021-27065.
- Używaj Microsoft Defender Firewall, urządzeń zapobiegania włamaniom (IPS) oraz brzegowej zapory sieciowej, aby w miarę możliwości zapobiegać komunikacji RPC i SMB między urządzeniami. Ogranicza to ruchy boczne i inne działania atakujących.
- Sprawdź zaporę sieciową i serwer proxy, aby ograniczyć lub uniemożliwić urządzeniom sieciowym takim jak urządzenia sieciowe Fortinet SSL VPN nawiązywanie arbitralnych połączeń z Internetem w celu przeglądania lub pobierania plików.
- Wymuszaj silne hasła administratora lokalnego. Użyj narzędzi takich jak LAPS.
- Przechowuj kopie zapasowe, aby móc odzyskać dane dotknięte destrukcyjnymi atakami. Użyj kontrolowanego dostępu do folderów, aby uniemożliwić nieautoryzowanym aplikacjom modyfikowanie chronionych plików.
- Blokuj tworzenie procesów pochodzących z poleceń PsExec i WMI