Исследование того, как киберпреступники используют руткиты, показало, что почти половина кампаний сосредоточена на взломе государственных систем.
В среду Positive Technologies опубликовала отчет об эволюции и применении руткитов в кибератаках, отмечая, что 77% руткитов используются для кибершпионажа.
Руткиты используются для получения привилегий в зараженной системе либо на уровне ядра, либо на основе пользовательских режимов, последний из которых используется многими программными приложениями. Некоторые руткиты могут совмещать обе возможности.
После подключения руткита к машине его можно использовать для взлома ПК, перехвата системных вызовов, замены программного обеспечения и процессов, а также они могут быть частью более широкого набора эксплойтов, содержащего другие модули, такие как клавиатурные шпионы, вредоносное ПО для кражи данных и майнеры криптовалюты — с установленным руткитом для маскировки вредоносной активности.
Однако руткиты сложно разработать, и это может занять как время, так и затраты — и в результате большинство атак на основе руткитов связаны с группами расширенных постоянных угроз (APT), у которых есть ресурсы и навыки для их разработки. форма вредоносного ПО.
Анализируемая исследователями выборка состояла из 16 типов вредоносных программ; 38% — руткиты режима ядра, 31% — руткиты пользовательского типа и 31% — руткиты комбинированного типа. Большинство из них, которые используются сегодня, предназначены для атак на системы Windows.
Согласно Positive Technologies, существует общая тенденция к использованию руткитов пользовательского режима в индустрии эксплойтов из-за сложности создания вариантов режима ядра, и, несмотря на улучшения защиты от руткитов на современных машинах, они часто все еще успешны в кибератаках. .
«На разработку или изменение такого руткита уходит много времени, и это может затруднить работу с ограничениями по времени; вы должны быстро использовать уязвимость в периметре компании, прежде чем ее заметят и установят обновления безопасности или другую группу использует это в своих интересах », — говорит Positive Technologies. «Из-за этого злоумышленники привыкли действовать быстро: с момента обнаружения эксплойта до первых попыток его использования может пройти меньше суток, и если у группы нет надежного, готового к использованию инструмента, этого времени явно недостаточно, чтобы над ним поработать ».
Кроме того, команда утверждает, что любые ошибки в кодировании руткита режима ядра могут привести к разрушению машины и необратимому повреждению, и поэтому, если возникает финансовая потребность — например, со стороны операторов программ-вымогателей — тогда вред вызвано остановит попытки вымогательства быть успешными.
В 44% случаев, задокументированных с 2011 года, руткиты использовались для ударов по правительственным учреждениям по всему миру, за которыми следуют исследовательские и академические учреждения в 38% известных кампаний.
Positive Technologies предполагает, что когда используются руткиты, их стоимость и время разработки требуют высокой цели: и в большинстве случаев целью является кража данных, хотя иногда цель чисто финансовая.
Кроме того, руткиты чаще всего отслеживаются для атак на телекоммуникационные компании, производственный сектор, банки или финансовые службы.
По словам исследователей, руткиты могут также использоваться в целевых атаках на отдельных лиц, которые, по словам исследователей, являются «высокопоставленными чиновниками, дипломатами и сотрудниками организаций-жертв».
Коммерчески доступные руткиты часто продаются по цене от 45 000 до 100 000 долларов, в зависимости от целевой операционной системы, условий подписки и функций.
«Несмотря на сложности разработки таких программ, каждый год мы видим появление новых версий руткитов с механизмом работы, отличным от известного вредоносного ПО», — прокомментировал Алексей Вишняков, руководитель отдела обнаружения вредоносных программ Центра безопасности Positive Technologies (PT ESC). ). «Это указывает на то, что киберпреступники все еще разрабатывают инструменты для маскировки вредоносной активности и придумывают новые методы обхода безопасности — появляется новая версия Windows, и разработчики вредоносных программ немедленно создают для нее руткиты. Мы ожидаем, что руткиты и дальше будут широко использоваться -организованные группы APT».