În cadrul Eset Global Press Tour 2018 astăzi aflăm despre istoria NOD32, despre atacurile informatice descoperite și investigate de companie și despre planurile lor de viitor. Am separat informațiile în mai multe capitole.


Eset a fost fondată de doi sstudenți în 1987 și a marcat deja 30 de ani de activitate. Compania a fost însă înființată oficial abia în 1992, după căderea comunismului. În 1998 Nod32 a luat primul premiu Virus Bulletib VB100 și continuă să ia premii îîn fiecare an. La ora actuală au 22 de centre de cercetare, 1600 de angajați, față de trei la început.

Câștigă acum o invitație la Fantastic Beasts 2 ->>

Construiesc un nou sediu centru central în Bratislava, au ajuns la 500 de milioane de utilizatori anul acesta datorită implementării tehnologiei în Chrome. De asemenea au avut venituri de 500 de milioane de euro în 2017, targetul creștere în 2018. Eset este cea mai mare companie de securitate IT din Uniunea Europeană, a spus Branislav Ondrasik, PR manager pentru regiunea EMEA.

O soluție harware de tip router este în dezvoltare și la Eset, dar la ora acestei prezentări produsul final nu este gata, urmează să fie lansat.

Rootkit descoperit de Eset

Eset a descoperit primul rootkit UEFI și Lojack, descoperit de cercetătorii companiei din Canada, spune Alexis Dorais-Joncas, Team lead Security Intelligence a Eset Montreal. Este o unealtă care a fost dezvoltată de grupul Sednit, care a lansat numeroase atacuri informatice în trecut, precum Fancy Bear, APT28, Sofacy, sunt activi din 2004, organizează atacuri privind jucători politici și guvernamentali la nivel mondial.

Aplicația Lojack este preinstalată pe laptopuri comune precum HP, Dell, Lenovo și altele. Este pentru localizre și ștergerea datelor de la distanță pentru a preveni furtul lor. Dacă eșuează, compania oferă recompense de 1.000 de dolari proprietarului de laptopuri. UEFI este interfața pentru BIOS utilizată de marii producători de computere. Evident, are acces la resursele computerului mai mult decât simplul BIOS.

Cercetătorii au descoperit o vunerabilitate în fișierul de configurare Lojack, respectiv cel care oferă adresa de unde se descarcă aplicația după ce un client plătește taxa de activare. Versiunea piratată vine cu un domeniu fals. Win32/Lojax vine cu adresa modificată, una care este folosită pentru răspândirea SedUploader, un rootkit al Sednit Group.

Laptopurile cu acest rootkit au fost utilizate doare de organizații guvernamentale, amasade și instituții de stat. Apoi cercetătorii au găsit info_uefi.exe, un soft care teoretic ar fi folosit la diagnosticarea UEFI. Au găsit ReWriter_read.exe, aplicație care șterge firmware actual de pe computer. Apoi o versiune ReWriter_Binary.exe a fost descoperit, care instalează unul nou, care conține Lojack cu acea adresă falsă ca sursă pentru download.

Aplicația instalează de asemenea în Regoistry la Windows o linie de comandă pentru ca aplicația să pornească automat la lansarea sistemului de operare. Marii producători au lansat versiuni firmware care eliminî aceste probleme, doar că trebuie actualizate toate sistemele din companie. Administratorii de sistem pot verifica securitatea UEFI destul de ușor și există și un scanner special Chipsec pentru identificarea vulnerabilității.

Nu scapi de probleme cu reinstalarea Windows, schimbarea hard-discului, doar cu reinstalarea unui firmware curat de la producător.

Grupul Sednit a dezvoltat un kit special care identifică sistemul de operare, aplicațiile instalate, dar și firmware, sistemul de securitate instalat și dacă descoperă vulnerabilitățile dorite, lansează automat instalarea de malware specific. Ceea ce fac este să convingă angajații din instituții să acceseze pagina web unde kit-ul este instalat.

Fac asta prin mesaje targetate (spear-phishing), cadouri către angajați și alte metode care pot duce la accesarea adresei sau accesarea de aplicații capabile să identifice computerele din rețea și descoperirea acelui soft vulnerabil care să permită atacul.

Grey Energy

Atacul informatic din Ucraina privind centralele energetice a fost realizat cu ajutorul Black Energy, un malware dezvoltat special pentru sistemele acestor centrale. Acest malware este activ de câțiva ani, dar era folosit anterior pentru alte scopuri, apoi a fost adaptat pentru zona de energie, spune Robert Lipovski, senior malware reserarcher Eset..

Prin intermediul unei vulnerabilități PowerPoint era lansat acel malware în backgroud, chiar dacă Windows și pachetul Office era actualizat la zi. Sistemele din centralele energetice au fost realizate cu ani în urmă, fără temerea că vor exista astfel de atacruri, așa că protecțiile instalate ulterior sunt destul de ineficiente.

Industroyer este un atac similar care vizează fabricile și uzinele. De asemenea au lansat atacuri legate de instituiile financiare, Banca Națională și Bursele, cu soluții care formatează ulterior sistemele pentru a șterge orice urmă de atac.

Atac descoperit în 2018, Exaramel, încearcă să descopere ce soft de securitate folosesc firmele și să prezinte actualizări false, care să pară că sunt de la firma respectivă, evident, dacă sunt instalate oferă atacatorului acces la sistemele respective.

Descoperirea Grey Energy este cel mai recent atac de acest tip. Vizează Ucraina și Polonia, companii de energie, transport energie sau altele implicate în distribuție și servicii. Trimit documente care comțin Macro către angajații companiilor. De asemenea, au atacat companii de hosting și au instalat unelte de atac și backdoors pentru a păstra accesul la servere. Soluții specifice industriei de spionaj, care colectează cât mai multe date despre sistemele conectate.

Atacatorii încep să folosească tot mai multe soluții pentru ascuunderea uneltelor lor, încearcă să evite orice detecție de către utilizator sau firmele de securitate, criptează informațiile și folosesc module de comunicare cât mai ascunse. Folosesc servere interne pe post de proxy pentru ca mesajele să pară că merg intern, nu extern, iar pentru Internet folosesc servere Tor pentru a ascunde destinația.

Pentru credibilitate au furat un certificat eliberat pentru un producător industrial din Taiwan, astfel că soft-ul lor părea să fie legitim în momentul instalării.

Eset nu poate confirma cine este în spatele acestor atacuri, este o problemă care ar aparține serviciilor speciale, fiind vorba de spionaj industrial. Unele atacuri similare au avut loc și în alte țări membre NATO.

Despre Internet of Things

Eset începe prezentarea cu primul atac pentru smartphone-uri, respectiv pentru iPhone, în 2007. “Dutch hack”, doar o demonstrație, pentru telefoanele jailbroken, fără pagube foarte mari. Primul atac pentru Android a fost în 2008, un an mai târziu, un troian ascuns sub forma unui media player. Reamintesc atacul contra Strava, care dezvăluia traseele parcurse, cel privind jucăriile smart care înregistrau prin casă, dar și dispozitive mai sofisticate, pentru spitale sau instituții medicale.

Internet of Things poate fi considerat acum Internet of Targets, pentru că toate dispozitivele smart pot fi ținta unor atacuri informatice, iar unele situații pot fi chiar periculoase. Eset a realizat un studiu al produselor IOT privind securitatea IT, descoperind vulnerabilitățile acestora.

Camera smart care transmite imaginile în cloud de fapt transmitea și o mulțime de informații necriptate, precum IP, datele de conectare, detalii care pot fi interceptate de un atacator destul de ușor. având acces la ea, se poate creaun malware special care poate ajunge în rețeaua la care este conectată camera. Existaă dispozitive cu criptare extrem de slabă sau care au sisteme de control web-based care sunt vulnerabile. De asemenea există sisteme de control central pentru Smart Home, care primesc datele de la camere, senzori și alte dispozitive, iar apoi comunică, deseori având aceleași vulnerabilități.


Click pe imagine pentru a vedea detaliile.

Statistici privind Bitcoin și criptomonede, iar aici apar iar o mulțime de vulnerabilități care pot fi exploatate.

Monedele de acest gen sunt tot mai folosite pentru atacuri informatice datorita gradului de anonimitate privind proprietarul banilor. Astfel, bani obținuți ilegal nu mai pot fi ușor recuperați.

Despre Inteligența Artificială

Din 1998 Eset folosește machine learning si tehnologii care pot fi considerate AI. Începând din 2018, compania va implementa tehnologia Eset Augur pentru detecțiile automate.

Sunt aplicații care învață cum arată și cum acționează malware și celalte amenințări informatice și le pot identifica și bloca. Limitarea era legată de puterea de procesare, iar acum sunt ajutați de creșterea puterii de procesare și scăderea costurilor pentru infrastructura necesară.