W 2021 roku w mediach nie brakowało nagłówków dotyczących głośnych cyberataków, które wielokrotnie zmuszały do przeprowadzenia rachunku sumienia w wielu organizacjach. Część tych wydarzeń została szczegółowo opisana przez ekspertów z zespołu Cisto Talos na blogu Talos Threat Intelligence. Są jednak trzy kluczowe kwestie, które szczególnie zwracają uwagę, i które powinny również zainteresować każdego specjalistę ds. cyberbezpieczeństwa.
Bezpieczeństwo łańcuchów dostaw
Przed rokiem 2021 zakładano, że ataki na łańcuchy dostaw interesują tylko najbardziej wyrafinowanych cyberprzestępców, wspieranych przez organizacje państwowe. Wynikało to z przekonania, że zasoby i wiedza niezbędne do złamania zabezpieczeń dostawców oprogramowania oraz zaimplementowania w nim złośliwego kodu są poza zasięgiem „zwykłych” atakujących.
Jednak w lipcu 2021 roku ten mit został obalony. Oprogramowanie ransomware REvil było dystrybuowane poprzez wykorzystanie wcześniej niezidentyfikowanej luki w kodzie serwera Kaseya VSA – narzędzia do monitorowania i administrowania systemami. Cyberprzestępcy wykorzystali tę lukę do dystrybucji złośliwego kodu, ukrytego pod maską zaufanej aktualizacji rozprowadzanej z przejętego serwera do systemów klienckich zarządzanych przez to narzędzie. Po zainstalowaniu złośliwego fałszywego agenta, oprogramowanie zapisywało na dysku legalną, ale podatną na wykorzystanie, starą wersję aplikacji Windows Defender, a następnie wykorzystywało ją do uruchomienia ransomware. W ten sposób zaufana i zweryfikowana aplikacja, uruchomiona z zaufanego katalogu, mogła potwierdzić bezpieczeństwo zaszyfrowania dysku.
Skutki ataku były szersze niż można by przypuszczać. Kaseya VSA jest często wykorzystywana do administrowania dużą liczbą systemów w wielu różnych organizacjach. Uderzenie w serwery dostawców usług zarządzanych (Managed Service Providers) oznaczało, że złamane zabezpieczenie jednego z urządzeń przełożyło się na zagrożenie dla wielu organizacji. Wstrzymanie działalności tak dużej liczby firm oznaczało więcej potencjalnych okupów do zebrania. Niestety, wszystko wskazuje na to, że będzie to kusząca taktyka dla wielu innych atakujących w przyszłości.
„Pod wieloma względami, cyberprzestępcy specjalizujący się w atakach z cyklu APT (Advanced Persistent Threat – zaawansowane zagrożenia długotrwałe) wyznaczają pozostałym kolegom po fachu potencjalne ścieżki, pokazując, co może osiągnąć ambitny i skuteczny haker. Niewykluczone, że przestępcy, którzy przeprowadzili atak na firmę Kaseya, korzystali z jakiegoś rodzaju wsparcia lub ochrony którejś z organizacji państwowych – mogli jednak też dokonać ataku całkowicie własnymi siłami. Niezależnie od tego, co działo się za kulisami, prawdopodobnie w przyszłości będziemy obserwować kolejne przypadki wykorzystywania łańcuchów dostaw do dystrybucji szkodliwego oprogramowania.” – wyjaśnia Martin Lee z Cisco Talos, największej na świecie komercyjnej organizacji badającej cyberzagrożenia w sieci.
Kradzież zasobów obliczeniowych dla zysku
Motywacją cyberprzestępców jest zysk. Jednym z najbardziej udanych modeli biznesowych, jakie stworzyli, jest działanie z wykorzystaniem oprogramowania ransomware, które jest w stanie wstrzymać działanie systemu poprzez zaszyfrowanie danych, które się w nim znajdują. Możliwość przywrócenia do stanu poprzedniego następuje wówczas, gdy zaatakowana organizacja zapłaci okup w żądanej wysokości. Lukratywność i raptowność to główne cechy tego modelu. Ofiary mogą bardzo szybko zauważyć złamanie zabezpieczeń systemu i są postawione w sytuacji, w której muszą jakoś rozwiązać problem, aby kontynuować normalne funkcjonowanie. Nie jest to jednak model doskonały z perspektywy atakującego. Utrzymanie ciągłego strumienia przychodów opiera się na znajdowaniu kolejnych ofiar, co wymaga czasu i zasobów.
Konsekwentne prowadzenie działań w systemie ze złamanymi wcześniej zabezpieczeniami może być bardziej wartościowe niż jednorazowe ataki z wykorzystaniem ransomware. Przejmowanie zasobów z przejętych systemów było taktyką stosowaną przez wiele pierwszych botnetów. Podczas tych ataków, koordynator botnetu kradł zasoby, w tym przepustowość sieci, poprzez wysyłanie spamu lub przeprowadzanie ataków typu denial-of-service z systemów swoich zainfekowanych ofiar. W ostatnich latach napastnicy opracowali koparki kryptowalutowe, które służą do kradzieży zasobów obliczeniowych z cudzych systemów. Wydobywanie kryptowalut wymaga wielkich ilości mocy obliczeniowej do rozwiązywania kryptograficznych wyzwań, niezbędnych do pozyskiwania nowych tokenów kryptowalutowych. Stworzenie i obsługa legalnych urządzeń obliczeniowych do wykonywania tych zadań nie należą do tanich inwestycji.
Z drugiej strony – przywłaszczenie cudzych zasobów do tego samego celu jest łatwe. Z tego też względu eksperci badający krajobraz cyberbezpieczeństwa coraz częściej zauważają rozwój złośliwego oprogramowania kryptominingowego, które jest jednym z wielu procesów w tle – z tą różnicą, że ten konkretny kradnie zasoby, aby zwiększyć zawartość portfela cyberprzestępcy. Chociaż zysk z pojedynczego systemu przejętego w ten sposób jest niewielki, napastnicy mogą być obecni w strukturach przez dłuższy czas, w ten sposób mając pod swoją kontrolą wiele cudzych serwerów.
„Coraz powszechniejsze wdrażanie inteligentnych systemów w domach i miejscach pracy oznacza, że użytkownicy instalują wiele małych urządzeń komputerowych podłączonych do sieci, nie zastanawiając się, jak mogą chronić i monitorować te urządzenia. Jedno jest pewne: ludzie ze złymi intencjami będą dążyć do złamania zabezpieczeń i wykorzystania tych systemów do swoich celów – prawie na pewno poprzez kradzież ich mocy obliczeniowej i łączności sieciowej.” – tłumaczy Martin Lee z Cisco Talos.
Trzymaj rękę na pulsie zmian
W ciągu ostatnich dwóch lat zaobserwowano długofalowe trendy związane z częstszym wykorzystaniem modelu pracy zdalnej i korzystania z usług dostarczanych w chmurze, rynek których znacząco się rozwinął podczas pandemii COVID-19 z uwagi na powszechność wykonywania obowiązków służbowych na odległość. W sytuacji, gdy dostęp do użytkowników oraz systemów, coraz częściej znajduje się poza tradycyjnym środowiskiem biurowym, coraz ważniejsze staje się pytanie o sposób uwierzytelniania użytkowników.
Nazwy użytkownika i hasła nigdy nie były szczególnie bezpiecznym mechanizmem weryfikacji tożsamości użytkowników. Użytkownicy są skłonni do ujawniania tych danych nieświadomie, np. podczas ataków socjotechnicznych. Badania wykazały nawet, że są osoby, które chętnie podzielą się swoimi danymi dostępowymi w zamian… za czekoladowy smakołyk. Konsekwentne korzystanie z systemów starej daty, złe wybory dokonywane podczas implementacji systemu lub nieadekwatne algorytmy „hashujące” również pozwalają atakującym na zebranie ogromnego zbioru nazw użytkowników i par haseł w formie zwykłego tekstu (plaintext).
W tym kontekście, korzystanie z uwierzytelniania wieloskładnikowego oferuje dodatkową warstwę bezpieczeństwa. Oprogramowanie, takie jak Cisco Duo wymaga od użytkowników dodatkowego potwierdzenia ich tożsamości za pomocą innej metody logowania, takiej jak reakcja na powiadomienie na urządzeniu mobilnym. To świetny sposób uwierzytelniania użytkowników, ponieważ w dobie powszechnego wykorzystania smartfonów, łatwo zauważyć, gdy nie mamy ich pod ręką lub w pobliżu. Nowe technologie umożliwiają dodatkowe zabezpieczenie tych urządzeń z wykorzystaniem biometrii, np. poprzez odcisk palca.
Jednakże, rozpoznawanie biometryczne opiera się na bezpiecznym „łańcuchu kontroli” (chain of custody). Urządzenie, które odczytuje odcisk palca, musi być bezpieczne, oprogramowanie, które łączy się z urządzeniem odczytującym odcisk palca, musi być bezpieczne, podobnie jak połączenie, które przekazuje wynik do systemu uwierzytelniającego. A bezpieczeństwa żadnego z tych elementów nie można uznawać za pewnik.
„Jeden z naszych eksperymentów wykazał, że możliwe jest wydrukowanie w technologii 3D odcisku palca, który oszuka systemy biometryczne, identyfikujące użytkownika na podstawie jego linii papilarnych. Taka metoda działania wymaga tylko posiadania skanu odcisku palca użytkownika oraz zwykłego sprzętu do druku 3D, z którego korzystać może każdy konsument. Oznacza to, że każda osoba z odpowiednimi zasobami, która ma złe intencje, może opracować techniki klonowania odcisków palców w celu oszukiwania systemów rozpoznawania biometrycznego.” – mówi Martin Lee z Cisco Talos.
Chociaż biometria oferuje dodatkową metodę uwierzytelniania, użytkownicy powinni być świadomi faktu, że świat tej technologii otwiera również możliwości dla nowych typów ataków.
Nieustanny rozwój
Wraz z rozwojem wykorzystania technologii i możliwości cyberprzestępców, zmienia się również krajobraz zagrożeń, z którymi mają do czynienia użytkownicy. Eskperci Cisco Talos nieustannie monitorują sytuację, a informacje o potencjalnych wyzwaniach wspierają działanie systemów bezpieczeństwa firmy Cisco. Analitycy zajmujący się reagowaniem na incydenty chętnie dzielą się przy tym pozyskaną wiedzą. W ten sposób mogą wspierać organizacje w minimalizowaniu liczby zagrożeń oraz przygotowywaniu się na nie z wyprzedzeniem. W efekcie, gdy już dojdzie do incydentu, sytuację można łatwo i sprawnie rozwiązać.
Zarówno technologie, jak i taktyki stosowane przez cyberprzestępców podlegają nieustannej ewolucji – z tego względu Cisco kładzie tak duży nacisk na to, by zagwarantować, że zabezpieczenia firmy są adekwatne do zagrożeń, z którymi spotykają się użytkownicy.