Firma pod ostrzałem cyberterrorystów

Ataki APT są najpoważniejszym zagrożeniem w cyberprzestrzeni. Wykorzystują metody przeniesione z operacji militarnych.

Większość naruszeń bezpieczeństwa w firmach dotyczy pospolitego złośliwego oprogramowania przeznaczonego do kradzieży informacji lub infekującego komputery firmowe przy okazji. Głównym celem przestępców internetowych nadal jest segment finansowy i komputery końcowych użytkowników korzystające z bankowości elektronicznej.

Tymczasem niewielka liczba naruszeń bezpieczeństwa jest związana z atakami klasy militarnej podejmowanymi przeciw organizacjom komercyjnym (lub rzadziej społecznym czy z sektora publicznego). Ataki APT (Advanced Persistent Threat, czyli zaawansowane zagrożenie trwałe) są realizowane za pomocą zaawansowanych środków, wliczając wykorzystywanie wielu nieznanych dotąd podatności. Przykładami APT były ataki przeciw programowi nuklearnemu przeprowadzone za pomocą robaka komputerowego Stuxnet, a także zaawansowany atak penetracji w firmie RSA (część EMC zajmująca się bezpieczeństwem), którego zadaniem było pozyskanie informacji niezbędnych do włamania do firm takich jak Lockheed Martin czy General Dynamics. Uri Rivner, szef działu nowych technologii i ochrony tożsamości konsumentów w firmie EMC, mówi: "Najkrótszą definicją APT jest określenie ich jako selektywnego ataku klasy militarnej przeprowadzonego przeciw firmom komercyjnym. Większość atakowanych firm nawet nie wie, że takie działania są przeciw nim prowadzone".

Jedną z cech łączącą wszystkie ataki określane jako APT jest długotrwałość ich działania. Nie są to jednorazowe wybryki sieciowych aktywistów czy działania hakerskie, ale dobrze przygotowane operacje. Ataki wykorzystują wiele technik, łącząc przełamywanie podatności sprzętu i oprogramowania z socjotechniką oraz klasycznymi technikami operacyjnymi stosowanymi od lat przez służby specjalne różnych krajów. Uri Rivner wyjaśnia: "Nie wszystkie składniki muszą być równie zaawansowane - jeśli cel można osiągnąć za pomocą pospolitego phishingu, to taki sposób będzie wykorzystany - ale podmiot, który za podobnymi atakami stoi, może opracować i wykorzystać bardziej zaawansowane narzędzia, jeśli tylko będzie taka potrzeba. Może to być specjalnie przygotowany eksploit, zestaw złośliwego oprogramowania lub inne narzędzia. Często cel jest atakowany jednocześnie za pomocą różnych technik".

APT w trzech krokach

Pierwszym krokiem jest uzyskanie dostępu do pewnej części infrastruktury firmy. Po przełamaniu zabezpieczeń następuje zazwyczaj eksploracja sieci firmowej, by pozyskać dostęp do cenniejszych zasobów niż pojedyncza stacja robocza pracownika. Ten etap odbywa się w ukryciu, napastnicy zbierają loginy i hasła lub informacje o możliwych do wykorzystania lukach w bezpieczeństwie, aby uzyskać wyższe uprawnienia. Te uprawnienia umożliwiają pozyskiwanie dostępu do ważnych zasobów, zarówno po stronie IT, jak i związanych z biznesem.

Jeśli napastnik uważa, że ryzyko wykrycia jego działań jest niewielkie, operacja może być długotrwała i odbywać się w sposób potajemny. Jeśli ryzyko wykrycia jest wysokie, napastnik musi działać szybko. Musi osiągnąć ostateczny cel, jakim jest pozyskanie informacji, zanim atak zostanie wykryty i zablokowany. Ten trzeci krok - pobranie, szybkie przetworzenie i wysłanie informacji na zewnątrz atakowanej firmy - może być przeprowadzony w sposób powolny i "cichy" albo bardzo szybki, wręcz nie licząc się z możliwymi alarmami. Miejscem docelowym składowania informacji wysyłanych z firmy jest dowolny serwer, być może przejęty przez napastnika, wykorzystując różne luki w bezpieczeństwie legalnie działającego tam serwisu.

Jak włamano się do RSA

Pierwszym etapem ataku było wysłanie dwóch różnych e-maili stanowiących doskonale przygotowaną przynętę. Wiadomości te były zatytuowane "2011 Recruitment Plan" i zostały wysłane do dwóch grup pracowników, którzy nie znajdowali się wysoko na szczeblu organizacyjnym RSA. Wiadomość była na tyle dobrze opracowana, że została pobrana z foldera "Wiadomości śmieci" i otwarta. Zawarty w niej arkusz kalkulacyjny (również zatytułowany "2011 Recruitment Plan") zawierał eksploita wykorzystującego podatność Adobe Flash (CVE-2011-0609), instalując w ten sposób złośliwe oprogramowanie (Poison Ivy RAT), które następnie połączyło się z serwerem zarządzającym. Rozpoczęty proces rozpoznawania sieci i maszyn firmowych pozwolił na pozyskanie zestawu loginów, haseł i kont usług, które umożliwiły następnie atak elewacji przywilejów. Dzięki temu napastnicy mieli już wyższe uprawnienia i pozyskali dostęp do wartościowych zasobów. Zasoby te objęły nie tylko konta i serwery właściwe dla IT, ale także uprawnienia związane z biznesem.

Ponieważ napastnik zdawał sobie sprawę z możliwości wykrycia, zdecydował się na bardzo szybkie działanie - uzyskał dostęp do serwerów pośredniczących, pobrał wszystko, czego potrzebował, a następnie przeniósł do serwerów, gdzie dane zostały zagregowane, skompresowane i zaszyfrowane. Za pomocą FTP przetransferowano pliki RAR zabezpieczone hasłem z serwera RSA do przejętej zewnętrznej maszyny (hostowanej u pewnego dostawcy usług internetowych), skąd zostały pobrane i usunięte. Podstawowy cel został osiągnięty - pozyskano informacje, które następnie umożliwiły przeprowadzenie ataków między innymi przeciw firmie Lockheed Martin, jednemu z największych na świecie producentów uzbrojenia.

Jak wykryto atak

Wykrycie ataku klasy militarnej nie jest proste. Podstawowym narzędziem była tutaj wiedza ekspertów oraz korelacja zdarzeń z różnych systemów. Uri Rivner wyjaśnia: "Wykorzystaliśmy oprogramowanie NetWitness, które umożliwiło analizę zebranych informacji, ich korelację, a następnie określenie poszczególnych zdarzeń, które miały miejsce we wspomnianym ataku". Ponieważ korelacji zdarzeń nie można było przeprowadzić w bardzo krótkim czasie (nawet obecnie jest to trudne, gdyż narzędzia do analizy zdarzeń sieciowych nie zawsze radzą sobie z natychmiastową korelacją informacji pochodzących z różnych urządzeń, by wykryć nieznane dotąd ataki), napastnik prawdopodobnie posiadał okno czasowe, z którego skorzystał. Jest to ważna lekcja dla specjalistów do spraw bezpieczeństwa, którzy będą musieli coraz częściej stawiać czoła takim atakom.

Atakowano nie tylko RSA

Pierwszym szeroko omawianym atakiem tego typu była operacja Aurora przeprowadzona przeciw Google i Adobe w latach 2009 i 2010. Mechanizm ataku zakładał rozesłanie przygotowanych wiadomości rozsyłanych przez komunikatory internetowe oraz pocztą elektroniczną, zawierających linki wskazujące na serwer, na którym hostowano kod JavaScript. Kod wykorzystywał podatność dnia zerowego w przeglądarce Internet Explorer, a następnie pobierał złośliwe oprogramowanie i dołączał przejętą maszynę do sieci botów. Napastnicy, prawdopodobnie z Chin, wykorzystywali przejęte systemy do kradzieży informacji i dalszych ataków.

W kwietniu 2011 zaatakowano Narodowe Laboratoria Oak Ridge w USA, organizację zajmującą się badaniami w zakresie zastosowania energii jądrowej do celów obronności USA. Wiadomości e-mail, dostarczane do specjalnie wybranych pracowników zawierały link do złośliwego oprogramowania, wykorzystującego podatność dnia zerowego w przeglądarce Internet Explorer. Ponad 60 stacji roboczych zostało zainfekowanych, co umożliwiło napastnikom pozyskanie około gigabajta technicznych informacji. W tym samym czasie zaatakowano kilka innych laboratoriów istotnych dla obronności USA. Atak ten można powiązać także z APT przeciw RSA, gdyż ostatecznym celem obu z nich były podmioty odpowiedzialne za obronność Stanów Zjednoczonych.

Czy można się obronić przed APT

Obrona przed atakiem, który w założeniach napastnika jest skryty, a jednocześnie wykorzystuje wysoki poziom wiedzy technicznej, jest wyzwaniem. Nawet jeśli przedsiębiorstwo zainwestuje bardzo dużą ilość środków, kupując zapory sieciowe, rozwiązania IDS/IPS, oprogramowanie monitorujące oraz inne podobne narzędzia, może doświadczyć takiego ataku, przy czym napastnik jest w stanie te zabezpieczenia całkowicie ominąć. Szczególnie dotyczy to rozwiązań, które są reklamowane jako uniwersalny środek przeciw atakom APT. Uri Rivner uważa, że "nie ma obecnie narzędzia, które jak za dotknięciem czarodziejskiej różdżki ochroniłoby organizację przed APT - atakiem klasy militarnej. Przed takim atakiem trzeba się bronić w sposób skoordynowany, żaden pojedynczy produkt, obojętnie jak reklamowany, temu nie podoła".

Nie oznacza to, że organizacja nie powinna mieć narzędzi do obrony, takich jak zapory sieciowe i urządzenia IDS/IPS. W przypadku wielu firm urządzenia te są kupowane, instalowane, a następnie niemonitorowane i aktualizowane jedynie okazjonalnie. Z tego faktu korzystają napastnicy, gdyż przeprowadzają oni ataki, których prawdopodobieństwo wykrycia przez nieaktualne lub źle utrzymywane systemy jest niewielkie. Do tego należy dodać powszechnie stosowane ataki socjotechniczne, które podwyższają skuteczność ataków wykorzystujących wiedzę ściśle techniczną. Przed atakami APT można próbować się bronić, ale nie będzie to łatwe zadanie.

Arsenał obronny

W obronie przed APT najważniejsze są te narzędzia, które umożliwiają monitorowanie oraz analizę danych - krytyczne informacje dla dobrej obrony to dane o sytuacji hostów, sieci, urządzeń na styku sieci oraz zapisu ruchu przechodzącego przez te urządzenia, w tym także informacji historycznych. Aby móc określić sposób, w jaki napastnik uzyskał dostęp, niezbędna jest możliwość korelacji zdarzeń pochodzących z różnych źródeł i muszą być one analizowane na podstawie informacji źródłowych, a nie tylko najważniejszych, wysokopoziomowych zgłoszeń.

Ważnym krokiem jest wyznaczenie parametrów określających normalny stan eksploatacji infrastruktury w firmie. Stan ten może być określany przez ruch sieciowy, aktywność hostów, przetwarzane logi i inne informacje. Jeśli napastnik będzie dokładał starań, by atak pozostał niewykryty, nie wszystkie kryteria alarmu właściwe dla IDS-ów będą spełnione, ale dogłębna analiza odbiegania zapisów od stanu normalnej pracy być może umożliwi wykrycie niepokojących zjawisk. Zatem dobrze określone parametry normalnej aktywności mogą być skuteczniejsze od porównywania ruchu z sygnaturami znanych ataków. Wadą rozwiązań jest duża liczba fałszywych alarmów przy nieprawidłowym doborze parametrów.

Nie wolno jednak zapominać o tradycyjnych narzędziach, takich jak:

- zapory sieciowe, separacja sieci DMZ oraz oddzielonych podsieci w firmie;

- oprogramowanie antywirusowe z HIPS instalowane na stacjach roboczych;

- kontrola dostępu do aplikacji, a także logowanie akcji i użycia przywilejów przez użytkowników;

- szyfrowanie danych;

- szkolenia w dziedzinie bezpieczeństwa, w tym także świadomość ataków socjotechnicznych.

Narzędzia te powinny stanowić część zintegrowanego systemu, którego elementem są nie tylko programy i urządzenia, ale także ludzie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200