Być mądrym po szkodzie

Najbardziej spektakularne przykłady włamań

Wśród najnowszych, spektakularnych przykładów zagrożeń, warto wymienić atak na firmę Target, wykrycie chińskiej grupy hakerów działającej najprawdopodobniej pod kontrolą rządu oraz złośliwego oprogramowania Careto, które przez ponad 5 lat wykradało dane z firm i instytucji rządowych w wielu krajach.

Oprogramowanie wykorzystane w nagłośnionym ostatnio ataku na firmę Target zostało tak zaprojektowane by mogło uniknąć wykrycia przez programy anty-wirusowe. Pod tym kątem okazało się bardzo skuteczne. Jak wynika z testów przeprowadzonych przy wykorzystaniu usług dostępnych na stronie www.virustotal.com, ponad 40 różnych narzędzi anty-wirusowych nie było w stanie wykryć zagrożenia.

Zobacz również:

  • Krajobraz zagrożeń mijającego roku – podsumowanie Cisco
  • Amerykański Sidewalk firmy Amazon może być cenny dla biznesu

Z kolei FireEye opublikowała w grudniu raport przedstawiający szczegóły cyberszpiegowskiego ataku, którego celem były Ministerstwa Spraw Zagranicznych krajów europejskich „Operation Ke3chang: Targeted Attacks Against Ministries of Foreign Affairs”.

Być mądrym po szkodzie

Z kim walczymy? Atak na New York Times…

Źródło: conanthedestroyer.net.

Według FireEye, hakerzy stojący za atakami działają najprawdopodobniej z terenu Chin i są aktywni od początku 2010 roku.

Specjalistom z firmy udało się m.in. włamać do jednego z 23 znanych im serwerów sterujących C&C wykorzystywanych przez hakerów i przez tydzień kontrolować ich działania. Wśród zaatakowanych celów, FireEye zidentyfikowała 9 włamań do ministerstw w 5 krajach europejskich (w 8 przypadkach były to Ministerstwa Spraw Zagranicznych).

Najnowszym przykładem zakończonej sukcesem kampanii APT o charakterze szpiegowskim jest Careto (po hiszpańsku: maska). Informacje o tym ataku opublikowała w lutym 2014 roku firma Kaspersky Labs prezentując szczegółowe informacje o jego technice oraz ofiarach (Unveiling “Careto” - The Masked APT).

Kod Careto był aktywny przez ponad 5 lat w 380 firmach i instytucjach znajdujących się w 31 państwach (w tym 4 adresy IP ofiar wskazują na Polskę). W porównaniu do liczb prezentowanych przy okazji innych ataków, mogłoby to wydawać się znikomym zagrożeniem. Ale Caret był ukierunkowany na specyficzne cele takie jak: instytucje rządowe, ambasady i misje dyplomatyczne, firmy z branży energetycznej, gazowej oraz zajmujące się wydobyciem i przetwórstwem ropy naftowej, instytuty badawcze, firmy zajmujące się inwestycjami na rynku papierów wartościowych, a także organizacje skupiające różnego rodzaju aktywistów.

Zdaniem analityków z Kaspersky Labs, Careto pod względem technicznego zaawansowania znacznie wyprzedza wcześniej wykryte kody szpiegowskiego oprogramowania Duqu, Gauss, RedOctober lub Icefog. Jego autorzy wykorzystali szeroki zakres technik istotnie utrudniających wykrycie złośliwego oprogramowania (5 lat funkcjonowania jest dowodem wyjątkowo dużej skuteczności), a także zastosowali profesjonalne mechanizmy monitorowania infrastruktury obsługującej Careto, usuwania kodu, gdy pojawia się zagrożenie jego wykrycia, a także zacierania śladów przez dokładne czyszczenie logów, a nie tylko standardowe ich usuwanie.

Careto został wykryty, bo jego autorzy wprowadzili mechanizm wykorzystywania luki w starych wersjach anty-wirusowego oprogramowania Kaspersky Labs (załatanej przez producenta w 2008 roku) do unikania wykrycia kodu. To zwróciło uwagę specjalistów z tej firmy, którzy zaczęli poszukiwanie źródła odpowiedzialnego za to działanie i w końcu sami zaatakowali serwery C&C obsługujące Careto.

W jakim zakresie grupy cyberprzestępcze są inspirowane przez organizacje rządowe na razie pozostaje tajemnicą. A większość firm i ekspertów ds. bezpieczeństwa wyraźnie unika zaangażowania się nawet w same spekulacje na ten temat.

Na początku stycznia 2014 roku, gdy cyberprzestępcy zorientowali się, że są śledzeni przez specjalistów z Kaspersky Labs, natychmiast rozpoczęli zamykanie serwerów C&C i obecnie żaden z wykrytych przez tą firmę serwerów nie jest już aktywny. Choć nie wiadomo czy nie działają jeszcze jakieś inne. Publikacja Unveiling “Careto” - The Masked APT ułatwia analizę systemów IT pod kątem ewentualnej obecności specyficznych kodów Careto.

Wydaje się wysoce prawdopodobne, że za ten atak odpowiada grupa finansowana przez któryś z rządów, ale analitycy z Kaspersky Labs nie mają żadnych dowodów i podejrzeń pozwalających nawet na przypuszczalne wskazanie jego autorów, choć jednocześnie sugerują, że mało prawdopodobne jest by za Careto odpowiedzialne były Rosja, Chiny lub USA. Podkreślają też, że znajdujące się w kodzie elementy języka hiszpańskiego mogą być tylko zasłoną dymną, a oprócz tego język ten jest stosowany w 21 krajach na świecie.

Jak się bronić przed zagrożeniem?

Tu warto polecić opracowanie poświęcone metodom obrony przed zagrożeniami APT opublikowane w 2009 przez Lockheed Martin „Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”

Podstawowe fazy ataków APT według CSO

1. Rekonesans, analiza luk w systemie i optymalnych metod ich wykorzystania (Reconnaissance)

2. Przygotowanie złośliwego kodu i określenie efektywnej metody jego dostarczenia do atakowanego systemu (Weaponization & Delivery)

3. Dostarczenie kodu i jego instalacja w systemie (Exploitation and Installation)

4. Rozpoczęcie działań związanych z wykradaniem informacji (Command & Control)

5. Uruchomienie procesu wysyłania danych na zewnątrz (Exfiltration)

W ostatnich latach publikacja ta zyskała miano opracowania tworzącego praktyczne standardy wyjaśniające jak funkcjonują zaawansowane kampanie APT i jak można im przeciwdziałać.

Jeśli ktoś interesuje się szczegółami dotyczącymi podstawowych zasad będących podstawą funkcjonowania większości znanych zagrożeń APT, to można też polecić serię artykułów na ten temat opublikowanych przez amerykańskie wydawnictwo CSO (www.csoonline.com).

Opisano w nich pięć podstawowych faz charakterystycznych dla funkcjonowania i rozwoju większości znanych ataków APT, a także metody i narzędzia, które mogą umożliwić wykrycie i przeciwdziałanie zagrożeniom.

Rośnie liczba ataków DDoS na centra danych

Według Worldwide Infrastructure Security Report opublikowanego pod koniec stycznia 2014 roku przez firmę Arbor Networks, liczba ataków DDoS na firmowe centra danych istotnie ostatnio wzrosła. W 2012 roku doświadczyła ich mniej niż połowa wszystkich firm, a w 2013 aż 70%. Dane te są wynikają z analiz ankiet przeprowadzonych wśród klientów Arbor Networks oraz informacji zebranych przez jej globalny system monitoringu Atlas.

Aż 26% przedstawicieli firm przyznało, że w 2013 roku najpoważniejsze ataki DDoS na ich systemy miało natężenie przewyższające całkowitą przepustowość łączy. W porównaniu do 2012 roku nastąpił 2-krotny wzrost liczby takich wypadków. A 10% firm odnotowało więcej niż 100 prób takich ataków miesięcznie.

Jak wynika z raportu, 83% operatorów centrów danych jest w stanie monitorować ataki DDoS do poziomu 3-4-tej warstwy sieci, a jedynie 23% dysponuje narzędziami do kontroli aplikacyjnej warstwy 7.

Dodatkowo analitycy Arbor Networks odnotowali wśród użytkowników tendencję do odpierania DDoS przy wykorzystaniu zapór sieciowych (56%) i systemów IDS/IPS (42%). W praktyce oznacza to najprawdopodobniej działania polegające na zamykaniu niektórych portów lub filtrowania ruchu o określonym typie. Choć taka reakcja może czasami dać pozytywny skutek w blokowaniu DDoS, ale niestety prowadzi również do zablokowania działania użytecznych aplikacji i usług.

“Menedżerowie IT i zespoły odpowiedzialne za bezpieczeństwo w firmowych centrach danych muszą stawić czoła wysoko wykwalifikowanym i cierpliwym przeciwnikom oraz dynamicznie zmieniającym się rodzajom zagrożeń. Jednocześnie nie ma jednej, magicznej metody przeciwdziałania, rozwiązania lub narzędzia, które pozwoliłyby na zabezpieczenie systemu. Przekonanie, że sama technologia wystarczy by zabezpieczyć sieć przed atakami, jest błędem. W ograniczeniu lub eliminacji zagrożeń pomóc mogą tylko wielo-warstwowy system ochrony, a także wdrożenie najlepszych znanych praktyk w odniesieniu zarówno do działań ludzi jak i procesów biznesowych” mówi Matthew Moynahan, prezes Arbor Networks.


TOP 200