W odróżnieniu od rozsiewanego powszechnie złośliwego oprogramowania atak kierowany nie ma na celu utworzenia rozległego botnetu i późniejszej kradzieży danych uwierzytelnienia do bankowości elektronicznej lub wysyłania spamu. Jest to atak, w którym napastnik przygotowuje złośliwe oprogramowanie, dostosowując kod pod kątem wykorzystania podatności określonej stacji roboczej, ponieważ chodzi o przejęcie informacji, do której ma dostęp precyzyjnie wybrana osoba. Atak poprzedzony jest rozeznaniem, gdyż do powodzenia akcji zazwyczaj niezbędna jest socjotechnika.

Krzysztof Tyl, Business Solution Manager w zakresie bezpieczeństwa teleinformatycznego w firmie Qumak, mówi: „Celem ataku kierowanego są informacje o szczególnym znaczeniu i wysokiej wartości, także komercyjnej. Atak trwa długo i jest dość kosztowny, a zatem pozyskane tą drogą dane muszą przynieść na tyle duży zysk, by przewyższyć poniesione koszty. Zazwyczaj atakowane są komputery wykorzystywane przez menedżment średniego i wysokiego szczebla”.

W polskich warunkach rzadko dochodzi do podobnych ataków, głównie ze względu na koszty. Znacznie taniej jest przekupić źle opłacanego pracownika organizacji, której dane mogą być przedmiotem ataku . W miarę rozwoju technologicznego polskich firm ryzyko związane z atakami kierowanymi będzie jednak coraz bardziej wzrastać.

Informacja z sieci społecznościowych i długie przygotowania

Pierwszym etapem ataku jest określenie celu – jest nim informacja o dużej wartości, będąca w posiadaniu wybranej osoby lub wąskiej grupy osób. Aby atak kierowany się powiódł, napastnik musi zdobyć informacje o specyfice pracy i otoczeniu wytypowanej osoby. Na tej podstawie określa metodę ataku i niezbędne środki.

Krzysztof Tyl wyjaśnia: „Często stosowaną metodą infiltracji jest przejęcie kontroli nad stacją użytkownika . Aby ułatwić to zadanie, napastnicy podszywają się pod korespondencję ze znajomymi lub partnerami biznesowymi. Ofiara, widząc wiadomość rzekomo pochodzącą od znajomego, ma obniżoną czujność i ją otwiera. Wówczas w efekcie specjalnie przygotowanego działania kodustacja zostaje zainfekowana”.

Omawiany atak jest zwieńczeniem długotrwałego procesu pozyskiwania danych, przy czym niebagatelnym źródłem informacji są sieci społecznościowe. Ludzie chętnie publikują w nich informacje o sobie. LinkedIn, Facebook, GoldenLine czy NK to również doskonałe komunikatory wiadomości o znajomych wytypowanej osoby. Oprócz znajomych osobistych, określa się także relacje biznesowe oraz zainteresowania i potrzeby. Sieci społecznościowe, grupy dyskusyjne i otwarte listy mailingowe (rzadziej) są podstawowym źródłem informacji niezbędnych do rozpoznania przed atakiem kierowanym przeciw danej osobie. Proces jest długotrwały i kosztowny.

Wirus w e-mailu

Po rozpoznaniu celu kolejnym etapem jest przygotowanie i wprowadzenie złośliwego kodu wykorzystującego którąś z podatności systemu operacyjnego i aplikacji na stacjach roboczych. Kod może być stworzony samodzielnie przez napastników lub zlecony organizacji hakerskiej współpracującej ze złodziejami informacji. Załącznik można wysłać w sfałszowanym liście poczty elektronicznej, rzekomo pochodzącym od znajomego. Umieszczony tam eksploit zostaje uruchomiony, gdyż ofiara ma obniżoną czujność wobec wiadomości wysłanych przez rzekomego kolegę lub partnera biznesowego.

Krzysztof Tyl mówi: „Przyjmuje się, że celem ataku jest informacja, którą posiada wybrana osoba – prezes lub dyrektor – więc z dużym prawdopodobieństwem można przewidzieć, z jakiego oprogramowania korzysta ofiara. Środowiska biznesowe stosują podobne standardy informatyczne, więc do udanego ataku wystarczy eksploit wykorzystujący jakąś ze znanych podatności, które jeszcze nie zostały załatane. Efektem końcowym jest zarażenie stacji użytkownika wybranej osoby. Jest to pierwsza faza faktycznego ataku”.

Pozostać w ukryciu

Złośliwy kod nie może uaktywnić się od razu, gdyż systemy bezpieczeństwa momentalnie zareagują. Po zdefiniowanym czasie uśpienia następuje próba nawiązania połączenia ze znajdującym się na zewnątrz systemem kierującym atakiem w celu wysłania pierwszych zebranych informacji oraz odebrania dalszych instrukcji.

Krzysztof Tyl wyjaśnia: „Po aktywacji złośliwe oprogramowanie może rozpoznawać budowę sieci, lokalizację zasobów z pożądaną informacją, połączenia i sposoby dostępu. Następnie, na podstawie przeprowadzonego rozpoznania, rozpoczyna się kradzież informacji.. Proces ten może być długotrwały”.