Duchy w firmowej sieci

Firmy doświadczają różnych ataków, od zalewu spamem i powszechnym phishingiem, aż po zaawansowane zagrożenia klasy APT, które są dobrze przemyślane, selektywne, trudne do wykrycia i wykorzystują więcej niż jedną podatność.

Duchy w firmowej sieci
Duchy w firmowej sieci

Większość naruszeń bezpieczeństwa w firmach dotyczy pospolitego złośliwego oprogramowania przeznaczonego do kradzieży informacji lub podobnych działań. Komputery firmowe są infekowane przy okazji, gdyż głównym celem przestępców internetowych nadal jest segment finansowy i komputery końcowych użytkowników korzystające z bankowości elektronicznej. Każda firma powinna zapewnić sobie ochronę przed podobnym atakiem, gdyż kradzież danych z przedsiębiorstwa najprościej przeprowadzić za pomocą złośliwego oprogramowania. Niesie to ze sobą również najmniejsze ryzyko ewentualnych konsekwencji.

W porównaniu do masowych infekcji o wiele rzadsze są zdarzenia związane z atakami klasy militarnej podejmowanymi przeciw organizacjom komercyjnym (lub rzadziej społecznym czy z sektora publicznego). Ataki te są realizowane za pomocą zaawansowanych środków, wliczając wykorzystywanie wielu nieznanych dotąd podatności. Napastnicy utrzymują przez dłuższy czas kontrolę nad systemem IT w danej firmie, a wszystkie potrzebne informacje są dyskretnie przesyłane do osób kontrolujących działanie złośliwego oprogramowania. W odróżnieniu od pospolitych botnetów, po drugiej stronie ataku APT zawsze stoi człowiek, jest nim zazwyczaj specjalista do spraw bezpieczeństwa. Zna on doskonale podatności i procedury, a po rozpoznaniu infrastruktury IT w firmie jego działania stają się niewidoczne dla administratorów. Najbardziej nagłośnionymi atakami APT była penetracja programu nuklearnego za pomocą robaka Stuxnet, a także kradzież informacji z firmy RSA przeprowadzona po to, by włamać się do firm związanych z sektorem obronnym, takich jak Lockheed Martin czy General Dynamics. W każdym przypadku atak klasy APT jest dobrze przemyślany, wysoce selektywny, wykorzystujący więcej niż jedną podatność. Jest także trudny do wykrycia.

Atakowano nie tylko RSA

Chociaż najsłynniejszym atakiem APT była kradzież z firmy RSA kodów umożliwiająca obejście dwuskładnikowego uwierzytelnienia tokenem SecurID, pierwszym szeroko omawianym atakiem tego typu była operacja Aurora przeprowadzona przeciw Google i Adobe w latach 2009 i 2010. Atak przeprowadzono za pomocą wiadomości rozsyłanych przez komunikatory internetowe oraz pocztą elektroniczną. Zawierały one linki wskazujące na serwer, na którym hostowano kod JavaScript. Kod ten wykorzystywał podatność dnia zerowego w przeglądarce Internet Explorer, a następnie pobierał złośliwe oprogramowanie i dołączał przejętą maszynę do podziemnej sieci – botnetu. Napastnicy prawdopodobnie pochodzili z Chin.

APT w trzech krokach

Pierwszym krokiem ataku jest uzyskanie dostępu do infrastruktury firmy. Po przełamaniu zabezpieczeń następuje eksploracja sieci firmowej, by pozyskać dostęp do cenniejszych zasobów niż pojedyncza stacja robocza mało znaczącego pracownika. Ten etap zazwyczaj odbywa się w ukryciu, napastnicy przygotowują się do uzyskania wyższych uprawnień. Finałem jest dostęp do cennych zasobów i kradzież danych z firmy. Jeśli ryzyko wykrycia jest niewielkie, dostęp można utrzymać przez długi czas, w przeciwnym razie atak przeprowadza się szybko, by zdążyć z kradzieżą danych, zanim firmowe IT wykryje naruszenie bezpieczeństwa i przygotuje odpowiedź.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200