Η ομάδα απόκρισης περιστατικών της Kaspersky εντόπισε, μελέτησε και αργότερα εμπόδισε μια επίθεση σε οργανισμό πελάτη της, η οποία έλαβε χώρα από το 2017 μέχρι και το 2019 και οδήγησε σε μια μεγάλη διαρροή εμπιστευτικών δεδομένων. Ο λογαριασμός ενός τοπικού διαχειριστή παραβιάστηκε λόγω αμέλειάς του να αλλάζει τακτικά τον κωδικό πρόσβασης.
Αυτό επέτρεψε στους επιτιθέμενους να διεισδύσουν στο σύστημα, να παραβιάσουν έναν αριθμό σταθμών εργασίας, να δημιουργήσουν ένα «backdoor» και να συγκεντρώσουν δεδομένα απαρατήρητοι.
Κάθε οργανισμός, από μικρές μέχρι μεγάλες επιχειρήσεις, είναι επιρρεπής σε κυβερνοεπιθέσεις, ανεξάρτητα από την τεχνική επιδεξιότητα της εταιρείας ή τα προσόντα της ομάδας ασφάλειας πληροφοριών, απλά λόγω του ανθρώπινου παράγοντα. Το τελευταίο αυτό περιστατικό που χειρίζονται οι ειδικοί της Kaspersky αποδεικνύει για άλλη μια φορά ότι ακόμη και το ελάχιστο δείγμα ανευθυνότητας από έναν εργαζόμενο μπορεί να οδηγήσει σε μια επίθεση που μπορεί να προκαλέσει σημαντική βλάβη σε έναν οργανισμό.
Ο πελάτης, μια μεγάλη επιχείρηση, προσέγγισε τους ερευνητές της Kaspersky έπειτα από τον εντοπισμό ύποπτων διεργασιών στο εταιρικό δίκτυο. Η επακόλουθη έρευνα αποκάλυψε ότι το σύστημα είχε παραβιαστεί μέσω του λογαριασμού του τοπικού διαχειριστή (adm_Γιάννης), ο οποίος χρησιμοποιήθηκε για τη φόρτωση μιας κακόβουλης δυναμικής βιβλιοθήκης και αργότερα για την κλοπή δεδομένων από το σύστημα. Ενώ παρέμεινε ασαφής ο τρόπος με τον οποίο ο λογαριασμός του διαχειριστή παραβιάστηκε αρχικά, η αδράνεια του χρήστη επέτρεψε την επίθεση να επιμείνει για ένα τόσο εκτεταμένο χρονικό διάστημα. Ο διαχειριστής διατήρησε τον κωδικό πρόσβασης αμετάβλητο για όλη τη διάρκεια της επίθεσης, αντί να τον ανανεώνει κάθε τρεις μήνες – όπως συνιστάται από την πολιτική ασφάλειας της εταιρείας. Αυτό παρείχε στους επιτιθέμενους συνεπή πρόσβαση στα συστήματα του στόχου και είχε ως αποτέλεσμα τη διαρροή χιλιάδων εμπιστευτικών αρχείων.
Για να μάθει περισσότερα σχετικά με την επίθεση και να μειώσει τις ζημιές που είχαν ήδη προκληθεί από τους εγκληματίες, ο οργανισμός-στόχος και η ομάδα ασφάλειας της Kaspersky αποφάσισαν να παρακολουθήσουν τις δραστηριότητες των κυβερνοεγκληματιών αντί να τις σταματήσουν αμέσως. Η ανάλυση βοήθησε να προσδιοριστεί ότι τα συστήματα διαφόρων οργανισμών βρίσκονταν σε κίνδυνο από το 2017 έως και το 2019.
Οι επιτιθέμενοι εισήλθαν στο σύστημα χρησιμοποιώντας τον λογαριασμό του διαχειριστή και ανέβασαν κακόβουλα αρχεία απευθείας στο δίκτυο. Τα αρχεία περιλαμβάνουν μια δυναμική βιβλιοθήκη, καθώς και downloaders κι ένα backdoor. Αυτά τα κακόβουλα αντικείμενα ήταν κρυμμένα στο σύστημα μέσω μιας τροποποίησης των συντομεύσεων στην επιφάνεια εργασίας, στο μενού έναρξης και στη γραμμή εργασιών. Μετά την τροποποίηση, όταν κλίκαραν στη συντόμευση, ένα κακόβουλο αρχείο ξεκινούσε πριν από το αρχικό εκτελέσιμο αρχείο της εφαρμογής, το οποίο επέτρεψε στους κυβερνοεπιτιθέμενους να κρύψουν την ύποπτη δραστηριότητα από το σύστημα ασφάλειας του οργανισμού.
Ο τρόπος με τον οποίο χρησιμοποιήθηκε το backdoor – για να καταστεί δυνατή η πλήρης πρόσβαση στο «μολυσμένο» σύστημα – παρουσίασε το μεγαλύτερο ενδιαφέρον για τον πελάτη και τους ερευνητές. Περαιτέρω ανάλυση έδειξε ότι ξεκίνησε διάφορες εντολές και αναζήτησε αρχεία χρησιμοποιώντας λέξεις-κλειδιά και επεκτάσεις. Επίσης, διατήρησε την παρακολούθηση των metadata από τα αρχεία που είχαν «κατεβάσει» σε προηγούμενο στάδιο. Αξίζει να σημειωθεί ότι το backdoor δημιουργήθηκε ειδικά για αυτή την επίθεση, χωρίς να έχουν εντοπιστεί άλλες περιπτώσεις που να το έχουν χρησιμοποιήσει για πάνω από έναν χρόνο. Επιπλέον παρακολούθηση επέτρεψε επίσης στον οργανισμό να μάθει πώς παραβιάστηκαν τα συστήματα και πώς οι συντομεύσεις τροποποιήθηκαν σε κακόβουλα αρχεία και να δημιουργήσει έναν μεγάλο αριθμό δεικτών για αυτήν τη συγκεκριμένη επίθεση.
«Η υπόθεση αυτή κατέδειξε ότι η συνεργασία εντός της βιομηχανίας παραμένει πιο σημαντική από ποτέ, καθώς βοηθά στην απόκτηση πολύτιμων γνώσεων, στην αποτροπή παρόμοιων επιθέσεων και στη συνέχιση της καταπολέμησης του κυβερνοεγκλήματος αποτελεσματικότερα. Καθώς οι εγκληματίες γίνονται πιο δημιουργικοί στις τακτικές και τις τεχνικές τους, πρέπει να επεκτείνουμε το έργο που κάνουμε μαζί, προκειμένου να είμαστε σε θέση να εντοπίζουμε απειλές σε πρώιμα στάδια και να προστατεύουμε τους χρήστες και τους οργανισμούς», σχολίασε ο Pavel Kargapoltsev, ειδικός ασφάλειας στην Kaspersky.
Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.com.
Για την προστασία του οργανισμού από στοχευμένες επιθέσεις όπως αυτή, η Kaspersky συνιστά:
Χρησιμοποιήστε MITRE ATT&CK matrix και STIX format για να εντοπίσετε επιθέσεις σε πρώιμα στάδια.
Εφαρμόστε λύσεις EDR (Endpoint Detection and Response) για την ανίχνευση σε επίπεδο τερματικού σημείου, διερεύνηση και έγκαιρη αποκατάσταση των περιστατικών.
Εκτός από την υιοθέτηση ουσιαστικής προστασίας τερματικού σημείου, εφαρμόστε μια λύση ασφάλειας εταιρικού επιπέδου που εντοπίζει προηγμένες απειλές στο επίπεδο του δικτύου σε πρώιμο στάδιο.
Υποβάλετε αίτηση για ειδικούς εκτός εταιρείας αν η εσωτερική σας ομάδα ασφαλείας είναι περιορισμένη σε πόρους για να κυνηγήσει προληπτικά αντιπάλους και να καταστρέψει τις απειλές πριν γίνει η ζημιά.
Εισάγετε εκπαίδευση ευαισθητοποίησης για όλους τους εργαζομένους.
Σημείωση: όλα τα ονόματα και τα στοιχεία ταυτοποίησης έχουν αλλάξει για την προστασία του απορρήτου των ατόμων και του οργανισμού.