bezpieczenstwo.jpg

Wektor ataku APT przy wysyłaniu CV e-mailem

Rekrutacja pracowników może okazać się zgubna, o ile nie zostaną zapewnione odpowiednie środki ochrony 

Obecnie praktycznie każda firma na co dzień prowadzi rekrutację pracowników, która zwykle przebiega w dość standardowy sposób, tj. przygotowuje się ogłoszenie i umieszcza na różnych serwisach internetowych, w tym wyspecjalizowanych w ogłoszeniach o pracę. Oczywiście są firmy, które korzystają z usług firm zewnętrznych, które dla nich poszukują osób o określonych kwalifikacjach i wymaganiach. Nie zmienia to jednak zasadniczo nic w wektorze ataku APT przy wysyłaniu CV e-mailem.

Można powiedzieć, że dziennie krąży w sieci dziesiątki tysięcy dokumentów w formacie PDF lub DOC zawierających życiorysy osób składających swoje aplikacje do różnych firm i instytucji, w odpowiedzi na ogłoszenia rekrutacyjne opublikowane na stronach internetowych, gdzie podano dokładne informacje o tym, w jaki sposób można zgłosić swoją kandydaturę na określone stanowisko.

Okazuje się, że fakt ten został zauważony przez cyberprzestępców, którzy tworzą fałszywe CV w oparciu o dane dostępne w sieci i dodają do takiego pliku PDF lub DOC złośliwy kod, po czym wysyłają takie CV na adres podany w ogłoszeniu, czy też dodają CV w serwisie rekrutacyjnym pracodawcy, który pozostaje w ich zainteresowaniu.

Generalnie wektor ataku APT (Advanced Persistent Threats) przy wysyłaniu CV e-mailem składa się z kilku kroków:

  1. Cyberprzestępca przygotowuje od jednego do kilku fałszywych CV wraz ze złośliwym kodem (niekoniecznie każdy dokument ma ten sam kod), po czym wysyła z różnych adresów email lub kont w serwisie rekrutacyjnym dokumenty na wskazany adres w ogłoszeniu (z reguły przy tego typu operacji ukrywa również swój adres IP).
  2. Kolejno, czeka na efekty swojej pracy, czyli obserwuje, czy któryś z dokumentów został otwarty i czy wykonał się złośliwy kod w taki sposób, że uzyskał dostęp przez lukę w zabezpieczeniach np. poczty elektronicznej, sieci, plików lub aplikacji.
  3. W momencie, kiedy któreś z CV ze złośliwym kodem wykonało swoją pracę poprzez umożliwienie cyberprzestępcy dostęp do systemu, umieszcza on złośliwe oprogramowanie w sieci organizacji (na routerach, laptopach, komputerach stacjonarnych, serwerach, smartfonach, itd.), przy czym nie jest to najczęściej tylko i wyłącznie jeden złośliwy kod, ale kilka, aby zapewnić, że cyberatak będzie mógł być kontynuowany nawet w przypadku, kiedy jakiś punkt zdalnego nielegalnego dostępu, który stworzył sobie cyberprzestępca zostanie zamknięty.
  4. Oprogramowanie to może być dość zaawansowane i pozwalać cyberprzestępcy na przeprowadzenie zdalnego szczegółowego rekonesansu sieci, w tym zidentyfikowanie luk w zabezpieczeniach, czy nawet komunikowanie się z serwerami organizacji, w celu przekazywania dodatkowych instrukcji i/lub kolejnego złośliwego kodu lub nowszej jego wersji.
  5. W momencie, kiedy cyberprzestępca ustanowi taki zdalny, nielegalny dostęp do sieci danej organizacji, dokonuje - najczęściej w sposób nieusystematyzowany, aby nie zostać wykrytym - penetracji zasobów informacyjnych poprzez gromadzenie na swoim zewnętrznym serwerze wszelkich ważnych dla niego i dla organizacji danych, w tym również danych autoryzacyjnych.
  6. Cyberprzestępca z reguły nie wykonuje żadnych operacji na danych przy wykorzystaniu złośliwego oprogramowania zainstalowanego w sieci inwigilowanej organizacji, tylko je pobiera poprzez np. uczestniczenie w sposób niezauważalny (MiTM) w komunikacji pomiędzy użytkownikami, systemami, bazami danych a użytkownikiem.
  7. Po zakończeniu zadania, czyli pobrania wszystkich interesujących danych, cyberprzestępca rzadko usuwa złośliwe oprogramowanie, ponieważ zawsze może jeszcze tam wrócić lub zhandlować taki dostęp innemu cyberprzestępcy.

Warto zaznaczyć, że ataki APT są zwykle skierowane przeciwko organizacjom o wartości strategicznej przez co najczęściej są ukierunkowane na instytucje i organizacje działające w sektorze obronnym, finansowym, przemysłowym, oraz farmaceutycznym i biotechnologicznym, co wynika z faktu, że tego typu podmioty gromadzą i przetwarzają informacje o dużej wartości, jak np. dane podlegające ochronie własności intelektualnej, w tym prawa własności przemysłowej (patenty, wzory użytkowe, wzory, znaki towarowe, itd.), prawa autorskie obejmujące oryginalne prace naukowe, strategie handlowe, jak np. tajemnice handlowe, umowy o zachowaniu poufności lub szybka produkcja np. jakiegoś skutecznego leku. Biorąc pod uwagę zasoby niezbędne do zaangażowana w przeprowadzanie takiego trwałego ataku, oprócz dość wyrafinowanej wiedzy specjalistycznej, APT są zazwyczaj wspierane przez jakieś obce państwo i mogą być wykorzystywane do szpiegostwa, a nawet wojny cybernetycznej.

Celem większości ataków APT jest uzyskanie i utrzymanie stałego, w miarę jak najdłużej trwającego dostępu do docelowej sieci, a nie koniecznie szybka kradzież danych i zdewastowanie skompromitowanego systemu. Wynika to z tego, że aby uzyskać taki zdalny dostęp należy przeznaczyć nierzadko na przeprowadzanie ataku APT wiele wysiłku i zasobów oraz czasu, przez co cyberprzestępcy zazwyczaj skupiają się na dużych korporacjach i na tym, aby pozyskiwać w sposób nielegalny dane przez dłuży okres.

Ataki APT często wykorzystują zaawansowane metody, w tym ukierunkowane działania typu spear phishing, techniki inżynierii społecznej, a także dość wyrafinowane exploity tzw. zero-day exploit, czyli takie, dla których luka w zabezpieczeniach oprogramowania co prawda znana jest producentowi oprogramowania, ale nie posiada jeszcze łatki umożliwiającej naprawienie usterki. Poza tym nierzadko, aby utrzymać dostęp do docelowej sieci cyberprzestępcy nieustanie przepisują złośliwy kod w celu uniknięcia wykrycia, a także stosują inne wyrafinowane techniki pozwalające im jak najdłużej pozostawić w ukryciu zainstalowany złośliwy kod w sieci organizacji, którą inwigilują. Niektóre APT są tak złożone, że wymagają pełnoetatowych administratorów, aby utrzymać zagrożone systemy i złośliwe oprogramowanie w docelowej sieci.

Tradycyjne środki bezpieczeństwa cybernetycznego, takie jak np. zapory sieciowe i programy antywirusowe, nie chronią przed atakiem APT. Pojawiają się co prawda na rynku różne rozwiązania, takie jak np. model Adaptive Defense zaproponowany przez FireEye i Europol, mający m.in. na celu zapobieganie i ochronę przed cyberatakami w zróżnicowany, skoordynowany i efektywny sposób, ale w sumie to nie za bardzo wiadomo z jakiego powodu należałoby takie rozwiązania uznać za godne zaufania, ponieważ wiadome jest, że skuteczność tego typu zabezpieczeń jest zależna od wdrożonego mechanizmu korelacji i zarządzania zagrożeniami. Jedynym pocieszeniem dla większości osób jest to, że ataki APT z reguły są wyspecjalizowane i ukierunkowane na określony cel oraz realizowane przez wykwalifikowanych, zorganizowanych oraz dobrze finansowanych cyberhackerów, którzy raczej będą się skupiać na wielkich korporacjach lub systemach rządowych, którzy to posiadają interesujące zasoby, ale też i środki na stosowne zabezpieczenia oraz stałe monitorowanie swoich zasobów, niż na przeciętnym obywatelu, który nie za bardzo posiada jakieś istotne zasoby, a tym bardziej wystarczającą wiedzę techniczną i środki, aby na bieżąco wdrażać odpowiednie zabezpieczenia.

W przypadku wektora ataku APT przy wysyłaniu CV e-mailem, to najlepszym sposobem wydaje się odbieranie tego typu wiadomości na zupełnie fizycznie odseparowanym sprzęcie od sieci wewnętrznej korporacji, wyposażonym w aktualne oprogramowanie antywirusowe i zabezpieczające. Poza tym, tak jak każda firma, tak i każdy indywidualny użytkownik powinien przede wszystkim na bieżąco uzyskiwać wgląd w to, które zasoby informacyjne, aplikacje i/lub usługi są najbardziej ważne i wymagają największej ochrony w przypadku, gdy otoczenie jest podatne na atak APT. Wynika to z faktu, że świadomość ważności aktywów jest pierwszym krokiem do obrony przed atakiem APT, ponieważ wówczas można inaczej zorganizować używanie tych aktywów, a nawet przenieść je w inne otoczenie.

 

źródło: Threat Spotlight: Emailed Resumes and Advanced Persistent Threats

 

Advanced Persistent Threat Attack Detection: An Overview

Advanced Persistent Threats and Real-Time Threat Management

Anatomy of Advanced Persistent Threats

A Study on Advanced Persistent Threats

 

Uwaga 

Zamieszona treść przeznaczona jest wyłącznie do celów badania bezpieczeństwa i nie może być wykorzystana w jakikolwiek sposób niezgodny z prawem.

Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.

Kontakt

Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

UWAGA! Ten serwis używa cookies i podobnych technologii.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Zrozumiałem