Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok

V médiích se objevila zpráva, že proběhl sofistikovaný kybernetický útok na ministerstvo zahraničích věcí, a že útočník měl více jak rok přístup k desítkám e-mailových schránek ministerských úředníků včetně samotného ministra.

Jaký byl v tomto případě použit vektor útoku, ministerstvo vzhledem k probíhajícímu šetření nesdělilo, pouze se omezilo na poměrně strohé konstatování, že se mělo jednat o obdobný útok, jaký byl veden v USA.

Pokud by to byla pravda, tak potom by se ale nejednalo o žádný příliš sofistikovaný útok, nýbrž o prostý spear phishing. Tím nechci nijak snižovat závažnost tohoto útoku, nicméně není třeba z něj dělat kdovíjakou senzaci, obdivovat hackery a vytvářet dojem, že útok byl kdovíjak sofistikovaný, nebyl.

Úroveň zabezpečení většiny organizací v ČR lze hodnotit maximálně jako průměrnou, a stejně tak i bezpečnostní povědomí jejich zaměstnanců, takže o nějaké technologické špičce rovněž nemůže být řeč.

Na stránkách společnosti Volexity, která se šetřením těchto útoků v USA zabývala, je totiž uvedeno poměrně jasně, jak k oné sofistikované kompromitaci e-mailových účtů demokratické strany vlastně došlo.

A celá phishing kampaň, která čítala několik vln, je zde poměrně dobře dokumentována, takže si každý může udělat svůj vlastní obrázek. Jsem zvědav, zda stejně dobře zdokumentován bude i útok na MZV.

Pokud bych to měl shrnout, tak útoky v USA byly vedeny úplně stejným způsobem jako na klienty bank v ČR v minulých letech, kdy jim přišel e-mail, který se tvářil jako e-mail od České pošty anebo pohledávkový SPAM.

V e-mail, který je v rámci těchto kampaní distribuován, se buď nachází odkaz na stažení souboru anebo rovnou příloha s MS Office dokumentem nebo spreadsheetem, který obsahuje obfuskované makro, jak jinak.

To, když je spuštěno, tak stáhne z kompromitovaného webu, který je pod kontrolou útočníka, PNG soubor, v kterém je za použití steganografie ukryt další škodlivý kód. Že nezafungoval nějaký antiphishing filtr je vzhledem k množství e-mailů, které jsou v rámci těchto kampaní rozesílány, pochopitelné.

Zde je třeba si uvědomit, že v případě spear phishingu jsou rozesílány jen jednotky e-mailů, takže nejrůznější SPAM filtry a antiphishing filtry jsou poměrně bezzubé a nemají nejmenší šanci něco zachytit.

A rozbalit a otestovat archiv, který je chráněn heslem, je nad jejich možnosti. Co na tom, že se heslo k archivu nacházelo přímo v samotném e-mailu. Zde mimochodem vidíte onu pokročilou umělou inteligenci obsaženou v nejrůznějších antimalware řešení. Ano, žádná tam není.

Pravda, použitý škodlivý kód kontroluje, zda neběží ve virtuálním prostředí, provádí sken počítače, maskuje se, umožňuje stažení/nahrání souboru z/na internet, a rovněž po sobě zahladit stopy bezpečným smazáním dat. Ale to přeci není nic nového, obzvlášť když se podíváte, kdy se objevil první článek o těchto hrozbách.

Všechny tyto případy mají však společnou jednu věc, a to použití technik sociálního inženýrství, kdy je v příjemci e-mailu vzbuzena zvědavost a tak na odkaz nebo přílohu klikne a spustí ji. Co se děje poté, už není tak podstatné, ale rozhodně se nejedná o žádnou raketovou vědu.

Samotnému útoku se samozřejmě zabránit nedá, protože kdokoliv si může potřebný exploit a malware za pár dolarů koupit na černém trhu, a pak již jen napsat a poslat e-mail s přílohou nebo odkazem na web s malwarem.

Odkud byl útok veden, též není podstatné, protože nejspíš se to ani nedozvíme, tedy pokud to nebyla nějaká banda amatérů. V opačném případě je další šetření zbytečné a bude to jen ztráta času a peněz. Lze předpokládat, že byl útok veden z kompromitovaných serverů, ke kterým útočníci přistupovali přes nějakou anonymizační službu.

A jestli je posilování kybernetické bezpečnosti skutečně dlouhodobou vládní prioritou, tak pak je místo výstavby dalších budov, vytváření nových útvarů a návštěv Řitky u Prahy začít třeba makat a věnovat se bezpečnostní osvětě a implementaci bezpečnostních opatření organizační a technické povahy dle ZoKB a VoKB.

V první řadě provést bezpečnostní osvětu, hardening stávajících systémů, zavést 2FA, nasadit antimalware s HIPS, zajistit včasné aktualizace veškerého SW, provádět auditing a monitorig, configuration review, skenování zranitelností, a poté pokračovat zavedením nějakého NBA řešení atd.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2017. Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/sorry-jako-ale-nemyslim-si-ze-by-se-jednalo-o-nejaky-obzvlast-sofistikovany-utok/. [citováno 08.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: