Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok

V médiích se objevila zpráva, že proběhl sofistikovaný kybernetický útok na ministerstvo zahraničích věcí, a že útočník měl více jak rok přístup k desítkám e-mailových schránek ministerských úředníků včetně samotného ministra.

Jaký byl v tomto případě použit vektor útoku, ministerstvo vzhledem k probíhajícímu šetření nesdělilo, pouze se omezilo na poměrně strohé konstatování, že se mělo jednat o obdobný útok, jaký byl veden v USA.

Pokud by to byla pravda, tak potom by se ale nejednalo o žádný příliš sofistikovaný útok, nýbrž o prostý spear phishing. Tím nechci nijak snižovat závažnost tohoto útoku, nicméně není třeba z něj dělat kdovíjakou senzaci, obdivovat hackery a vytvářet dojem, že útok byl kdovíjak sofistikovaný, nebyl.

Úroveň zabezpečení většiny organizací v ČR lze hodnotit maximálně jako průměrnou, a stejně tak i bezpečnostní povědomí jejich zaměstnanců, takže o nějaké technologické špičce rovněž nemůže být řeč.

Na stránkách společnosti Volexity, která se šetřením těchto útoků v USA zabývala, je totiž uvedeno poměrně jasně, jak k oné sofistikované kompromitaci e-mailových účtů demokratické strany vlastně došlo.

A celá phishing kampaň, která čítala několik vln, je zde poměrně dobře dokumentována, takže si každý může udělat svůj vlastní obrázek. Jsem zvědav, zda stejně dobře zdokumentován bude i útok na MZV.

Pokud bych to měl shrnout, tak útoky v USA byly vedeny úplně stejným způsobem jako na klienty bank v ČR v minulých letech, kdy jim přišel e-mail, který se tvářil jako e-mail od České pošty anebo pohledávkový SPAM.

V e-mail, který je v rámci těchto kampaní distribuován, se buď nachází odkaz na stažení souboru anebo rovnou příloha s MS Office dokumentem nebo spreadsheetem, který obsahuje obfuskované makro, jak jinak.

To, když je spuštěno, tak stáhne z kompromitovaného webu, který je pod kontrolou útočníka, PNG soubor, v kterém je za použití steganografie ukryt další škodlivý kód. Že nezafungoval nějaký antiphishing filtr je vzhledem k množství e-mailů, které jsou v rámci těchto kampaní rozesílány, pochopitelné.

Zde je třeba si uvědomit, že v případě spear phishingu jsou rozesílány jen jednotky e-mailů, takže nejrůznější SPAM filtry a antiphishing filtry jsou poměrně bezzubé a nemají nejmenší šanci něco zachytit.

A rozbalit a otestovat archiv, který je chráněn heslem, je nad jejich možnosti. Co na tom, že se heslo k archivu nacházelo přímo v samotném e-mailu. Zde mimochodem vidíte onu pokročilou umělou inteligenci obsaženou v nejrůznějších antimalware řešení. Ano, žádná tam není.

Pravda, použitý škodlivý kód kontroluje, zda neběží ve virtuálním prostředí, provádí sken počítače, maskuje se, umožňuje stažení/nahrání souboru z/na internet, a rovněž po sobě zahladit stopy bezpečným smazáním dat. Ale to přeci není nic nového, obzvlášť když se podíváte, kdy se objevil první článek o těchto hrozbách.

Všechny tyto případy mají však společnou jednu věc, a to použití technik sociálního inženýrství, kdy je v příjemci e-mailu vzbuzena zvědavost a tak na odkaz nebo přílohu klikne a spustí ji. Co se děje poté, už není tak podstatné, ale rozhodně se nejedná o žádnou raketovou vědu.

Samotnému útoku se samozřejmě zabránit nedá, protože kdokoliv si může potřebný exploit a malware za pár dolarů koupit na černém trhu, a pak již jen napsat a poslat e-mail s přílohou nebo odkazem na web s malwarem.

Odkud byl útok veden, též není podstatné, protože nejspíš se to ani nedozvíme, tedy pokud to nebyla nějaká banda amatérů. V opačném případě je další šetření zbytečné a bude to jen ztráta času a peněz. Lze předpokládat, že byl útok veden z kompromitovaných serverů, ke kterým útočníci přistupovali přes nějakou anonymizační službu.

A jestli je posilování kybernetické bezpečnosti skutečně dlouhodobou vládní prioritou, tak pak je místo výstavby dalších budov, vytváření nových útvarů a návštěv Řitky u Prahy začít třeba makat a věnovat se bezpečnostní osvětě a implementaci bezpečnostních opatření organizační a technické povahy dle ZoKB a VoKB.

V první řadě provést bezpečnostní osvětu, hardening stávajících systémů, zavést 2FA, nasadit antimalware s HIPS, zajistit včasné aktualizace veškerého SW, provádět auditing a monitorig, configuration review, skenování zranitelností, a poté pokračovat zavedením nějakého NBA řešení atd.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Email this to someone
email
Print this page
Print

Štítky:


K článku “Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: