Cyberprzestępcy - coraz groźniejsi

Coraz niebezpieczniej w Internecie. W ostatnich kilku latach upowszechnił sie w sieci atak – nazywany przez specjalistów – atakiem militarnym podejmowanym przede wszystkim przeciwko organizacjom komercyjnym. Specjaliści od bezpieczeństwa nazwali te ataki : APT (Advanced Persistent Threat, czyli zaawansowane zagrożenie trwałe).

Przykładami APT były ataki przeciw programowi nuklearnemu przeprowadzone za pomocą robaka komputerowego Stuxnet. Jedną z cech łączącą wszystkie ataki określane jako APT jest długotrwałość ich działania. Nie są to jednorazowe wybryki sieciowych aktywistów czy działania hakerskie, ale dobrze przygotowane operacje. Ataki wykorzystują wiele technik, łącząc przełamywanie podatności sprzętu i oprogramowania z socjotechniką oraz klasycznymi technikami operacyjnymi stosowanymi od lat przez służby specjalne różnych krajów.

 

APT – krok po kroku

Pierwszym krokiem jest uzyskanie dostępu do pewnej części infrastruktury firmy. Po przełamaniu zabezpieczeń następuje zazwyczaj eksploracja sieci firmowej, by pozyskać dostęp do cenniejszych zasobów niż pojedyncza stacja robocza pracownika. Ten etap odbywa się w ukryciu, napastnicy zbierają loginy i hasła lub informacje o możliwych do wykorzystania lukach w bezpieczeństwie, aby uzyskać wyższe uprawnienia. Te uprawnienia umożliwiają pozyskiwanie dostępu do ważnych zasobów, zarówno po stronie IT, jak i związanych z biznesem.

Jeśli napastnik uważa, że ryzyko wykrycia jego działań jest niewielkie, operacja może być długotrwała i odbywać się w sposób potajemny. Jeśli ryzyko wykrycia jest wysokie, napastnik musi działać szybko. Musi osiągnąć ostateczny cel, jakim jest pozyskanie informacji, zanim atak zostanie wykryty i zablokowany. Ten trzeci krok - pobranie, szybkie przetworzenie i wysłanie informacji na zewnątrz atakowanej firmy - może być przeprowadzony w sposób powolny i "cichy" albo bardzo szybki, wręcz nie licząc się z możliwymi alarmami. Miejscem docelowym składowania informacji wysyłanych z firmy jest dowolny serwer, być może przejęty przez napastnika, wykorzystując różne luki w bezpieczeństwie legalnie działającego tam serwisu.

 

Przykład

Pierwszym etapem ataku było wysłanie dwóch różnych e-maili stanowiących doskonale przygotowaną przynętę. Wiadomości te były zatytuowane "2011 Plan rekrutacji" i zostały wysłane do dwóch grup pracowników, którzy nie znajdowali się wysoko na szczeblu organizacyjnym w firmie. Wiadomość była na tyle dobrze opracowana, że została pobrana z foldera "Wiadomości śmieci" i otwarta.

Zawarty w niej arkusz kalkulacyjny (również zatytułowany "2011 Plan rekrutacji) zawierał złośliwe oprogramowanie (Poison Ivy RAT), które następnie połączyło się z serwerem zarządzającym. Rozpoczęty proces rozpoznawania sieci i maszyn firmowych pozwolił na pozyskanie zestawu loginów, haseł i kont usług, które umożliwiły następnie atak. Dzięki temu napastnicy mieli już wyższe uprawnienia i pozyskali dostęp do wartościowych zasobów. Zasoby te objęły nie tylko konta i serwery właściwe dla IT, ale także uprawnienia związane z biznesem.

Ponieważ napastnik zdawał sobie sprawę z możliwości wykrycia, zdecydował się na bardzo szybkie działanie - uzyskał dostęp do serwerów pośredniczących, pobrał wszystko, czego potrzebował, a następnie przeniósł do serwerów, gdzie dane zostały zagregowane, skompresowane i zaszyfrowane. Za pomocą FTP przetransferowano pliki RAR zabezpieczone hasłem z serwera RSA do przejętej zewnętrznej maszyny (hostowanej u pewnego dostawcy usług internetowych), skąd zostały pobrane i usunięte. Podstawowy cel został osiągnięty - pozyskano informacje, które następnie umożliwiły przeprowadzenie ataków między innymi przeciw firmie Lockheed Martin, jednemu z największych na świecie producentów uzbrojenia.

 

 

Co to są „słupy” ?

Według ekspertów CERT Polska internauci coraz częściej stają się celem groźnych i natarczywych kampanii spamowych. Jedna z takich akcji odbyła się pod koniec lutego br. Jej celem było stworzenie grup osób nieświadomie pomagającym cyberprzestępcom w praniu brudnych pieniędzy. Tymczasem nawet nieświadomy udział w takim przedsięwzięciu może zakończyć się wyrokiem, a nawet karą pozbawienia wolności.

Możliwość pozyskiwania coraz większej liczby danych dostępu do internetowych kont bankowych daje internetowym przestępcom szerokie pole do popisu w zakresie przestępstw finansowych. Coraz częściej do działań przestępczych angażowani są jednak niczego nieświadomi internauci, pełniący rolę pośredników w transferze skradzionych pieniędzy.

Skradzione środki przelewane są na konto "słupa", który następnie przelewa je przestępcom znajdującym się poza granicami UE."Mechanizm działania tzw. "słupów" jest znany od dawna, jednak pierwszy raz od dłuższego czasu zaobserwowaliśmy tak duży atak. Tym razem polscy internauci dostali na swoje skrzynki poczty elektronicznej propozycję pracy jako agenci terenowi w dziale kontroli kredytowej międzynarodowej korporacji zajmującej się wydobyciem ropy i gazu" - mówi Rafał Tarłowski z CERT Polska.

Jak zostać słupem? Jest to, niestety, dość proste. Rekrutacja odbywa się najczęściej za pomocą popularnych serwisów rekrutacyjnych. Ogłoszenia publikowane przez przestępców przypominają typowe zlecenia pracy zdalnej. Cyberprzestępcy najczęściej podszywają się pod firmy zajmujące się handlem internetowym, testowaniem lub kontrolowaniem elektronicznych systemów płatności.

Propozycję współpracy otrzymuje najczęściej osoba umieszczająca swój profil na serwisach z ofertami pracy. Po wypełnieniu kwestionariusza osobowego "słup", otrzymuje drogą pocztową umowę i czeka na zlecenie. Po czym otrzymuje szczegółową instrukcję działania, w której zawarta jest informacja kiedy otrzyma środki, jak ma z nimi postępować i jaką wysokość środków może pozostawić na swoim koncie. Najczęściej osoby zaangażowane w tego typu działania nie zdają sobie sprawy, że uczestniczą w transferze skradzionych środków finansowych.

 

 

Piotr Piętak

Drukuj E-mail