Ataki ukierunkowane, czyli od złośliwego załącznika do infiltracji firmowej sieci

Ataki ukierunkowane są realnym zagrożeniem. Zdarzają się coraz częściej, powodując olbrzymie straty. Cyberprzestępcy mają na celowniku szczególnie duże korporacje, instytucje rządowe lub też grupy aktywistów. Niedawno duże przedsiębiorstwo straciło w wyniku ataku tego typu ponad 60 milionów dolarów. Przykłady ataków ukierunkowanych to np. te wymierzone w Google i inne firmy: Operation Aurora, Night Dragon, LURID, a także wyciek danych RSA czy też cała kampania Luckycat Redux. Aby obronić się przed atakami tego typu, warto poznać metody stosowne przez cyberprzestępców.

Błędem jest zakładanie, że dana organizacja uniknie ataku APT

Rozsądniej jest przyjąć, że firma prędzej czy później stanie się celem cyberprzestępców, i zacząć wprowadzać odpowiednie środki prewencyjne.

Złośliwy plik to dopiero początek

Atak ukierunkowany składa się zazwyczaj z kilku elementów. Cyberprzestępcy najpierw badają cel. Dowiadują się jak najwięcej o firmie: jej statusie ekonomicznym, relacjach między pracownikami i ich zwyczajach. Zbierają informacje pomagające im w opracowaniu i rozpowszechnieniu zainfekowanych treści wśród pracowników danej firmy - często w formie złośliwego załącznika do e-maila. Jak informują statystyki, aż 94 procent e-maili stosowanych w tego typu atakach zawiera szkodliwe załączniki odpowiedzialne za rozpoczęcie infekcji, pozostałe 6 procent wykorzystuje alternatywne metody, takie jak instalacja złośliwego oprogramowania poprzez link do strony. Z danych firmy Trend Micro wynika, że odsetek ataków ukierunkowanych, które rozpoczynają się od e-maili typu spear phishing, osiągnął próg 91 procent(1).

Spear phishing to coraz popularniejsza forma phishingu, polegająca na wykorzystaniu informacji o ofierze w celu przeprowadzenia bardziej precyzyjnego i spersonalizowanego ataku. Może to polegać na przykład na zwracaniu się w mailach do ofiary za pomocą jej imienia i nazwiska, czy też na wykorzystaniu nazwy stanowiska lub rangi danej osoby w organizacji. Zwykłe działania phishingowe polegałyby na stosowaniu bardziej ogólnych informacji, a w tym wypadku wiadomości są skierowane do konkretnych adresatów – wzbudzają więc większe zaufanie, przez co zwiększa się prawdopodobieństwo otwarcia przez ofiarę złośliwego załącznika. Cyberprzestepcy odpowiedzialni za ataki typu spear phishing skupiają się na pracownikach wyższego szczebla lub też na osobach posiadających dostęp do informacji cennych z perspektywy cyberprzestępców.

Skąd cyberprzestępcy czerpią informacje potrzebne im do wysłania spersonalizowanych wiadomości pocztowych?

- Głównie z internetu i portali społecznościowych.

Firmy, instytucje rządowe czy grupy aktywistów chętnie podają dane na temat poszczególnych pracowników w celu ułatwienia komunikacji z nimi lub na przykład na potrzeby odbywającej się rekrutacji. Takie praktyki sprawiają, że osoby aktywne w sieci i ujawniające swoje dane kontaktowe są bardziej podatne na atak.

Ostatecznym celem działań cyberprzestępców jest skłonienie ofiary do otwarcia złośliwego załącznika lub do kliknięcia odsyłacza prowadzącego do strony zainfekowanej złośliwym oprogramowaniem. Skutkuje to oczywiście naruszeniem zabezpieczeń sieci, w której znajduje się urządzenie oszukanego użytkownika.

70 procent całkowitej liczby załączników w e-mailach typu spear phishing stanowiły najpopularniejsze formaty plików: .rtf (38 procent), .xls (15 procent) oraz .zip (13 procent). Pliki z rozszerzeniem .exe nie są już tak popularnym narzędziem dla cyberprzestępców – prawdopodobnie załączniki z plikami w tym formacie są najczęściej wykrywane i blokowane przez zabezpieczenia.

Kolejne fazy to infiltracja, rozprzestrzenianie złośliwego oprogramowania w całej sieci organizacji, a na końcu namierzenie i kradzież danych - przez cały ten czas komunikacja z serwerem nadzorującym oraz kontrola dostępu znajdują się w rękach hakerów, którzy zdalnie nimi zarządzają. Ataki tego typu stają się coraz bardziej powszechne i kosztują firmy i instytucje setki tysięcy dolarów. Tradycyjne zabezpieczenia zostały daleko w tyle za metodami stosowanymi przez cyberprzestępców. Hakerzy testują swoje ataki tak długo, aż stają się one niewykrywalne dla firmowych systemów ochronnych.

Wydajny system bezpieczeństwa

Cyberprzestępcy udoskonalają ataki APT w taki sposób, aby nie zostały one wykryte. Firmy potrzebują więc rozwiązań zapewniających możliwie najszerszą i najgłębszą analizę sieci, obejmującą wykrywanie zagrożeń oraz zbieranie kluczowych informacji na temat podejrzanej korespondencji i nietypowych zachowań użytkowników.

System bezpieczeństwa chroniący przed zagrożeniami ukierunkowanymi musi opierać się na założeniu, że do włamania dojdzie. Powinien zwalczać zagrożenie, kiedy jest ono jeszcze w pierwszej fazie, zanim rozprzestrzeni się po całej sieci firmy. Dziś firmy i instytucje nie potrzebują jedynie narzędzi do wykrywania zagrożeń, które zapewnią im doraźną ochronę. Potrzebują również dokładnych danych i analiz umożliwiających powstrzymywanie i zapobieganie atakom, które również dają możliwość przeciwdziałania atakom ukierunkowanym w przyszłości.

Autorem tekstu jest: Aleksander Łapiński, Sales Engineer w firmie Trend Micro

Artykuł pochodzi z 3 numeru magazynu DLP expert - który bezpłatnie można pobrać ze strony: https://www.dlp-expert.pl/magazine

Fot. Trend Micro

(1) Źródło:
Spear Phishing e-mail: ulubiona przynęta w atakach APT http://www.trendmicro.com/

Źródło: Redakcja