Pregled javno objavljenih napadov in zlorab informacijskih sistemov v zadnjih mesecih

Want create site? With Free visual composer you can do it easy.

Ena bistvenih nalog skrbnikov IS je spremljanje varnostnih pomanjkljivosti in ustrezno sprotno varnostno nadgrajevanje sistemov.

Zanimivo in poučno pa je tudi spremljanje objav o dejanskih napadih. Te objave marsikaj novega povedo o zmožnostih konkretnih varnostnih pomanjkljivosti, hkrati pa dajejo uporabnikom občutek o neprestani nevarnosti, ki preži v Internet omrežju.

Napadi se dogajajo. So se dogajali včeraj, se dogajajo danes in se bodo dogajali jutri. Glede na to, da jih je vedno več, so vedno bolj zapleteni in vedno bolj agresivni oz. destruktivni, ni smiselno zgolj pasivno čakati na trenutek, ko žrtev postanete prav vi.

Glede na to, da je skupno večini napadom dejstvo, da so odkriti in zaznani šele z zamikom, se lahko upravičeno vprašamo, ali nismo slučajno že danes žrtev napada iz Internet omrežja, pa tega še ne vemo…

V nadaljevanju izpostavljamo 6 dejanskih napadov iz obdobja zadnjih mesecev:

1. Napad na SCADA sisteme nekaterih evropskih podjetij za proizvodnjo električne energije

SCADA

SCADA sistemi so t.i. proizvodni sistemi. Z drugimi besedami povedano gre za informatizirano proizvodnjo. Informatizacija proizvodnje prinaša ogromno pozitivnih učinkov (povečanje produktivnosti, manjši stroški, manjša poraba energije ipd.), vendar hkrati prinaša tudi nove varnostne izzive.

Če lahko napadalec zlorabi informacijski sistem, ki neposredno skrbi za proizvodnjo, to pomeni neposreden dostop do proizvodnje. Za podjetje je to lahko zelo slabo.

Če pa istočasno govorimo o strateško pomembni proizvodnji, kot je na primer proizvodnja električne energije, pa lahko to predstavlja zelo velik problem. Kar naenkrat lahko scene, ki smo jih vajeni iz akcijskih hollywoodskih filmov, postanejo realnost. Prevzem kontrole nad proizvodnjo, izklop proizvodnje, nepooblaščeni dvig zapornic na hidroelektrarni, manipulacija sistemov v jedrski elektrarni ipd. Vse to lahko privede do ne samo direktne škode podjetjem, ampak do  ogromnih problemov ali katastrofe državam in civilnemu prebivalstvu. Zato so primeri tovrstnih napadov posebej skrb vzbujajoči.

V juniju so raziskovalci zaznali nov pojav zlonamernih »malware« datotek, ki so očitno bile narejene z neposrednim namenom napada na proizvodne sisteme določenih zahodno-evropskih podjetij za proizvodnjo električne energije.

Tehnične podrobnosti teh datotek sicer niso znane. Znano pa je dejstvo, da marsikatero takšno proizvodno okolje vsebuje celo vrsto »starih« sistemov (lahko tudi Windows XP). Zato s tehničnega vidika vpliva na tovrstna okolja ni težko izvesti. Ključno je zgolj »malware« neopaženo prenesti v proizvodna okolja, ki pa so na srečo še vedno dokaj dobro zaščitena in ločena od javnega omrežja.

Analiza teh datotek je pokazala, da vsebujejo zelo kompleksno razvite mehanizme izogibanja detekciji raznih varnostnih sistemov. Prav tako naj bi bila koda teh datotek zelo dobro šifrirana in zaščitena. Vse to kaže na motiv napadalcev, da želijo v tovrstna okolja vdreti na čim bolj neopazen način, kar je še posebej zastrašujoče. Dodatno je analiza pokazala, da je cilj teh datotek napad na posebno programsko opremo za prepoznavanje prstnih odtisov in obrazov. To nakazuje na cilj napadalcev, ki je pridobiti zares interne informacije SCADA sistemov.

Sicer pa datoteka za vdor na računalnike oz. delovne postaje uporablja pomanjkljivosti CVE-2014-4113 in CVE-2015-1701, ki sta sicer že dokaj stari (nekaj let) in v »normalnem« okolju informatike neškodljivi. Saj je velika večina klasičnih delovnih postaj in strežnikov že davno nazaj bila ustrezno varnostno nadgrajena in zato neobčutljiva na tovrstne napade. Hkrati pa to dodatno kaže na specifičen primer SCADA okolij. Marsikatere naprave, krmilniki ipd. so še vedno vezane na relativno stare operacijske sisteme, ki vsebujejo celo vrsto varnostnih pomanjkljivosti, ti pa se lahko enostavno zlorabijo. V SCADA sistemih so nadgradnje velikokrat zelo težavne in marsikateri skrbniki gledajo na te naprave kot na »dont touch« naprave, ki se jih ne upajo nadgraditi.

Več informacij: http://thehackernews.com/2016/07/scada-malware-energy.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29&_m=3n.009a.1279.zf0ao09fb9.qrw

2. Napad na železniško podjetje UK Rail

Angleško podjetje Darktrace, ki se ukvarja z varnostjo informacijskih sistemov, je pri podjetju UK Railways odkrilo, da so bili v zadnjih mesecih vsaj štirikrat tarča računalniškega vdora.

Vdori so bili dokaj zapleteni. Analiza je pokazala, da so napadalci pregledovali predvsem notranjost omrežja in da niso neposredno povzročali težav v železniškem prometu. Očitno je bil motiv bolj špijonaža, kot pa prevzem kontrole.

Čeprav posamezne vlakovne kompozicije še vedno upravljajo človeški viri, je sistem lahko zelo ogrožen. Strojevodje so namreč glede marsičesa odvisni od informacijskega sistema. Ta skrbi za prižiganje zelenih in rdečih luči, skrbi za označevanje hitrostnih omejitev na posameznih odsekih proge itd. Analiza je pokazala, da bi lahko napadalci pri vdoru vplivali tudi na te sisteme, kar bi lahko povzročilo bistveno hujše posledice.

Tehnične podrobnosti napadov sicer niso znane. Zelo zgovorno je pa že samo dejstvo, da tudi ti sistemi niso imuni na napade; posledice računalniških vdorov so lahko bistveno hujše, kot »zgolj« kraja podatkov.

Več informacij: http://www.telegraph.co.uk/technology/2016/07/12/uk-rail-network-hit-by-multiple-cyber-attacks-last-year/

3. Vdor v Ruske banke preko legitimne programske opreme

V juniju so ruski varnostni organi odkrili in aretirali skupino hekerjev pod imenom Lurk. Hekerji so postali znani s serijo vdorov v ruske banke, ki so v letošnjem letu povzročili za preko 45 milijonov ameriških dolarjev škode.

Analiza njihovih napadov je nakazala zanimivo in nenavadno pot, ki so jo napadalci ubrali pri izvedbi napadov. Napadalcem je namreč uspelo zlonamerno kodo vriniti v Ammyy Admin programsko opremo, ki je popolnoma legitimna in dokaj popularna pri tamkajšnjih skrbnikih sistemov.

Preko te programske opreme so napadalci neovirano vnašali svojo zlonamerno kodo v notranjost bančnih informacijskih sistemov, ter tako vdrli v ta omrežja.

Pri tem sta dodatno zanimivi še dve okoliščini:

  • Varnostna podjetja so že v začetku leta opazila tovrstno dejanje in proizvajalca Ammyy Admin programske opreme ustrezno opozorila. Napako so sicer odpravili, vendar so se naknadno ponovno pojavili problemi. Očitno proizvajalec programske opreme ni dovolj resno vzel agresivnih namenov napadalcev in je podcenjeval njihovo znanje in namero. Vsakič, ko je podjetje Ammyy Admin varnostno pomanjkljivost odkrilo in jo tudi odpravilo, se je kmalu pojavila nova luknja v njihovem sistemu, ki so jo napadalci izkoristili.
  • Zlonamerna koda je bila napisana s posebnim namenom. Napadalci so namreč ciljali zgolj na točno določene bančne sisteme. Ko je uporabnik preko spleta prenesel okuženo Ammyy Admin programsko opremo, je zlonamerna koda najprej preverila, če se uporabnik nahaja v točno določenem bančnem sistemu. V kolikor se ni nahajal, se koda ni sprožila, kar je bistveno otežilo pravočasno zaznavanje okužb.

Omenjeni napad nam pove, da je lahko zlonamerna koda pri usmerjenih napadih zelo kompleksna in s klasičnimi varnostnimi mehanizmi jo zelo težko pravočasno odkrijemo. Dodatno se moramo zavedati, da praktično ni zaupanja vrednih programskih paketov. Vsak paket mora skozi vse varnostne preverbe, ki jih podjetje ima.

Več informacij: http://www.darkreading.com/cloud/remote-systems-admin-software-rigged-with-lurk-trojan/d/d-id/1326320?_mc=NL_DR_EDT_DR_daily_20160720&cid=NL_DR_EDT_DR_daily_20160720&elqTrackId=2db043813e0a4173a99738a25bde7973&elq=72522e574cf04ac0a7b486d6dc51e20c&elqaid=71492&elqat=1&elqCampaignId=22196

4. Pornhub portal je razpisal nagrado za napadalce in jo nazadnje tudi moral izplačati

hub

Pornhub je eno največjih svetovanih spletnih podjetij za širjenje vsebin za odrasle. Kot takšno je zelo znano in obiskano. Dnevno se na njihovih portalih nahaja milijone različnih obiskovalcev.

Podjetje se močno zaveda lastne varnostne ogroženosti in poudarek na zagotavljanju varnosti sistemov je zelo velik. Nikakor si podjetje ne more privoščiti vdora, ki bi na primer povzročil začasno nedelovanje sistema ali pa kraje podatkov o njihovih uporabnikih. Takšen napad bi lahko za podjetje pomenil več milijonsko škodo ali pa celo prenehanje delovanja podjetja.

Pred dvema mesecema je tako podjetje razpisalo javni »natečaj« za vse svetovne hekerje, s pozivom naj preverijo njihovo spletno stran. Kdor najde in posreduje informacije o ranljivosti, bo nagrajen z 20.000 USD.

Med drugim se je izziva lotila skupina 3 hekerjev. Ti so v PHP knjižnici, ki jo uporablja spletna stran, uspeli najti t.i. »use-after-free« pomanjkljivost (te pomanjkljivosti so vezane na spomin strežnikov, ki je v danem trenutku alociran za aplikacijo, v naslednjem pa ne). Omenjena pomanjkljivost na določenih PHP programih omogoča dostop do posameznih kosov podatkov. Med drugim so napadalci tako pridobili podatke o načinih zapisovanja podatkov na strežnik, s čimer so uspešno izvedli napad s posebnimi zlonamernimi datotekami. Napadalci so tako praktično prevzeli nadzor nad celotnim sistemom.

Napad je bil podrobno dokumentiran in posredovan skrbnikom Pornhub sistema. Napadalci so seveda zasluženo prejeli obljubljeno nagrado.

Ta primer nam jasno nakazuje, da so spletne aplikacije vedno lahko ranljive, ne glede na to, koliko poudarka skrbniki dajejo na varnost. Nič ni 100% varno. Podrobne pomanjkljivosti lahko skrbniki odkrijejo le z varnostnim pregledom, ki ga opravi ustrezno usposobljena tretja oseba. Brez takšnega pristopa bo varnostna pomanjkljivost ostala neodkrita in samo vprašanje časa je, kdaj jo bo napadalec slučajno ali namerno odkril in tudi zlorabil.

Več informacij:

http://thehackernews.com/2016/07/pornhub-hack.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29&_m=3n.009a.1287.zf0ao09fb9.qyu

http://www.webopedia.com/TERM/U/use-after-free.html

http://raspberrywebserver.com/cgiscripting/sending-data-to-an-HTTP-server-get-and-post-methods.html

5. Še en klasičen phishing mail napad, katerega posledica je dostop do ogromne zbirke podatkov

V juliju je bil javno objavljen še en uspešno izveden napad. Žrtev je bila spletna stran enega večjih nakupovalnih centrov v Južni Koreji – Interpark.

Napadalci so bili uspešni, saj so ukradli osebne podatke več kot 10 milijonov uporabnikov spletne strani nakupovalnega centra (med podatki so bili email naslovi, imena, telefonske številke in marsikateri drugi podatki uporabnikov).

To kar je zanimivo pri napadu je način izvedbe. Napad je bil izveden na danes že, lahko rečemo, klasičen način.

Napadalci so si najprej izbrali žrtev – podjetje Interpark. Pridobili so nekaj podatkov o posameznih zaposlenih in jih spremljali. S tem so pridobili še več podatkov o izbranih zaposlenih, s čimer so lahko pripravili uspešen phishing mail napad. Uporabniki so bili uspešno zavedeni, ker ni šlo za klasičen vsestranski phishing napad, ampak usmerjen napad zgolj na peščico uporabnikov (pri čemer so uporabili še dodatno pridobljeni podatki). Napadalci so uspeli okužiti delovne postaje uporabnikov z zlonamerno kodo. S tem so pridobili kontrolo nad delovnimi postajami. Od tega koraka dalje je nadaljevanje napada do glavnih podatkovnih strežnikov manj zapleteno, saj je notranja varnost (delovne postaje, nad katerimi so napadalci pridobili nadzor, so bile v notranjosti omrežja) marsikje zelo slabo urejena.

Način napada je bil v zadnjih letih že mnogokrat viden. Tehnične podrobnosti posameznih napadov se seveda razlikujejo, osnovni princip pa je isti:

  • poiščeš žrtev,
  • pridobiš čim več podatkov o žrtvi,
  • s podatki pripraviš phishing email napad, ki bo zelo verjetno uspešen,
  • pripraviš zlonamerno datoteko, ki jo klasični varnostni sistemi ne bodo zaznali,
  • delovna postaja žrtve okužiš z zlonamerno datoteko in nadzor nad delovno postajo je omogočen,
  • napadalec je v omrežju in lahko mirno nadaljuje z napadom naprej v notranjost omrežja.

Stalno osveščanje uporabnikov, spremljanje indicev napada (povečanje in nepričakovan prometa z določene delovne postaje ipd.), uvedba »Sandbox« sistema za zaznavanje neznane zlonamerne kode so pristopi, s katerimi se lahko tovrstnim napadom izognemo.

Več informacij:

http://www.washingtontimes.com/news/2016/jul/28/north-korean-spies-accused-massive-data-breach-aff/


Več vsebin s področja varnosti

Varnostne storitve

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]