Miért sikeresek a vállalatokat célzó zsarolóvírus támadások?

Az, hogy egy cég vagy szervezet egyáltalán működjön, komplex folyamatok alapos összehangolása szükséges. Ahhoz pedig, hogy sikeresen is működjön az egyes folyamatok absztrakt rétegeinek olajozott gépezetként kell együttműködniük. A legtöbb ilyen folyamat és kapcsolat ma már informatikai alapokra épül. Ezt azonban jobbára csak akkor realizáljuk, amikor valami elromlik.

Az incidensek kivizsgálásával és kezelésével töltött két évtizedes tapasztalattal a hátam mögött, megtanultam pontosan és mérsékelten fogalmazni. Nagyon mérsékelten fogalmazok például amikor leírom, hogy a jelenlegi tendenciákat szemlélve a rosszindulatú kódokra (pl.: zsarolóvírus) alapozott fenyegetés mértéke ijesztő mértéket öltött.

Sok vállalatot ért már zsarolóvírus támadás. Lényege, hogy a támadó titkosítja a tárolt adatokat és megpróbálja rávenni az áldozatot, hogy fizessen (rendszerint kriptovalutában) azért, hogy a titkosítás feloldásához szükséges kulcsot megkapja.

A zsarolóvírus támadások során az első jeleket (amikor a titkosítás megtörténik), sokszor nem is biztonsági incidensként kezelik. Többször tapasztaltam, hogy az észlelés után olyan hibajegyeket regisztrálnak (ha még tudnak), hogy adott alkalmazás nem működik. Funkcionális hibaként kezelik. Percekkel vagy órákkal később derül csak ki, hogy a baj jóval nagyobb.

Ami fontos, hogy a történet rendszerint nem akkortájt kezdődik a tapasztalataink alapján amikor a jelek egyértelművé válnak. Filmekben ilyenkor következik a “6 hónappal korábban” snitt. Igen, nagyjából ennyi idővel korábban veszi kezdetét sok támadás.

Kik a támadók?

A támadó csapatok kifejezésben fontos szó a „csapat”. Csoportok alakulnak (gyakran esik a szervezett bűnözés kategóriájába, esetenként az egyes kormányok által „támogatott”), melyek célja leginkább a pénz - lehetnek más célok, most maradjunk a pénznél. A csapat első feladata a célpont vagy célpontok kiválasztása.

Bár nem láthatunk a szervezett bűnözés makroökonómiájának mélyére, de ezek a támadások a legtöbb esetben nagy befektetéseket igényelnek mind technológiai, mind humán erőforrás, de legfőképpen pénzügyi szempontból. Ez azt feltételezi, hogy a támadás mögött az esetek nagy részében egy jól szervezett és felépített szervezet húzódik. Ezeknek a támadó csoportoknak a szakma adott egy közös nevet: APT. Amikor sikerül azonosítani egy csoportot, kapnak egy azonosítót, ami egy kétjegyű szám – néha kapnak „becenevet” is (például: APT29 – cozy bear).

Mi tehet valakit célponttá? Ugyanezen kérdés az érme másik oldaláról: Mi a támadók motivációja?

Ez leginkább a támadói csoportok jellegétől, berendezkedésétől és legfőképpen a hátterétől függ – tekintve, hogy némely esetben kormányok által finanszírozott szervezetekről beszélünk. Ezeknél a pénzügyi haszon és az információ szerzés visszatérő motiváció, de a politikai és ideológiai okok is szerepet játszhatnak. A cikk kedvéért azonban maradjunk csak a pénzügyi célzatnál.

Itt fordul az érme és térhetünk rá az első kérdésre: Mi tehet valakit célponttá? Egyrészt az, hogy ellene potenciálisan sikeresen véghezvihető a támadás (pl.: sebezhető eszközök elérhetők az internet felől, korábban kiszivárgott jelszavak, megvásárolható információk, potenciálisan gyenge IT biztonság), másrészt fizetőképes (céginformáció bárki számára elérhető – nyereség, forgalom, tőke stb.), harmadrészt pedig jó célpont az, akin vélhetően az üzletből eredően nyomás lehet azért, hogy fizessen (leginkább az üzleti veszteség mértéke és a technikai tehetetlenség miatt).

Alapvetően a nagyobb támadói csapatoknak láthatóan a rendelkezésükre áll minden kellő erőforrás Nem egy ember nyakában van az összes feladat, a csapat minden tagjának megvan a jól megszabott feladatköre. Logisztikai szempontokból kiindulva kizártnak tartom, hogy kisebb csapattal kellő sebességgel és hatékonysággal el lehessen látni ennyi területet. Rengeteg előkészület, tervezés, informatikai felkészülés szükséges ahhoz, hogy egy-egy ilyen támadást lefolytathassanak. Arról már nem is beszélve, hogy a nyereség maximalizálása érdekében egyszerre több támadás is folyamatban lehet.

Hogyan csinálják?

Nézzük a tipikus forgatókönyvét egy célzott támadásnak. Az kezdődik a célpont kiválasztásával és feltérképezésével a fenti technológiai és üzleti szempontok alapján. Következő lépésben kompromittálni kell a rendszereket, kell egy belépési pont a hálózatba. A csapat megtalálja a belépési pontot: ez lehet e-mailben bejuttatott programmal (malware – csatolmányként, URL-re kattintva és letöltve), infrastruktúrában meglévő sebezhetőség alapján – de sok más mód is van erre. Ezzel bejut az első rosszindulatú program a célpont belső hálózatára. Lehet, hogy a diónak ugyan kívülről kemény a héja, de ha már bemászott a kukac akkor semmi nem áll az útjába, ahhoz, hogy falatozzon

Ott a vírusirtó minden számítógépen. Hogy nem veszi észre? Egyszerű. A támadó is ugyanúgy vehet vírusirtókat és kitesztelheti a támadó kódot, úgy hogy azt ne vegye észre a legtöbb vírusirtó, vagy éppen megvásárolhatja azt a támadó programcsomagot amit garantáltan nem fognak detektálni a vírusirtók. Bizony már ez is egy szolgáltatási forma.

A lényeg, hogy megérkezik az első hullám. A támadás ezen fázisában a perzisztencia megteremtése kerül a fókuszba, vagyis a támadók berendezkednek a hálózaton, ott rejtőzködnek és feldrótozzák a fontosabb rendszereket, azokon programokat futtatnak, amiket nagyon nehezen lehet észrevenni. Ennek a célja, hogy a támadók később is be tudjanak lépni és szemmel tudják tartani az áldozat rendszerét. Lényegében ekkor vetik meg a lábukat a célpont hálózatában. Lehetne hosszan taglalni a támadók technológiáit és módszertanát, de a perzisztencia kialakításánál használt módszer minden esetben ugyanaz: nem támadó jön vissza a hálózatba, hanem a hálózatban lévő gépeken telepített lopakodó programok hívják be a támadót újra es újra.

A perzisztens program mindenképpen fut (ha újraindul a gép, akkor is) és “hazatelefonál” azaz felveszi a kapcsolatot a támadó interneten lévő C2 (avagy Command and Control ) szerverével. Ez a támadó műveleti központja, ami a legtöbbször egy bérelt virtuális szerver egy teljesen legitim szolgáltatónál. Ezen keresztül éri el a támadó az áldozat hálózatában a már kompromittált gépeket. 

Miért kell ezt így lebonyolítani?

A belső hálózatról kifelé nagyon sok pontról lehet kommunikálni az internet felé. Sok esetben a dolgozók munkájához elengedhetetlen az internet hozzáférés: keresgetni kell Google-ban egy-egy probléma megoldásához, megrendeléseket kell feladni, le vagy fel kell tölteni fájlokat, és így lehetne még folytatni a sort… Így gond nélkül tud egy rosszindulatú program is kommunikálni a belső hálózatról kifelé. Másik irányban ez ugye nem lenne egyszerű. Tehát a kommunikációs csatorna bentről épül fel kifelé, míg az utasítások képesek kintről érkezni befelé, majd megy kifelé az eredmény (pl.: parancsfuttatás eredménye, jelszavak stb.).

Ha megvan a perzisztencia, jöhetnek a következő lépések, vagyis a hálózat feltérképezése (ez egy elég komplex feladat), a jogosultság növelése (adminisztrátori vagy rendszerszintű jogosultság megszerzése – szintén nem egyszerű, de sokszor tapasztaltam, hogy gyorsan megy). A támadók kialakítanak egy rendszert (én sokszor keretrendszerként hivatkozok erre) – egy olyan programrendszer kerül telepítésre, ami svájci bicskaként szolgál. Ezután történik az úgynevezett „lateral movement” – terjeszkedés a hálózaton.

A támadó, ha már elér minden fontos rendszert, akkor jó eséllyel (de nem minden esetben) haza is fogja vinni amit talál, legyen szó a sok érdekes és értékes adatról, dokumentumról vagy adatbázisról amiket majd otthon később átnéz és lehet, hogy fel is használja őket egy későbbi támadás során, vagy esetleg értékesíti őket (esetlet akár mindkettő).

Miután a csapat mindent összeszedett, amit tudott akkor indulhat a ransomware, azaz a fájlok es rendszerek titkosítása.

Az eredmény?

A mindennapi munkafolyamatok ellehetetlenülnek, kritikus rendszerek válnak használhatatlanná, a gyártósorok leállnak, az alkalmazottak nem tudnak dolgozni.

Gondolhatnánk, hogy „nagy dolog, ott van a biztonsági mentés, majd visszaállítunk mindent az informatikai mentésből”. Ha ez így működne, akkor a zsarolóvírus támadások nem lennének megélhetési formák. Közel sem ilyen egyszerű egy visszaállítási folyamat. Arról nem is beszélve, hogy nem gyors, legfőképpen akkor nem, ha nagy adatmennyiséget kell visszaállítani. Ezt szükséges még azzal kiegészíteni, hogy minden mentés egy valamikori állapotot tartalmaz, tehát a legutóbbi mentés óta keletkezett adatok elvesznek - és ez csak az egyik fele a történetnek. A visszaállítást követően aziránt is biztosra kell menni, hogy a) a támadó valóban nincs bent a hálózaton b) nem is képes visszajönni.

Ilyenkor jön a kérdés, hogy ez mégis, hogy történhetett, hiszen elköltöttünk az informatikára és az adatbiztonságra rengeteg pénzt, és minden megfelelt a szabályoknak és a nemzetközi ajánlásoknak. Könyvet lehetne írni arról, hogy mi minden mehet félre – ezért csak a legfontosabb gondolatokat írom le.

Az alkalmazott biztonsági elemek az elmúlt években nehezen változtak. Az eszközök, emberek, gyakorlatok és a tudás nehezen mozdultak előre. Pláne nehezen megy ez, amikor kevés a pénz és nehéz szakértőt találni. Egy zsarolóvírus támadás elleni felkészülés erőforrást és időt igényel. Pontatlan voltam. A támadás még ilyenkor is megtörténhet, de a célpont ebben az esetben képes lehet azonosítani a támadást és még időben ellehetetleníti annak működését és eliminálni tudja a következményeket.

A támadói oldal igen komoly fejlődést mutat. Nehéz szavakkal érzékeltetni, hogy mekkorát, de jól lehet látni a támadói eszközrendszerekben, a csapatok tudásában és a tapasztalatukban. Ők fölöttébb rohamos tempóban fejlődnek és fejlesztenek. A védelemnek is fejlődnie kell. 

Mire érdemes figyelni?

Egy vállalkozás vezetőjeként javasolt egyszerű kérdésekre választ keresni a kiberbiztonság területén: például, hogy mit tett az informatika annak érdekében, hogy képes legyen azonosítani egy zsarolóvírus támadást. Ha a válasz olyasmikre koncentrál, hogy van vírusirtónk, tűzfalunk, proxy védi a web elérést, akkor az nem sok jót sejtet a védelemmel kapcsolatban. Nem azt mondom, hogy ezek nem kellenek, de ezek ma már csak az alapok. Az a kérdés, hogy miként képes azonosítani egy vállalat, hogy már kompromittálták a rendszerüket, vagyis megtörtént-e már az első lépés. A detektálás és reagálás érdekében mit tettek, milyen gyakorlatokat végeznek az IT-n / IT biztonságon ennek a rutinszerű, 24/7-ben működő alkalmazása érdekében. A tradicionális eszközök és a biztonsági tudatosság fejlesztése fontosak, de ma már nem elegendőek.

Kellemetlen kimondani, de a védelem gyakran nagyon le van maradva, mivel a védelmi eszközök jobbára a már létező támadások ellen lettek kifejlesztve, tehát a “védelem” jóval a “támadók” után kullog. A gondolkodást kell átalakítani és a napi rutin mellett a valós fenyegetettségekre felkészíteni a védelmet. Könnyű mondani és nehéz csinálni – ha csinálni is könnyű lenne, nem lenne probléma és nem lennének zsarolóvírusok sem. A jó hír az, hogy mindennek ellenére megvalósítható – kellő munkával és odafigyeléssel, mint annyi minden.