Egy államilag szponzorált kibertámadás – és ami mögötte van

Államilag szponzorált kibertámadások – tele van velük a média. Évek óta hangoztatott állítása az IT biztonsági szakértőknek és a védelmi megoldásokra specializálódott termékgyártóknak, hogy bár a meglévő biztonsági termékek (tűzfalak, IPS/IDS rendszerek, mail/webszűrő rendszerek, stb. ) a véletlenszerű támadások ellen megfelelő védelmet biztosítanak, a célzott támadások ellen általában kevésnek bizonyulnak. A legfejlettebb célzott támadásoknak a közös meghatározói általában, hogy hosszú távú működésre fejlesztették őket – bejutás, megfigyelés, adatszivárogtatás. Ennek megfelelően az angol persistent (tartós) szóval jellemezve ezek az Advanced Persistent Threat-ek vagy APT-k. Az APT-k fő szponzorai pedig azok az államok, vagy a megrendelésükre dolgozó bűnszövetkezetek, melyeknek elég pénzük és elég pontos célpontjuk van ahhoz, hogy egy ilyen támadás kifizetődő legyen. Ha visszaemlékezünk például a 2010-es NSA és Izrael által finanszírozott Stuxnet támadásra, vagy az azóta még nagyobb port kavart WannaCry és NotPetya támadásokra, beláthatjuk, hogy ez nem csak a szakértők által mesterségesen felfuttatott téma.

A 23 millió dolláros nyomozás

A Lookout, Inc kutatói a 2019-es Shmoocon konferencián tartott előadásukban mutatták be kutatásaik eredményét, mellyel egy egyenlőre fel nem fedett államilag szponzorált akció mélyébe nyerhetünk belátást. A megfigyelésre és adatgyűjtésre összesen 23 millió dolláros büdzsével készült a támadó állam – ez az összeg elegendő volt arra, hogy megfontolják több a fekete piacon jelen lévő kész megoldás megvásárlását is, ám végül különböző okok miatt a saját támadás lefejlesztése mellett döntöttek. Az előkerült bizonyítékok annak köszönhetők, hogy az elkészült programot a támadók a saját készülékeiken tesztelték és így a fejlesztőcsapat teljes kommunikációja, valamint a résztvevők névsora felkerült arra a központi szerverre, melyet a Lookout kutatói felderítettek.

Belső fejlesztés kontra dobozos termék

Ez a dilemma igazán ismerős lehet bármilyen cég IT döntéshozója vagy döntéselőkészítői számára: a meglévő büdzsénket úgy használjuk el, hogy a piacon található “dobozos” termékek közül kiválasztjuk az igényeinkre leginkább illeszkedőt, majd ezeket integráljuk, vagy belefogunk egy hosszú és költséges belső fejlesztésbe? A felderített adatok szerint ugyanezt a dilemmát élte át a támadáshoz használt megoldást előkészítő csapat is: megnézték, tesztelték és ajánlatot kértek az NSO Group, Verint, FinFisher, HackingTeam, IPS, Expert Team és Wolf Intelligence kész megoldásaira. Ijesztő egyébként, hogy mennyire fejlett megoldások érhetők el szinte akárki számára: a FinFisher egy olyan iOS 10-es megoldást árul, mely lényegében bármely eszközre el tud juttatni felhasználói beavatkozás nélkül tetszőleges kódot és azt root jogokkal futtatni rajta – az iMessage eszközön keresztül. Az NSO Group-tól egy SMS-alapú támadáshoz lehet hozzájutni, amely ugyan megnyitja a böngészőt pár másodpercre, azonban felhasználói beavatkozást nem igényel – így például éjszaka láthatatlan maradhat. Végül támadóink a saját fejlesztés mellett döntöttek – a meglévő megoldások mindegyikében voltak olyan limitációk, melyek az ő konkrét céljaikra nehezen használhatóvá tették volna azokat.

A védekezés fontossága

Fentiekből is látszik, hogy mennyire fontos lehet a célzott támadások elleni védelem. A Lookout kutatói több mint 50 GB kiszivárogtatott adatot, valamint az elkészült malware több száz változatát találták meg a felfedezett szervereken. A célzott mobil támadások elleni védelemmel már évek óta foglalkozó cég a vezető piackutató cégek (Gartner, IDC) elemzéseiben vezető pozícióban van. A vezető megoldások valamelyikének használata elengedhetetlen lehet az ilyen és hasonló célzott támadások elkerüléséhez, ugyanis egy mobileszköz menedzsment (MDM) rendszer önmagában nem képes felismerni azokat, csupán a megfelelő integrációt követően.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s