5

Jak działają cyberprzestępcy? Na pewno nie tak, jak w filmach

W wątkach cyberprzestępczych przeróżnych dzieł kultury widzieliśmy już wiele “romantycznych” scen, w których to genialny specjalista wstukuje “na szybko” porcje komend, po czym niepostrzeżenie buszuje sobie na wybranym przez siebie serwerze. Czy tak wygląda to w rzeczywistości? Na pewno przy komputerze należy “być”. Ale na uproszczenia z filmów i seriali nie ma tutaj miejsca.

Myśląc o tym, jak działają cyberprzestępcy, trzeba wiedzieć o tym, że na wspomniany “romantyzm” absolutnie nie ma miejsca. Cyberprzestępczość to nierzadko połączenie ogromnej wiedzy na temat zabezpieczeń, długich analiz oraz… socjotechniki. Obydwie strony “konfliktu”, który odbywa się na cyberfroncie, doskonale zdają sobie sprawę z tego, że nierzadko najprościej jest wykorzystać lukę, która wprost wynika z ludzkich zachowań, a nie błędów po stronie sprzętu lub oprogramowania.

Musimy być świadomi również tego, że niektóre ataki cybernetyczne uchodzą naszej uwadze: dlaczego? Odbywają się one po stronie infrastruktur krytycznych lub obiektów militarnych. Tego typu zdarzenia to codzienność analityków ds. bezpieczeństwa cybernetycznego – właściwie każdego dnia notuje się takie lub podobne ataki, przynajmniej ich próby. Jakie są motywy osób, które za nimi stoją? Są bardzo różne: od kradzieży informacji, aż po umieszczenie elementów “nasłuchu” wewnątrz atakowanej sieci urządzeń.

Od socjotechniki, aż po wyrafinowany atak

Seria ataków “Operation In(ter)ception” to incydenty, które szerzej opisał ESET na swoich stronach, gdzie dzieli się szczegółowymi danymi na temat incydentów w cyberprzestrzeni. Aby znaleźć cele, atakujący wykorzystali platformę LinkedIn, gdzie rozglądali się za pracownikami konkretnych firm, oferując im dostęp do ciekawych ofert pracy. Mając już pogląd na to, jak wygląda sytuacja interesujących ich podmiotów w cyberprzestrzeni, przystąpili oni do stworzenia własnego, wielopoziomowego programu typu malware, który wykorzystywał popularne narzędzia lub funkcje systemu operacyjnego. Co więcej, cyberprzestępcy postanowili wprowadzić w program techniki, które zabezpieczają ich przed analizowaniem złośliwego kodu.

To, co odkryli badacze z ESET-a wskazuje, iż cyberprzestępcy albo pochodzą z grupy Lazarus, albo są oni z nimi w jakiś sposób związani. Dotychczasowe analizy bowiem wskazują, że użyte techniki służące prewencji analizy kodu były bardzo podobne do tego, co już wcześniej robiła wspomniana grupa. Ale nie tylko – również dobór celów, a także środowisko, w którym tworzyli cyberprzestępcy wskazuje na grupę Lazarus. Niemniej, twardego dowodu na razie brak w tej materii.

– Lazarus to jedna z tzw. grup APT, czyli grup cyberprzestępców działających na zlecenie konkretnych państw. W przypadku Lazarusa jest to Korea Północna, a ich ataki mają charakter polityczny – opowiada Kamil Sadkowski, starszy analityk zagrożeń w krakowskim laboratorium firmy ESET. – W atakach APT przestępcy używają bardziej wyspecjalizowanych i zaawansowanych metod – rozpoczynają od szczegółowego rekonesansu sieci i struktur organizacji, by następnie podszyć się pod jej konkretnych kontrahentów lub pracowników. Nierzadko w parze z metodami socjotechnicznymi atakujący wykorzystują nieznane publicznie luki w aplikacjach lub systemach, aby zwiększyć szansę powodzenia ataku. Podstawowy cel to przejęcie dostępu w sieci w sposób trwały, a jednocześnie niezauważalny dla użytkowników i administratorów tej sieci. Po osiągnięciu tego celu atakujący są w stanie uzyskać kontrolę nad przepływem poufnych i tajnych danych w organizacji, czyli – mówiąc inaczej – wykonywać działalność szpiegowską. W niektórych przypadkach, gdy grupa APT przejmie kontrolę nad infrastrukturą krytyczną, dopuszcza się sabotażu.

Do akcji wykorzystano fałszywe profile. Z ich pomocą przestępcy odzywali się do pracowników konkretnych firm z atrakcyjną ofertą pracy u konkurencji. Co ważne, przestępcy wykorzystywali w tym celu realnie funkcjonujące przedsiębiorstwa, na wypadek gdyby potencjalne ofiary chciały ich zweryfikować. W trakcie rozwoju konwersacji, cyberprzestępcy zaczęli wykorzystywać kombinację fałszywych adresów e-mail oraz plików umieszczonych w chmurze OneDrive. Wewnątrz przykładowego pliku (RAR, zabezpieczony hasłem) można było znaleźć plik LNK (rozszerzenie dla skrótu w systemie Windows) – ten z kolei otwierał zdalny plik PDF w domyślnej przeglądarce ofiary. W PDF znajdowały się oferty pracy oraz możliwe do uzyskania zarobki – jednak była to jedynie “zasłona dymna”. W tle bowiem, przy użyciu wiersza poleceń systemu Windows, tworzono nowy folder oraz kopiowano plik WMI Commandline Utility (WMIC.exe), co wykorzystano do wstrzykiwania złośliwego kodu.

Przy okazji w tym miejscu widać prawdziwą siłę dobrze przygotowanego ataku socjotechnicznego. Podszywając się pod rekruterów przestępcy nie tylko mieli przekonujący powód, by nawiązać kontakt ze swoimi potencjalnymi ofiarami, ale także zapewniali sobie, że taki atak długo pozostanie niewykryty. W końcu niewielu pracowników przyzna się przed swoim pracodawcom, że na służbowym komputerze otwierali plik z ofertą pracy u konkurencji. Oczywiście taka informacja prędzej czy później wypłynie, ale wydłuża to znacząco czas potrzebny na wykrycie incydentu, a to działa na korzyść cyberprzestępców.

Dalej już uzyskiwano właściwie pełną kontrolę nad maszyną – za pomocą WMIC.exe, gdzie ustalano zadanie w harmonogramie do wykonania (poprzez skrypt XSL) – wtedy pobierał się tzw. “Downloader”, który miał za zadanie umieścić na komputerze ofiary backdoor (jako faza druga). W tym wypadku, program wysyła zapytania do serwera kontrolującego złośliwe oprogramowanie oraz wykonuje konkretne zadania, które pozostawiono na tym serwerze.

W ogromnym skrócie:

  • Najpierw wykorzystano socjotechnikę, działano na wyobraźnię ofiar
  • Podsunięto im prawdziwe informacje w połączeniu ze złośliwymi plikami korzystając z fałszywych adresów e-mail
  • Doprowadzano do pobrania się “downloadera”, a następnie wielopoziomowego backdoora
  • Wprowadzano do komputera zmodyfikowaną formę PowerShell (PowerShdll)
  • Na komputerach znajdowano charakterystyczne pliki DLL, które służyły do wykonywania złośliwego kodu
  • Pojawiały się także “beacony DLL”, dzięki którym weryfikowano połączenia ze zdalnymi serwerami
  • Skorzystano także z dbxcli, open-source’owej linii poleceń Dropboksa, do analizy danych.

Skomplikowany atak wymaga… trudnych przedsięwzięć

Na pewno słyszeliście o atakach na Facebooku, gdzie znajomy prosi nas o wejście na konkretną stronę, gdzie znajduje się coś interesującego. Codziennie mamy do czynienia z kontami, które zaatakował “wirus”, a raczej skrypt, który każe profilowi umieścić w zadanych miejscach konkretne treści, które pozwalają rozprzestrzeniać się zarazie.

Co łączy tak proste ataki z tym, o czym przedstawiliśmy wyżej? Socjotechnika i kompletny brak “romantyczności” ataku. Cyberprzestępcy mają jasny cel do wykonania – jest to albo wykradzenie informacji, albo wykonanie zdalnego kodu na konkretnych maszynach, albo bezpośrednie zaatakowanie ofiar i zmonetyzowanie sukcesów (np. poprzez fałszywe faktury do opłacenia). Motywów jest mnóstwo, a wiele ataków łączy jedno: człowiek jest najsłabszym ogniwem. Atak powyżej nie udałby się na pewno, gdyby nie nieuważni pracownicy konkretnych firm.

– Socjotechnika nadal pozostaje jednym z najgroźniejszych narzędzi w arsenale cyberprzestępców, a wynika to z prostej przyczyny – człowieka jest zazwyczaj dużo łatwiej oszukać niż maszynę – wyjaśnia Kamil Sadkowski. – Główną techniką socjotechniczną wykorzystywaną przez przestępców jest podszywanie się pod znane i zaufane firmy, instytucje, podmioty. Atakujący liczą na to, że ofiara nie zauważy podstępu i kliknie w przesłany jej link lub załącznik. Oszuści tworzą także fałszywe strony internetowe łudząco przypominające te prawdziwe, nakłaniając użytkownika do wprowadzenia na takiej podstawionej stronie newralgicznych informacji w postaci danych logowania lub danych karty płatniczej.

Czy jesteśmy bezbronni w stosunku do takich ataków? Oczywiście, że nie – cały czas myśli się o tym, w jaki sposób zabezpieczać użytkowników przed tego typu atakami. Wystarczy spojrzeć na to, co robi US National Institute of Standards and Technology – narzędzie Phish Scale pozwoli nam zrozumieć, dlaczego w niektóre złośliwe kampanie e-mail klikamy częściej, a w inne rzadziej. To zaś pozwoli nam ocenić, jakie elementy phishingu działają dobrze i warto mieć je na uwadze, a które są skuteczne w mniejszym stopniu.

W wyżej podanym przykładzie mamy do czynienia z bardzo rozbudowanym phishingiem – cyberprzestępcy najpierw zainwestowali swój czas oraz zasoby w “prawdziwą rozmowę” ze swoim celem, udając rekruterów konkretnych firm, a następnie podsuwając im złośliwe pliki. Niewiele to ma wspólnego z wklepywaniem komend lub tworzeniem kodu “na szybko” w filmach, czy serialach, prawda? Nie ma tutaj miejsca na wyświetlanie się okienek w stylu “Hacking… please wait” z paskiem postępu, czy kolorowymi animacjami prezentującymi dobranie się do plików na serwerze. Nie, to tak nie działa – poczynania cyberprzestępców są znacznie bardziej wyrafinowane, a wszelkie próby ataku – najczęściej doskonale zaplanowane.

Plan jest konstruowany w najmniejszych szczegółach – bazując na poprzednich doświadczeniach lub doświadczeniach innych grup. Nie bez znaczenia jest to, że istnieje handel złośliwym oprogramowaniem między cyberprzestępcami – wykorzystuje się je albo w takiej formie, albo dostosowuje do własnych celów. Przeciwwagą dla tych procederów są firmy specjalizujące się w zabezpieczeniach, jak ESET, które analizują działania cyberprzestępców. Na podstawie zbieranych danych i informacji mogą natomiast doskonalić swoje produkty w taki sposób, aby skutecznie neutralizowały wszelkie próby ataku.

Hakowanie jak “Matrix”

W rzeczywistości nie jest tak, jak w Matriksie, gdzie operatorzy doskonale widzieli w “kodzie” konkretnych ludzi, czy zdarzenia. Cyberprzestępcy to rozległe grupy, gdzie znajdują się specjaliści od socjotechniki oraz prawdziwi mistrzowie kodu, którzy doskonale wiedzą o tym, jak zaatakować odpowiedni system operacyjny lub jak wykorzystać w nim konkretne luki.

Co więcej, należy ustanowić serwer, który posłuży nam do koordynowania całej akcji. Aby dobrze się przygotować, trzeba mieć naprawdę szczegółowy plan – sam fakt zajęcia miejsca za klawiaturą i wpisania na szybko wielu komend nie załatwia sprawy. Nie powoduje to jednak, że jesteśmy mniej narażeni na działania “genialnych hakerów”. Wręcz przeciwnie – nierzadko sami wpadamy w ich sidła, co pokazują powyższe przypadki opisywane przez speców z ESET. A to oznacza tylko jedno – powinniśmy pamiętać o odpowiednim zabezpieczeniu naszych urządzeń.

Wpis został stworzony we współpracy z ESET.