Jak zmusić kogoś do ściągnięcia i uruchomienia podstawionego programu na komputerze firmy łączącej wszystkie chilijskie bankomaty? Jak się okazało, nie jest to szczególnie trudne. Z pomocą przychodzi LinkedIn i chęć ludzi do zmiany pracy.
Na początku stycznia, senator Felipe Harboe poinformował na Twitterze, że według jego informacji, nastąpił atak na firmę Redbanc – operatora sieci spinającej wszystkie bankomaty w Chile.
Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque
— Felipe Harboe B (@felipeharboe) January 8, 2019
W odpowiedzi na tę informację, Redbanc potwierdził fakt ataku, poinformował o nim instytucję nadzorującą rynek finansowy i zapewnił, że atak nie miał wpływu na sieć bankomatów. Jak jednak doszło do naruszenia bezpieczeństwa?
Według dziennikarzy trendTIC, Redbanc stał się ofiarą ciekawie przeprowadzonego ataku social engineering. Wszystko zaczęło się od opublikowanego na LinkedIn ogłoszenia o poszukiwaniu programistów. Jednym z zainteresowanych okazał się być pracownik Redbancu, który potwierdził zainteresowanie ofertą, po czym rozpoczął proces rekrutacji. W tym czasie przeprowadzono z nim rozmowę (po hiszpańsku) via Skype, i – kiedy już „przeszedł pierwsze etapy” – poproszono o ściągnięcie i uruchomienie aplikacji służącej do wypełnienia zgłoszenia rekrutacyjnego w odpowiednim formacie. ApplicationPDF.exe uruchomił bez wzbudzania alarmów antywirusowych na komputerze ofiary – tak się złożyło, że był to jednocześnie komputer podpięty do sieci Redbanc.
Poza pytaniem o dane przydatne przy rekrutacji, ApplicationPDF zawierał oprogramowanie umożliwiające atakującym wejście do wewnętrznej sieci firmy. Jak można zobaczyć na HybridAnalysis, proces po uruchomieniu robił sporo rzeczy, których generator PDFów raczej powinien unikać. Analiza przeprowadzona przez Flashpoint wskazuje, że ApplicationPDF ściągał PowerRatankbę – przypisywane północnokoreańskiej grupie Lazarus narzędzie służące do rekonesansu sieci i ściągania modułów do przeprowadzania kolejnych faz ataku.
Jak twierdzi Redbanc, stały monitoring wewnętrznej sieci umożliwił szybkie wyłapanie podejrzanego ruchu i zablokowanie dalszych etapów ataku.
Jak się bronić?
W przypadku tego ataku, mamy do czynienia z wyjątkowo skutecznym social engineeringiem. Ofiarą padła osoba prawdopodobnie dość wykształcona technicznie, która prawdopodobnie nigdy nie uruchomiłaby załącznika przysłanego z losowego adresu mailem. Tu spory wpływ na powodzenie pierwszej fazy ataku miał fakt, że atakujący nie przyszedł do ofiary, lecz przygotował szeroko otwartą pułapkę, w którą załapywali się programiści rozglądający się za nowym zajęciem. To nie atakujący docierał do atakowanego, lecz ofiara sama się zgłaszała i chętnie wykonywała kolejne „zadania rekrutacyjne”.
W przypadku służbowych komputerów osób technicznych (jak programiści), trudno zablokować możliwość instalowania zewnętrznego oprogramowania – jest ono potrzebne w pracy, podobnie zresztą jak pełna kontrola nad komputerem. Z tego powodu klasyczna rada „nie pozwalaj na uruchamianie nieznanego oprogramowania” nie zadziała.
To, co uchroniło Redbanc przed eskalacją ataku, to pełen monitoring sieci lokalnej i wyłapywanie nietypowych zachowań. I to chyba najlepsze działanie, które może zmniejszyć skutki ataku.
Co jako pojedyncze osoby możemy zrobić, by nie narazić swoich pracodawców lub partnerów biznesowych na szkody wywołane tego typu atakiem? Osobiście stosuję od wielu lat politykę korzystania ze służbowego sprzętu wyłącznie w celach służbowych. Nigdy nie loguję się z niego na prywatne konta, nigdy nie uruchamiam znanego i nieznanego oprogramowanie zbędnego do wykonania konkretnych zadań. Do tego służy mi osobny laptop, zwykle podpięty do sieci 'guest’ – właśnie po to, by maszyna podpinana „wszędzie” nie stała się mimowolnym źródłem zakażenia.
No i kto odpala aplikacje mówiące 'chcę zmienić pracę’ na służbowym komputerze…? 😉
Źródła: