Korea, Chile i bankomaty

Jak zmusić kogoś do ściągnięcia i uruchomienia podstawionego programu na komputerze firmy łączącej wszystkie chilijskie bankomaty? Jak się okazało, nie jest to szczególnie trudne. Z pomocą przychodzi LinkedIn i chęć ludzi do zmiany pracy.

Na początku stycznia, senator Felipe Harboe poinformował na Twitterze, że według jego informacji, nastąpił atak na firmę Redbanc – operatora sieci spinającej wszystkie bankomaty w Chile.

W odpowiedzi na tę informację, Redbanc potwierdził fakt ataku, poinformował o nim instytucję nadzorującą rynek finansowy i zapewnił, że atak nie miał wpływu na sieć bankomatów. Jak jednak doszło do naruszenia bezpieczeństwa?

Według dziennikarzy trendTIC, Redbanc stał się ofiarą ciekawie przeprowadzonego ataku social engineering. Wszystko zaczęło się od opublikowanego na LinkedIn ogłoszenia o poszukiwaniu programistów. Jednym z zainteresowanych okazał się być pracownik Redbancu, który potwierdził zainteresowanie ofertą, po czym rozpoczął proces rekrutacji. W tym czasie przeprowadzono z nim rozmowę (po hiszpańsku) via Skype, i – kiedy już „przeszedł pierwsze etapy” – poproszono o ściągnięcie i uruchomienie aplikacji służącej do wypełnienia zgłoszenia rekrutacyjnego w odpowiednim formacie. ApplicationPDF.exe uruchomił bez wzbudzania alarmów antywirusowych na komputerze ofiary – tak się złożyło, że był to jednocześnie komputer podpięty do sieci Redbanc.

Poza pytaniem o dane przydatne przy rekrutacji, ApplicationPDF zawierał oprogramowanie umożliwiające atakującym wejście do wewnętrznej sieci firmy. Jak można zobaczyć na HybridAnalysis, proces po uruchomieniu robił sporo rzeczy, których generator PDFów raczej powinien unikać. Analiza przeprowadzona przez Flashpoint wskazuje, że ApplicationPDF ściągał PowerRatankbę – przypisywane północnokoreańskiej grupie Lazarus narzędzie służące do rekonesansu sieci i ściągania modułów do przeprowadzania kolejnych faz ataku.

Jak twierdzi Redbanc, stały monitoring wewnętrznej sieci umożliwił szybkie wyłapanie podejrzanego ruchu i zablokowanie dalszych etapów ataku.

Jak się bronić?

W przypadku tego ataku, mamy do czynienia z wyjątkowo skutecznym social engineeringiem. Ofiarą padła osoba prawdopodobnie dość wykształcona technicznie, która prawdopodobnie nigdy nie uruchomiłaby załącznika przysłanego z losowego adresu mailem. Tu spory wpływ na powodzenie pierwszej fazy ataku miał fakt, że atakujący nie przyszedł do ofiary, lecz przygotował szeroko otwartą pułapkę, w którą załapywali się programiści rozglądający się za nowym zajęciem. To nie atakujący docierał do atakowanego, lecz ofiara sama się zgłaszała i chętnie wykonywała kolejne „zadania rekrutacyjne”.

W przypadku służbowych komputerów osób technicznych (jak programiści), trudno zablokować możliwość instalowania zewnętrznego oprogramowania – jest ono potrzebne w pracy, podobnie zresztą jak pełna kontrola nad komputerem. Z tego powodu klasyczna rada „nie pozwalaj na uruchamianie nieznanego oprogramowania” nie zadziała.

To, co uchroniło Redbanc przed eskalacją ataku, to pełen monitoring sieci lokalnej i wyłapywanie nietypowych zachowań. I to chyba najlepsze działanie, które może zmniejszyć skutki ataku.

Co jako pojedyncze osoby możemy zrobić, by nie narazić swoich pracodawców lub partnerów biznesowych na szkody wywołane tego typu atakiem? Osobiście stosuję od wielu lat politykę korzystania ze służbowego sprzętu wyłącznie w celach służbowych. Nigdy nie loguję się z niego na prywatne konta, nigdy nie uruchamiam znanego i nieznanego oprogramowanie zbędnego do wykonania konkretnych zadań. Do tego służy mi osobny laptop, zwykle podpięty do sieci 'guest’ – właśnie po to, by maszyna podpinana „wszędzie” nie stała się mimowolnym źródłem zakażenia.

No i kto odpala aplikacje mówiące 'chcę zmienić pracę’ na służbowym komputerze…? 😉

Źródła:

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →