Raport Specjalny | Cyberzagrożenia | Zaawansowane cyberataki

BANK 2021/12

Cyberprzestępcy co chwila zmieniają sposoby i metody ataków. Jednym z zaawansowanych schematów kryminalnych są długotrwałe ataki APT. Nie gardzą też spear-phishingiem, narzędziami zdalnego dostępu lub takimi mechanizmami, jak moduł ładujący PlugX.

Fot. Mykyta/stock.adobe.com

Cyberprzestępcy co chwila zmieniają sposoby i metody ataków. Jednym z zaawansowanych schematów kryminalnych są długotrwałe ataki APT. Nie gardzą też spear-phishingiem, narzędziami zdalnego dostępu lub takimi mechanizmami, jak moduł ładujący PlugX.

Zmienia się też cel przestępczej aktywności. Nie jest nim już bezpośrednia infekcja systemów informatycznych, ważniejszy staje się dostęp do poufnych danych lub poznanie struktury organizacyjnej firmy, aby zakłócać jej funkcjonowanie w późniejszym czasie. Wprowadzone przez nich oprogramowanie coraz częściej nie wykazuje cech destrukcyjnych. W czasie zaawansowanych ataków trwałego zagrożenia (APT) hakerzy uzyskują i utrzymują nieautoryzowany dostęp do zaatakowanej sieci, przy czym przez dłuższy czas pozostają niewykrytymi. Chodzi im o eksfiltrację danych, czyli nieautoryzowany ich transfer, a nie powodowanie awarii sieci, odmowy usługi lub infekowanie systemów złośliwym oprogramowaniem.

I hakerzy, i rządzący…

Jak ocenia firma Cisco, APT często wykorzystują taktyki inżynierii społecznej lub luki w oprogramowaniu w instytucjach dysponujących informacjami o wysokiej wartości. Na takich ataków może skorzystać tak sektor prywatny, jak i publiczny. Podejrzewa się nawet, że rządy niektórych państw wykorzystywały APT do zakłócania określonych operacji wojskowych lub wywiadowczych. Jako przykłady podaje się ataki Titan Rain, Ghostnet czy Stuxnet. Mniejsze grupy używają prostszych narzędzi, aby uzyskać dostęp, ukraść własność intelektualną i zyskać przewagi konkurencyjne.

We wrześniu 2021 r. amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) opublikowała ostrzeżenie, że hakerzy aktywnie wykorzystują nowo zidentyfikowane luki w samoobsługowym zarządzaniu hasłami i rozwiązaniu jednokrotnego logowania, znanym jako ManageEngine ADSelfService Plus. Używali przy tym programów Godzilla i NGLite, opracowanych z chińskimi instrukcjami, publicznie dostępnych do pobrania na GitHub.

Godzilla to bogata w funkcje powłoka internetowa, która analizuje przychodzące żądania HTTP POST, odszyfrowuje dane za pomocą tajnego klucza, wykorzystuje odszyfrowaną zawartość do wykonania dodatkowych funkcji i zwraca wynik za pośrednictwem odpowiedzi HTTP. Dzięki temu hakerzy mogą zatrzymać kod, który mógłby zostać oznaczony jako złośliwy, docelowym systemem do czasu aż będą gotowi do jego użycia. NGLite został opisany przez autora jako „anonimowy wieloplatformowy program do zdalnego sterowania oparty na technologii blockchain”. Do tego rodzaju programów należy także KdcSponge – nowatorskie narzędzie do kradzieży poświadczeń, wdrażane na kontrolerach domen.

W podsumowaniu aktywności zaawansowanych trwałych zagrożeń po III kw. 2021 r., opublikowanym przez Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky, odnotowano takie trendy, jak ataki na łańcuch dostaw m.in. SmudgeX, DarkHalo i Lazarus, czy też wykorzystanie zaawansowanych i wysoce wydajnych ładunków, zainscenizowanych przez komercyjny framework poeksploatujący znany jako Slingshot. Bootkity – pomimo środków zaradczych, wprowadzonych przez Microsoft, aby uczynić je trudniejszymi do wdrożenia w systemie operacyjnym Windows, wciąż pozostają aktywnym składnikiem niektórych głośnych APT. W obecnym kwartale zaobserwowano też nienormalny wzrost incydentów pochodzący od tzw. chińskojęzycznych grup zagrożeń, przy jednoczesnym spadku aktywności na Bliskim Wschodzie. Inżynieria społeczna pozostaje kluczową metodą inicjowania ataków, istotnym wyzwaniem są też exploity (CloudComputating, Origami Elephant, Andariel), w tym wykorzystujące luki w oprogramowaniu układowym.

Spear phishing

Cyberprzestę...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: