Night Dragon: nový druh online útoku na firmy

Myslíte, že profesionálním útokům už odzvonila hrana a terčem jsou jen běžní Frantové uživatelé? Pak jste na omylu, nově se objevil útok Night Dragon.

Již dávno skončily doby, kdy se počítačoví útočníci rodili především z řad technických nadšenců a fandů moderních technologií, kteří si chtěli dokázat své schopnosti a vyzkoušet nové věci. Postupem času se z počítačových útoků stal výnosný byznys, hlavním cílem útočníků je zisk. V několika posledních měsících se navíc objevily ukázky škodlivého kódu a scénáře útoků, jež cílí na kritickou infrastrukturu, především řídicí systémy velkých průmyslových podniků. Do stejné kategorie spadá také útok Night Dragon, na který minulý týden upozornila společnost McAfee.

Podle citované zprávy bylo útokem Night Dragon postiženo minimálně deset významných firem, z nichž pět tento incident již potvrdilo. Jména postižených společností prozatím nejsou zveřejněna, společnost McAfee vystopovala jednoho z pachatelů v Číně, kde byly umístěny řídicí servery útočníků, do akce však téměř jistě bylo zapleteno velké množství lidí/subjektů z celého světa. Jedná se o koordinovanou a přesně cílenou akci, která směřuje proti globálním společnostem působícím v oblasti těžby ropy, petrochemického průmyslu a energetiky.

McAfee identifikovalo řadu pokročilých nástrojů a technik, které byly při útoku použity. Celá operace pravděpodobně začala v listopadu roku 2009, možná i dříve. Zahrnovala sociální inženýrství, lámání hesel, cílený phishing, zneužití zranitelností ve webových serverech pomocí metody SQL injection, zneužití bezpečnostních chyb v operačním systému Windows a ve službě Microsoft Active Directory. Útočníci dokázali ovládnout systémy v sítích postižených firem pomocí nástrojů pro vzdálenou správu, a dostali se tak k archivům e-mailů i dalším citlivým firemním informacím. Ve vysoce konkurenčním odvětví, jakým je ropný průmysl a energetika, mají uniklé informace potenciálně hodnotu mnoha miliard dolarů.

O aktuálních hrozbách na Internetu se můžete dozvědět více na celodenní konferenci Trendy v internetové bezpečnosti 2011, která se koná už příští týden. Konference zahrne témata od virových hrozeb přes botnety, podvodné e-shopy, rizika sociálních sítí, rizika cloud computingu, pojistné podvody na Internetu, rizika platebních karet a jiných platebních metod, mobilní bezpečnost. Kompletní program najdete zde.

Na celé operaci Night Dragon je kromě jiného zajímavé to, že i přes svůj velký rozsah a případný značný dopad nepřinesla nijak převratnou inovaci v typu útoku, naopak skloubila dobře známé techniky. Součástí útoku se stalo také využití standardně dostupných systémových nástrojů (například původních programů Sysinternals), resp. specializovaných hackerských nástrojů, které jsou na webu volně ke stažení. Útočníci se tedy vžili do role svébytného režiséra, který má v hlavě novou myšlenku a vdechne jí život vhodným obsazením dostupných kandidátů – není zapotřebí piplat nové.


Základní schéma útoku Night Dragon. Zdroj: McAfee

Šalamounsky podstrčený malware

Útočníci v rámci operace Night Dragon zneužívají také nástroje známé pod zkratkou RAT (Remote Administration Tool), tedy programy, jež primárně slouží pro vzdálenou správu systému. Oprášení této techniky patří mezi nejčastější praktiky současnosti, zpravidla totiž uživateli stačí podstrčit malware maskovaný za jinou aplikaci, a to v podobě klasického trojského koně.

Nahlédneme-li pod kůži záškodnického kódu hlouběji, může být zajímavé sledovat možnosti reakce antivirových společností. Jakmile je trojský kůň odhalen a analyzován, obohatí se databáze signatur o nový přírůstek. Od takové chvíle lze trojského koně detekovat ochranou v reálném čase a eliminovat ještě dříve, než se pustí do infikování dalších počítačů nebo lokální zneužití dat. Možnost pozdější kontroly a odhalení post factum však ztrácí význam, jelikož trojský kůň si již své vykonal a dokázal otevřít vrátka pro zneužití.

Trojské koně představují další z řady hrozeb, které na uživatele číhají a často skrytě čekají na správný čas útoku. Dodržováním základních pravidel při práci s neznámými e-mailovými přílohami, pomocí správně nakonfigurovaného firewallu a nikdy nespícího antivirového systému se jim však každý může do velké míry bránit. A pokud se vám někdy někdo bude snažit podstrčit nějaký ten softwarový dáreček, zkuste si vzpomenout na starou Tróju. Právě jí se totiž tvůrci trojských koní inspirují a snaží se malware zamaskovat lákavě blyštivým dárkovým balením.


Jedna z mnoha stránek, které kromě warezu nabízejí také informace o exploitech a PoC kódy

Profi útoky opět na výsluní

S postupným prorůstáním Internetu do stále většího počtu domácností stoupá také počet lidí, kteří se k němu dostanou z ničeho nic, brány online světa se jim najednou s pořádnou fanfárou naplno otevřou. Tato skupina ale nejzranitelnější, není proto divu, že si útočníci za nejčastější oběti vybírají právě její zástupce. Drtivá většina z vás, pravidelných čtenářů informací a novinek online světa, se po obdržení e-mailu s žádostí o zadání loginu a hesla k online bankovnictví pouze ušklíbne a poznamená něco o naivních pokusech. Stejně tak v případech zpráv s příslibem fotky Angeliny Jolie v příloze nebo doručení skvělého prográmku zdarma, od neznámého odesilatele samozřejmě.

Z podobných pokusů o útoky ale začínající podvodníci získají zpravidla oněch pomyslných „pár babek“, a tak se vyplatí útočit ve velkém. Night Dragon je příkladem útoků, které se sice zatím objevují pouze sporadicky, nicméně do budoucna by mohlo jít o hlavní techniku útočníků – napadnout kriticky významné systémy a jejichž prostřednictvím získat další moc, přístup k jednotlivým důležitým podsítím nebo řídicím systémům.

EBF16

Zdá se, že ty tam jsou doby klasického škodlivého kódu takového, jak jej pamětníci znají řadu let zpět. Na počátku roku se odhady a predikce společně shodovaly na tom, že bude vzrůstat počet útoků na naše soukromí a neklesne ani frekvence pokusů o vyloudění citlivých informací. Spyware, speciálně upravené trojské koně a klasické phishingové techniky nyní vládnou světu bezpečnosti. Otázkou zůstává, jak se jim do budoucna budeme bránit, nakolik toho budeme schopni. Nejde o pár příštích týdnů nebo měsíců, ale výhledově časový horizont v řádu let. Stačí si uvědomit, jak překotný vývoj se v této oblasti odehrál během pár posledních roků.

Nedávno Stuxnet, nyní Night Dragon. Co přijde během následujících měsíců? Útoky se stále více profesionalizují a jejich terči se stávají důležité systémy. Domácí uživatelé ani tak nemůžou být v klidu, nicméně v sázce začíná být každým dnem stále více i mimo tento jinak pro útočníky lákavý svět. Obrana bude náročnější, nejdůležitější však vždy bude zdravá podezřívavost, jen tak to útočníkům zbytečně neulehčíme.

20 názorů Vstoupit do diskuse
poslední názor přidán 21. 2. 2011 15:11

Školení e-mail marketingu

  •  
    Jak získat e-mailové kontakty
  • Jak udělat e-mailing více relevantní
  • Jak zavést automatizované kampaně

Detailní informace o školení e-mailingu »