A Sophos elrettentő példaként mutatott be egy nem különösebben kifinomult, de mégis sikeres informatikai támadást.

A brit Sophos a hét elején tett közzé egy tanulságos sztorit a Lockbit zsarolóprogramot használó bűnözőkről, akik özel hat hónapot töltöttek egy meg nem nevezett amerikai regionális kormányhivatal hálózatában. Körülbelül egy hónappal azelőtt, hogy a szervezetnél elkezdték volna kivizsgálni a behatolást, a kiberbűnözők törölték a naplóadatok nagy részét, hogy elfedjék a nyomaikat. De ezt nem sikerült maradéktalanul végrehajtaniuk, sőt a böngésző keresési előzményeinek eltakarítására sem gondoltak, így a biztonsági cég szakemberei fel tudták vázolni a támadás menetét.

A hekkerek állítólag tűzfalat konfiguráltak át olyan módon, hogy az nyilvános hozzáférést biztosítson egy RDP-kiszolgálóhoz. Bár a jelentésből nem derül ki, hogy pontosan hogyan jutottak be a hálózatba, a The Register riportjában arról írnak, hogy egy rendszergazdai fiók eltérítésével oldották meg a dolgot, amelyen keresztül Windows domain adminisztrátori jogosultságokat is szereztek, ami nyilvánvalóan megkönnyítette számukra a hálózat feltárását és veszélyeztetését.

A ransomware-banda után egy csomó hekkereszköz maradt az irányított szerverekre és asztali számítógépekre teleítve, amelyek sikeres használatátra utaló naplókat is találtak a Sophos szakemberei. A beszámolóból szerint a támadók több útvonalat is biztosítani akartak maguknak az ügynökség gépeinek eléréséhez, hogy a vissza tudjanak kapcsolódni, ha egyiket vagy másikat lezárják. A jelentés alapján azonban a hálózat technikusai is követtek el baklövéseket, így például az egyik esetben a karbantartási munkák végeztével kikapcsolva felejtettek egy fontos védelmi funkciót.

A saját gépeiken keresgélték a rájuk szánt malware-eket

A kiberbűnözők netes kereséseiből kiderült, hogy a kormányzati számítógépeket használták különféle rosszindulatú szoftverek felkutatására és telepítésére. A hálózaton való, hónapokig tartó turkálás után a bűnözők aztán komolyra fordították a szót: a naplók azt mutatták, hogy telepítettek egy olyan nyílt forrású eszközt, amelyik már képes a bejelentkezési hitelesítő adatokat is kinyerni a Windows rendszerekből. A Sophos itt kiemeli, hogy víruskeresője jelezte az első ilyen próbálkozást, de az informatikai részleg nem vette figyelembe a program figyelmeztetését.

A biztonsági csapat öt hónap elteltével vette észre, hogy a rendszerek ismételten újraindulnak, és más esetekben is furcsán viselkednek. A hálózatok vizsgálata és szegmentálása, illetve az újjáépítések során azonban letiltották a szabotázsvédelmet (tamper protection), a támadók pedig a megszerzett hitelesítő adatok felhasználásával érzékeny fájlokhoz férek hozzá vagy titkosították azokat, és nekláttak egy újabb adag azonosító feltörésének is. A hivatal állítólag ekkor fordult a Sophos biztonsági elemzőihez, hogy együttműködjenek velük a hozzáférések leállításában és a kártevők eltávolításában.

A tanulságok összefoglalása a biztonsági cég oldalán is olvasható. Ilyen tanulság például, hogy a célpont informatikai csapata egy sor olyan stratégiai döntést hozott, amelyik lehetővé tette a támadók szabad mozgását és akadálytalan hozzáférését a belső erőforrásokhoz. A riasztásokra vagy a lecsökkent teljesítményre vonatkozó figyelmeztetéseket sem vették figyelembe, amivel pedig a támadás további szakaszainak vehették volna elejét, de a kritikus biztonsági funkciók letiltása volt az, amire a támadóknak szükségük volt az akciójuk befejezéséhez.

Részletek a behatolás jeleiről és a hálózaton belüli szokatlan viselkedésről a Sophos jelentésében »

Biztonság

Az Apple-nél is belátták, hogy vége az eddigi világnak

A WSJ szerint eldőlt, hogy az Apple elviszi Kínából a termelésének egy jelentős részét, bár a jelenlegi gazdasági helyzetben ez rendkvül nehéz feladatnak ígérkezik.
 
Bár az 5G-s beruházások megtérülését biztosító alkalmazási területeket még a szolgáltatók és az ügyfelek is keresik, a fejlesztési kényszer megvan, mert aki ebből kimarad, lemarad.

a melléklet támogatója a Yettel

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.