A Sophos elrettentő példaként mutatott be egy nem különösebben kifinomult, de mégis sikeres informatikai támadást.

A brit Sophos a hét elején tett közzé egy tanulságos sztorit a Lockbit zsarolóprogramot használó bűnözőkről, akik özel hat hónapot töltöttek egy meg nem nevezett amerikai regionális kormányhivatal hálózatában. Körülbelül egy hónappal azelőtt, hogy a szervezetnél elkezdték volna kivizsgálni a behatolást, a kiberbűnözők törölték a naplóadatok nagy részét, hogy elfedjék a nyomaikat. De ezt nem sikerült maradéktalanul végrehajtaniuk, sőt a böngésző keresési előzményeinek eltakarítására sem gondoltak, így a biztonsági cég szakemberei fel tudták vázolni a támadás menetét.

A hekkerek állítólag tűzfalat konfiguráltak át olyan módon, hogy az nyilvános hozzáférést biztosítson egy RDP-kiszolgálóhoz. Bár a jelentésből nem derül ki, hogy pontosan hogyan jutottak be a hálózatba, a The Register riportjában arról írnak, hogy egy rendszergazdai fiók eltérítésével oldották meg a dolgot, amelyen keresztül Windows domain adminisztrátori jogosultságokat is szereztek, ami nyilvánvalóan megkönnyítette számukra a hálózat feltárását és veszélyeztetését.

A ransomware-banda után egy csomó hekkereszköz maradt az irányított szerverekre és asztali számítógépekre teleítve, amelyek sikeres használatátra utaló naplókat is találtak a Sophos szakemberei. A beszámolóból szerint a támadók több útvonalat is biztosítani akartak maguknak az ügynökség gépeinek eléréséhez, hogy a vissza tudjanak kapcsolódni, ha egyiket vagy másikat lezárják. A jelentés alapján azonban a hálózat technikusai is követtek el baklövéseket, így például az egyik esetben a karbantartási munkák végeztével kikapcsolva felejtettek egy fontos védelmi funkciót.

A saját gépeiken keresgélték a rájuk szánt malware-eket

A kiberbűnözők netes kereséseiből kiderült, hogy a kormányzati számítógépeket használták különféle rosszindulatú szoftverek felkutatására és telepítésére. A hálózaton való, hónapokig tartó turkálás után a bűnözők aztán komolyra fordították a szót: a naplók azt mutatták, hogy telepítettek egy olyan nyílt forrású eszközt, amelyik már képes a bejelentkezési hitelesítő adatokat is kinyerni a Windows rendszerekből. A Sophos itt kiemeli, hogy víruskeresője jelezte az első ilyen próbálkozást, de az informatikai részleg nem vette figyelembe a program figyelmeztetését.

A biztonsági csapat öt hónap elteltével vette észre, hogy a rendszerek ismételten újraindulnak, és más esetekben is furcsán viselkednek. A hálózatok vizsgálata és szegmentálása, illetve az újjáépítések során azonban letiltották a szabotázsvédelmet (tamper protection), a támadók pedig a megszerzett hitelesítő adatok felhasználásával érzékeny fájlokhoz férek hozzá vagy titkosították azokat, és nekláttak egy újabb adag azonosító feltörésének is. A hivatal állítólag ekkor fordult a Sophos biztonsági elemzőihez, hogy együttműködjenek velük a hozzáférések leállításában és a kártevők eltávolításában.

A tanulságok összefoglalása a biztonsági cég oldalán is olvasható. Ilyen tanulság például, hogy a célpont informatikai csapata egy sor olyan stratégiai döntést hozott, amelyik lehetővé tette a támadók szabad mozgását és akadálytalan hozzáférését a belső erőforrásokhoz. A riasztásokra vagy a lecsökkent teljesítményre vonatkozó figyelmeztetéseket sem vették figyelembe, amivel pedig a támadás további szakaszainak vehették volna elejét, de a kritikus biztonsági funkciók letiltása volt az, amire a támadóknak szükségük volt az akciójuk befejezéséhez.

Részletek a behatolás jeleiről és a hálózaton belüli szokatlan viselkedésről a Sophos jelentésében »

Biztonság

Bug bounty programot hirdetett a legaktívabb hekkercsoport

Nem ismert sérülékenységek felfedezéséért általában az érintett cégek szoktak fizetni biztonsági szakembereknek. Ebben az esetben viszont egy bűnözői csoport ajánlott díjazást azoknak, akik hajlandók velük együttműködni.
 
Éltek már vissza a bankkártyaadataival? Ha nem, akkor azt nagy valószínűséggel egy csalásfelderítő rendszernek köszönheti.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.