Hackeři už si pro nás jdou

9. 1. 2020. (redaktor: František Doupal, zdroj: PatronIT)
Přemýšlíte, koho označuji slovem „nás“? Myslím tím sebe? Svou firmu? Nebo nás všechny, kteří čteme tento článek? Ano, třetí možnost je správně. Nás – čtenáře – lidi z IT oboru, kteří dodáváme svým zákazníkům služby nebo hardware.
Autorem článku je Martin Haller, odborník na IT bezpečnost a spoluzakladatel společnosti PatronIT

Hackeři nejsou hloupí! Spočítali si, že se jim vyplatí hackovat nás, poskytovatele služeb (MSP – Managed Services Provider). Protože s každým hacknutým poskytovatelem dostanou přístup k desítkám či stovkám zákazníků. Nač tedy hackovat zákazníky jednotlivě, když mohou se stejnou námahou hacknout jednoho dodavatele a skrze něj získat přístup ke stovkám jeho zákazníků?

Věc se týká nejen čistých IT MSP/MSSP, ale všech, kteří mají možnost vzdáleného přístupu ke svým zákazníkům. Například:

  • Dodavatelů informačních systémů, kteří se k zákazníkovi připojují na server, kde spravují dodávaný systém.
  • Poskytovatelů internetového připojení, skrze které tečou data, a umožňují útočníkům odposlechnout data, nebo provést MITM (Man in the middle).
  • Účetních firem, které se připojují k zákazníkům, aby jim spravovali účetnictví.
  • Nezávislých poradců, kteří pomáhají externě více zákazníkům s nějakou úzkou oblastí (např. sítě, zálohy, web).

Proč o tom píši? Jelikož se správou IT/hackingem živím a zároveň tímto oborem žiji, jsem v kontaktu s velkým množstvím lidí z oboru. Díky tomu vím, že velká část z nás není ještě dostatečně připravena. Kdežto hackeři již berou dodavatele v zahraničí střemhlavým útokem. Pro ilustraci:

  • Společnost Evelis, jedna z největších španělských MSP, byla v listopadu napadena a její data zašifrována. Požadované výkupné 750 000 eur. Spekuluje se, že skrze ni byla napadena i největší španělská rozhlasová síť Cadena SER. (zdroj)
  • V červenci jiná skupina hackerů zneužila zranitelnost v pluginu k jednomu monitorovacímu systému a zasáhla tak skrze jednoho MSP mezi 1 500 – 2 000 stanic s cenou výkupného 2 600 000 USD. Přitom stačilo, aby si MSP daný plugin aktualizoval (patch na chybu existoval již 18 měsíců). (zdroj)
  • Firma PM Consultants, která se specializovala na zubní ordinace, byla v červenci napadena a skrze ni i její zákazníci. Minulý čas jsem použil záměrně, protože firma „zavřela“ krám a nechala své zákazníky ve štychu a bez dat. (zdroj)
  • Hackeři se nevyhýbají ani obrovským společnostem. V dubnu se začalo mluvit o tom, že byla prolomena bezpečnost indické společnosti Wipro, která se zabývá IT službami a zaměstnává okolo 170 tisíc lidí na šesti kontinentech. Firma se snažila útok bagatelizovat a celkové škody tak nejsou známy. (zdroj).

Nebavíme se tu o „hloupém“ ransomwaru, co chodí e-mailem. Jde o útoky vedené inteligentními útočníky. Z toho, co při řešení incidentů vidím, se jejich schopnosti pohybují na úrovni středně zkušeného hackera. Útok plánují, postup upravují podle zjištěných informací, dokážou věci kombinovat/domýšlet a s každou prolomenou firmou se zlepšují.

Čeho jsou hackeři schopni

Abychom si sjednotili představu o tom, čeho jsou hackeři schopni, popíši vám, s čím se setkávám. Takzvaný „initial foothold“ (vstupní bod) většinou získávají skrze uniklé přihlašovací údaje, password spraying, spear phishing nebo exploitací zranitelné veřejně dostupné služby.

Nedělá jim problém detekovat, jaký typ VPN používáte a se získanými oprávněními se na ni připojit. Tedy v případě, že již nemají přístup do sítě získaný skrze „zavirovanou“ přílohu e-mailu.

Z komunikace s interním DNS serverem či poskytnutými IP „routami“ od VPN získají zběžný přehled o síti. Následně skenují IP rozsahy a hledají, co kde běží. Tím, že je to pro ně každodenní chleba, se zorientují během několika desítek minut.

Kontrolu nad prvními zařízeními získají skrze nalezené zranitelnosti (např. BlueKeep), slabé konfigurace (anonymní FTP, výchozí hesla) nebo využitím již získaných přihlašovacích údajů. Téměř vždy se na větší sítí (100+ zařízení) najde nějaké zastaralé neaktualizované zařízení. Ať jsou to Windows XP/2003 běžící kvůli nějaké aplikaci, linuxový server, na který se správce bojí šáhnout, nebo multifunkční tiskárna, která má v sobě uložené doménové účty s hesly, aby mohli uživatelé skenovat.

Ověření toho, jaké přihlašovací údaje kam pasují, dělají buď ručně, nebo využijí nástroj jako CrackMapExec, který je schopen ověřit přihlašovací údaje oproti stovkám počítačů během pár minut. Toto většinou na získání prvního kompromitovaného počítače stačí. V záloze však mají i nástroje jako BloodHound (dokáže najít způsob, jak se z uživatele stát domain adminem v důsledku různých vztahů v AD), nebo KerbBrute (Password spraying skrze Kerberos).

Z napadených zařízení následně tahají další přístupové údaje, které by jim mohly pomoci. Využívají k tomu Mimikatz a utility pro export uložených hesel z prohlížečů a Windows. Stejně tak projdou uložené dokumenty na ploše a v dokumentech. Protože jde o lidské útočníky, dokážou rozpoznat i různé správce hesel a získat z nich uložené údaje. Tím se často dopracují až k právům doménového administrátora a ovládnutí celé sítě.

Pokud jim stojí v cestě antivirus, tak jej odinstalují nebo deaktivují. Není pro ně problém ani použít konzole pro vzdálenou správu (GPO, centrální konzole antiviru, monitorovací systém), aby získali další přístupy, odinstalovali antivirus v celé síti nebo nasadili ransomware. Pokud během slídění v síti narazí na zálohy, tak je buď deaktivují nebo rovnou smažou (to je často důvod, proč firmám nezbývá nic než zaplatit výkupné).

Právě skrze monitorovací systém nebo správce hesel se dostanou k vašim zákazníkům. Pokud se je rozhodnou napadnout, je to velký problém. Zákazníky totiž napadají současně (např. naplánovanou úlohou skrze monitorovací systém). Vám pak ve stejný den zavolají všichni zákazníci, že mají v síti ransomware a nemohou pracovat. To je situace, do které se nikdo z nás samozřejmě nechce dostat.

Výše zmíněné věci provedou hackeři většinou během jedné noci. Snaží se totiž pracovat co nejrychleji a v takovém čase (o víkendech, nocích), aby bylo riziko, že je někdo včas odhalí a zastaví, nejnižší. Avšak jsou i případy, kdy hackeři seděli na síti oběti po delší dobu, zjišťovali o sítí více informací, sabotovali zálohy a vyčkávali na vhodnou chvíli k vypuštění ransomwaru. Jde však, dle mého názoru, o vzácnější případy prováděné těmi nejzkušenějšími hackery.

Co s tím

Každý z nás by si měl položit otázku, jak na tom vlastně jeho firma je a zdali by obstála proti hackerům. Jelikož máme většinou neomezený přístup k sítím zákazníků a jejich systémům, mělo by být naše zabezpečení minimálně o úroveň lepší.

Ideálně by měl danou problematiku ve firmě řešit někdo, kdo se počítačovou bezpečností zabývá. On je totiž ten, kdo ví, jak hackeři přemýšlí, jak útočí, jaké techniky používají a bude schopen dát dohromady vyvážená opatření. Pokud takového člověka nemáte, pokuste se jej najít.

Základem je vědět, jaké systémy, aplikace a zařízení ve firmě používáte. Sepište si je a určete, jaký dopad by měla jejich kompromitace na vaši firmu a zákazníky. Čím vyšší dopad, tím více je musíte chránit (princip tierování).

Nesmíte přehlédnout, že vaše pracovní stanice jsou jedny z nejdůležitějších zařízení, protože se z nich připojujete všude a vyskytují se v nich všechna hesla. Hacker by jejich kompromitací získal přístup ke všem zákazníkům. U nás ve firmě jsou pracovní stanice tak omezené, že na nich nelze spouštět nic kromě vyjmenovaných programů a kolegové nemají administrátorská práva (princip privilegovaných pracovních stanic).

Mezi vhodná bezpečnostní opatření se řadí implementovat 2FA u důležitých systémů, mít rozdělené kompetence ve firmě (aby každý nemohl všechno), využívat VPN, používat 802.1x pro kabelové i bezdrátové připojení do LAN, implementovat Windows Security Baselines, vyladit konfiguraci jednotlivých systémů, zbavit se nepodporovaných zařízení, odstranit nepoužívané aplikace, školit své kolegy, mít mechanismy pro detekci kompromitace, využívat IPS/IDS, být pečlivý (mít jistotu že je vše všude nastaveno dle plánu), být důslední (nedělat výjimky), nechat si vše překontrolovat od někoho, komu důvěřujete pro jeho odbornost, uzavřít si pojištění.

Závěr

Všechny ty krabičky a rady, co zákazníkům prodáváme, bychom měli nejprve sami používat a ideálně být ještě o krok dále. Hackerům totiž byznys kvete a dokud budou firmy platit výkupné (v USA i statisíce dolarů) bude se situace přiostřovat. Již nyní pozoruji, jak se schopnosti hackerů v posledních letech výrazně zlepšily.

Zákazníci se na nás všechny spoléhají, že svému řemeslu rozumíme, a nepřipouští si, že právě my bychom mohli být slabým článkem. Je naší povinností jejich důvěru nezklamat.

Autor: Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Štítky: 
Bezpečnost
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více