Hackeři už si pro nás jdou

9. 1. 2020. (redaktor: František Doupal, zdroj: PatronIT)
Přemýšlíte, koho označuji slovem „nás“? Myslím tím sebe? Svou firmu? Nebo nás všechny, kteří čteme tento článek? Ano, třetí možnost je správně. Nás – čtenáře – lidi z IT oboru, kteří dodáváme svým zákazníkům služby nebo hardware.
Autorem článku je Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Hackeři nejsou hloupí! Spočítali si, že se jim vyplatí hackovat nás, poskytovatele služeb (MSP – Managed Services Provider). Protože s každým hacknutým poskytovatelem dostanou přístup k desítkám či stovkám zákazníků. Nač tedy hackovat zákazníky jednotlivě, když mohou se stejnou námahou hacknout jednoho dodavatele a skrze něj získat přístup ke stovkám jeho zákazníků?

Věc se týká nejen čistých IT MSP/MSSP, ale všech, kteří mají možnost vzdáleného přístupu ke svým zákazníkům. Například:

  • Dodavatelů informačních systémů, kteří se k zákazníkovi připojují na server, kde spravují dodávaný systém.
  • Poskytovatelů internetového připojení, skrze které tečou data, a umožňují útočníkům odposlechnout data, nebo provést MITM (Man in the middle).
  • Účetních firem, které se připojují k zákazníkům, aby jim spravovali účetnictví.
  • Nezávislých poradců, kteří pomáhají externě více zákazníkům s nějakou úzkou oblastí (např. sítě, zálohy, web).

Proč o tom píši? Jelikož se správou IT/hackingem živím a zároveň tímto oborem žiji, jsem v kontaktu s velkým množstvím lidí z oboru. Díky tomu vím, že velká část z nás není ještě dostatečně připravena. Kdežto hackeři již berou dodavatele v zahraničí střemhlavým útokem. Pro ilustraci:

  • Společnost Evelis, jedna z největších španělských MSP, byla v listopadu napadena a její data zašifrována. Požadované výkupné 750 000 eur. Spekuluje se, že skrze ni byla napadena i největší španělská rozhlasová síť Cadena SER. (zdroj)
  • V červenci jiná skupina hackerů zneužila zranitelnost v pluginu k jednomu monitorovacímu systému a zasáhla tak skrze jednoho MSP mezi 1 500 – 2 000 stanic s cenou výkupného 2 600 000 USD. Přitom stačilo, aby si MSP daný plugin aktualizoval (patch na chybu existoval již 18 měsíců). (zdroj)
  • Firma PM Consultants, která se specializovala na zubní ordinace, byla v červenci napadena a skrze ni i její zákazníci. Minulý čas jsem použil záměrně, protože firma „zavřela“ krám a nechala své zákazníky ve štychu a bez dat. (zdroj)
  • Hackeři se nevyhýbají ani obrovským společnostem. V dubnu se začalo mluvit o tom, že byla prolomena bezpečnost indické společnosti Wipro, která se zabývá IT službami a zaměstnává okolo 170 tisíc lidí na šesti kontinentech. Firma se snažila útok bagatelizovat a celkové škody tak nejsou známy. (zdroj).

Nebavíme se tu o „hloupém“ ransomwaru, co chodí e-mailem. Jde o útoky vedené inteligentními útočníky. Z toho, co při řešení incidentů vidím, se jejich schopnosti pohybují na úrovni středně zkušeného hackera. Útok plánují, postup upravují podle zjištěných informací, dokážou věci kombinovat/domýšlet a s každou prolomenou firmou se zlepšují.

Čeho jsou hackeři schopni

Abychom si sjednotili představu o tom, čeho jsou hackeři schopni, popíši vám, s čím se setkávám. Takzvaný „initial foothold“ (vstupní bod) většinou získávají skrze uniklé přihlašovací údaje, password spraying, spear phishing nebo exploitací zranitelné veřejně dostupné služby.

Nedělá jim problém detekovat, jaký typ VPN používáte a se získanými oprávněními se na ni připojit. Tedy v případě, že již nemají přístup do sítě získaný skrze „zavirovanou“ přílohu e-mailu.

Z komunikace s interním DNS serverem či poskytnutými IP „routami“ od VPN získají zběžný přehled o síti. Následně skenují IP rozsahy a hledají, co kde běží. Tím, že je to pro ně každodenní chleba, se zorientují během několika desítek minut.

Kontrolu nad prvními zařízeními získají skrze nalezené zranitelnosti (např. BlueKeep), slabé konfigurace (anonymní FTP, výchozí hesla) nebo využitím již získaných přihlašovacích údajů. Téměř vždy se na větší sítí (100+ zařízení) najde nějaké zastaralé neaktualizované zařízení. Ať jsou to Windows XP/2003 běžící kvůli nějaké aplikaci, linuxový server, na který se správce bojí šáhnout, nebo multifunkční tiskárna, která má v sobě uložené doménové účty s hesly, aby mohli uživatelé skenovat.

Ověření toho, jaké přihlašovací údaje kam pasují, dělají buď ručně, nebo využijí nástroj jako CrackMapExec, který je schopen ověřit přihlašovací údaje oproti stovkám počítačů během pár minut. Toto většinou na získání prvního kompromitovaného počítače stačí. V záloze však mají i nástroje jako BloodHound (dokáže najít způsob, jak se z uživatele stát domain adminem v důsledku různých vztahů v AD), nebo KerbBrute (Password spraying skrze Kerberos).

Z napadených zařízení následně tahají další přístupové údaje, které by jim mohly pomoci. Využívají k tomu Mimikatz a utility pro export uložených hesel z prohlížečů a Windows. Stejně tak projdou uložené dokumenty na ploše a v dokumentech. Protože jde o lidské útočníky, dokážou rozpoznat i různé správce hesel a získat z nich uložené údaje. Tím se často dopracují až k právům doménového administrátora a ovládnutí celé sítě.

Pokud jim stojí v cestě antivirus, tak jej odinstalují nebo deaktivují. Není pro ně problém ani použít konzole pro vzdálenou správu (GPO, centrální konzole antiviru, monitorovací systém), aby získali další přístupy, odinstalovali antivirus v celé síti nebo nasadili ransomware. Pokud během slídění v síti narazí na zálohy, tak je buď deaktivují nebo rovnou smažou (to je často důvod, proč firmám nezbývá nic než zaplatit výkupné).

Právě skrze monitorovací systém nebo správce hesel se dostanou k vašim zákazníkům. Pokud se je rozhodnou napadnout, je to velký problém. Zákazníky totiž napadají současně (např. naplánovanou úlohou skrze monitorovací systém). Vám pak ve stejný den zavolají všichni zákazníci, že mají v síti ransomware a nemohou pracovat. To je situace, do které se nikdo z nás samozřejmě nechce dostat.

Výše zmíněné věci provedou hackeři většinou během jedné noci. Snaží se totiž pracovat co nejrychleji a v takovém čase (o víkendech, nocích), aby bylo riziko, že je někdo včas odhalí a zastaví, nejnižší. Avšak jsou i případy, kdy hackeři seděli na síti oběti po delší dobu, zjišťovali o sítí více informací, sabotovali zálohy a vyčkávali na vhodnou chvíli k vypuštění ransomwaru. Jde však, dle mého názoru, o vzácnější případy prováděné těmi nejzkušenějšími hackery.

Co s tím

Každý z nás by si měl položit otázku, jak na tom vlastně jeho firma je a zdali by obstála proti hackerům. Jelikož máme většinou neomezený přístup k sítím zákazníků a jejich systémům, mělo by být naše zabezpečení minimálně o úroveň lepší.

Ideálně by měl danou problematiku ve firmě řešit někdo, kdo se počítačovou bezpečností zabývá. On je totiž ten, kdo ví, jak hackeři přemýšlí, jak útočí, jaké techniky používají a bude schopen dát dohromady vyvážená opatření. Pokud takového člověka nemáte, pokuste se jej najít.

Základem je vědět, jaké systémy, aplikace a zařízení ve firmě používáte. Sepište si je a určete, jaký dopad by měla jejich kompromitace na vaši firmu a zákazníky. Čím vyšší dopad, tím více je musíte chránit (princip tierování).

Nesmíte přehlédnout, že vaše pracovní stanice jsou jedny z nejdůležitějších zařízení, protože se z nich připojujete všude a vyskytují se v nich všechna hesla. Hacker by jejich kompromitací získal přístup ke všem zákazníkům. U nás ve firmě jsou pracovní stanice tak omezené, že na nich nelze spouštět nic kromě vyjmenovaných programů a kolegové nemají administrátorská práva (princip privilegovaných pracovních stanic).

Mezi vhodná bezpečnostní opatření se řadí implementovat 2FA u důležitých systémů, mít rozdělené kompetence ve firmě (aby každý nemohl všechno), využívat VPN, používat 802.1x pro kabelové i bezdrátové připojení do LAN, implementovat Windows Security Baselines, vyladit konfiguraci jednotlivých systémů, zbavit se nepodporovaných zařízení, odstranit nepoužívané aplikace, školit své kolegy, mít mechanismy pro detekci kompromitace, využívat IPS/IDS, být pečlivý (mít jistotu že je vše všude nastaveno dle plánu), být důslední (nedělat výjimky), nechat si vše překontrolovat od někoho, komu důvěřujete pro jeho odbornost, uzavřít si pojištění.

Závěr

Všechny ty krabičky a rady, co zákazníkům prodáváme, bychom měli nejprve sami používat a ideálně být ještě o krok dále. Hackerům totiž byznys kvete a dokud budou firmy platit výkupné (v USA i statisíce dolarů) bude se situace přiostřovat. Již nyní pozoruji, jak se schopnosti hackerů v posledních letech výrazně zlepšily.

Zákazníci se na nás všechny spoléhají, že svému řemeslu rozumíme, a nepřipouští si, že právě my bychom mohli být slabým článkem. Je naší povinností jejich důvěru nezklamat.

Autor: Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Štítky: 

Podobné články

Seznamte se s novinkami Huawei a vyhrajte chytré hodinky

19. 10. 2020. (redaktor: František Doupal, zdroj: Entec Solutions)
Pokud se 29. 10. 2020 připojíte na webinář společnosti Huawei věnovaný řešení iMaster NCE-Campus, dozvíte se nejen o zajímavých novinkách a příležitostech, které z nich vyplývají pro váš byznys, ale zároveň budete moci vyhrát hodinky Huawei GT 2 Pro nebo náramky Huawei Band 4. Čtěte více

Po útoku ransomwaru už organizace nejsou jako dřív

22. 10. 2020. (redaktor: František Doupal, zdroj: Sophos)
Průzkum společnosti Sophos ukázal, že se velmi liší sebejistota a přístup k boji s kyberútoky u IT manažerů, kteří již zažili útok ransomwaru, a u těch, kteří zatím nikoli. Nový ransomware Ryuk pak jasně demonstruje, jak rychle útočníci mění své prostředky. Čtěte více

GFI Software uvádí nové SaaS řešení e-mailové bezpečnosti

21. 10. 2020. (redaktor: František Doupal, zdroj: GFI Software)
GFI MailSecurity je snadno použitelné SaaS řešení e-mailové bezpečnosti, které skenuje veškerou příchozí elektronickou poštu a blokuje spamy, e-maily obsahující viry a pokusy o phishing. Organizacím přináší všechny výhody cloudového řešení včetně jednoduchého nasazení, snadné správy, rychlého přístupu přes webový portál a přehledných nákladů. Čtěte více

Nová verze Acronis Cyber Infrastructure přináší o 50 % vyšší výkon a přidává funkce

19. 10. 2020. (redaktor: František Doupal, zdroj: Acronis)
Acronis představil významnou aktualizaci svého řešení softwarově definované infrastruktury Acronis Cyber Infrastructure 4.0. Nová verze řešení přináší vyšší úroveň dostupnosti, bezpečnosti a jednodušší správu. Čtěte více