Hackeři už si pro nás jdou

9. 1. 2020. (redaktor: František Doupal, zdroj: PatronIT)
Přemýšlíte, koho označuji slovem „nás“? Myslím tím sebe? Svou firmu? Nebo nás všechny, kteří čteme tento článek? Ano, třetí možnost je správně. Nás – čtenáře – lidi z IT oboru, kteří dodáváme svým zákazníkům služby nebo hardware.
Autorem článku je Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Hackeři nejsou hloupí! Spočítali si, že se jim vyplatí hackovat nás, poskytovatele služeb (MSP – Managed Services Provider). Protože s každým hacknutým poskytovatelem dostanou přístup k desítkám či stovkám zákazníků. Nač tedy hackovat zákazníky jednotlivě, když mohou se stejnou námahou hacknout jednoho dodavatele a skrze něj získat přístup ke stovkám jeho zákazníků?

Věc se týká nejen čistých IT MSP/MSSP, ale všech, kteří mají možnost vzdáleného přístupu ke svým zákazníkům. Například:

  • Dodavatelů informačních systémů, kteří se k zákazníkovi připojují na server, kde spravují dodávaný systém.
  • Poskytovatelů internetového připojení, skrze které tečou data, a umožňují útočníkům odposlechnout data, nebo provést MITM (Man in the middle).
  • Účetních firem, které se připojují k zákazníkům, aby jim spravovali účetnictví.
  • Nezávislých poradců, kteří pomáhají externě více zákazníkům s nějakou úzkou oblastí (např. sítě, zálohy, web).

Proč o tom píši? Jelikož se správou IT/hackingem živím a zároveň tímto oborem žiji, jsem v kontaktu s velkým množstvím lidí z oboru. Díky tomu vím, že velká část z nás není ještě dostatečně připravena. Kdežto hackeři již berou dodavatele v zahraničí střemhlavým útokem. Pro ilustraci:

  • Společnost Evelis, jedna z největších španělských MSP, byla v listopadu napadena a její data zašifrována. Požadované výkupné 750 000 eur. Spekuluje se, že skrze ni byla napadena i největší španělská rozhlasová síť Cadena SER. (zdroj)
  • V červenci jiná skupina hackerů zneužila zranitelnost v pluginu k jednomu monitorovacímu systému a zasáhla tak skrze jednoho MSP mezi 1 500 – 2 000 stanic s cenou výkupného 2 600 000 USD. Přitom stačilo, aby si MSP daný plugin aktualizoval (patch na chybu existoval již 18 měsíců). (zdroj)
  • Firma PM Consultants, která se specializovala na zubní ordinace, byla v červenci napadena a skrze ni i její zákazníci. Minulý čas jsem použil záměrně, protože firma „zavřela“ krám a nechala své zákazníky ve štychu a bez dat. (zdroj)
  • Hackeři se nevyhýbají ani obrovským společnostem. V dubnu se začalo mluvit o tom, že byla prolomena bezpečnost indické společnosti Wipro, která se zabývá IT službami a zaměstnává okolo 170 tisíc lidí na šesti kontinentech. Firma se snažila útok bagatelizovat a celkové škody tak nejsou známy. (zdroj).

Nebavíme se tu o „hloupém“ ransomwaru, co chodí e-mailem. Jde o útoky vedené inteligentními útočníky. Z toho, co při řešení incidentů vidím, se jejich schopnosti pohybují na úrovni středně zkušeného hackera. Útok plánují, postup upravují podle zjištěných informací, dokážou věci kombinovat/domýšlet a s každou prolomenou firmou se zlepšují.

Čeho jsou hackeři schopni

Abychom si sjednotili představu o tom, čeho jsou hackeři schopni, popíši vám, s čím se setkávám. Takzvaný „initial foothold“ (vstupní bod) většinou získávají skrze uniklé přihlašovací údaje, password spraying, spear phishing nebo exploitací zranitelné veřejně dostupné služby.

Nedělá jim problém detekovat, jaký typ VPN používáte a se získanými oprávněními se na ni připojit. Tedy v případě, že již nemají přístup do sítě získaný skrze „zavirovanou“ přílohu e-mailu.

Z komunikace s interním DNS serverem či poskytnutými IP „routami“ od VPN získají zběžný přehled o síti. Následně skenují IP rozsahy a hledají, co kde běží. Tím, že je to pro ně každodenní chleba, se zorientují během několika desítek minut.

Kontrolu nad prvními zařízeními získají skrze nalezené zranitelnosti (např. BlueKeep), slabé konfigurace (anonymní FTP, výchozí hesla) nebo využitím již získaných přihlašovacích údajů. Téměř vždy se na větší sítí (100+ zařízení) najde nějaké zastaralé neaktualizované zařízení. Ať jsou to Windows XP/2003 běžící kvůli nějaké aplikaci, linuxový server, na který se správce bojí šáhnout, nebo multifunkční tiskárna, která má v sobě uložené doménové účty s hesly, aby mohli uživatelé skenovat.

Ověření toho, jaké přihlašovací údaje kam pasují, dělají buď ručně, nebo využijí nástroj jako CrackMapExec, který je schopen ověřit přihlašovací údaje oproti stovkám počítačů během pár minut. Toto většinou na získání prvního kompromitovaného počítače stačí. V záloze však mají i nástroje jako BloodHound (dokáže najít způsob, jak se z uživatele stát domain adminem v důsledku různých vztahů v AD), nebo KerbBrute (Password spraying skrze Kerberos).

Z napadených zařízení následně tahají další přístupové údaje, které by jim mohly pomoci. Využívají k tomu Mimikatz a utility pro export uložených hesel z prohlížečů a Windows. Stejně tak projdou uložené dokumenty na ploše a v dokumentech. Protože jde o lidské útočníky, dokážou rozpoznat i různé správce hesel a získat z nich uložené údaje. Tím se často dopracují až k právům doménového administrátora a ovládnutí celé sítě.

Pokud jim stojí v cestě antivirus, tak jej odinstalují nebo deaktivují. Není pro ně problém ani použít konzole pro vzdálenou správu (GPO, centrální konzole antiviru, monitorovací systém), aby získali další přístupy, odinstalovali antivirus v celé síti nebo nasadili ransomware. Pokud během slídění v síti narazí na zálohy, tak je buď deaktivují nebo rovnou smažou (to je často důvod, proč firmám nezbývá nic než zaplatit výkupné).

Právě skrze monitorovací systém nebo správce hesel se dostanou k vašim zákazníkům. Pokud se je rozhodnou napadnout, je to velký problém. Zákazníky totiž napadají současně (např. naplánovanou úlohou skrze monitorovací systém). Vám pak ve stejný den zavolají všichni zákazníci, že mají v síti ransomware a nemohou pracovat. To je situace, do které se nikdo z nás samozřejmě nechce dostat.

Výše zmíněné věci provedou hackeři většinou během jedné noci. Snaží se totiž pracovat co nejrychleji a v takovém čase (o víkendech, nocích), aby bylo riziko, že je někdo včas odhalí a zastaví, nejnižší. Avšak jsou i případy, kdy hackeři seděli na síti oběti po delší dobu, zjišťovali o sítí více informací, sabotovali zálohy a vyčkávali na vhodnou chvíli k vypuštění ransomwaru. Jde však, dle mého názoru, o vzácnější případy prováděné těmi nejzkušenějšími hackery.

Co s tím

Každý z nás by si měl položit otázku, jak na tom vlastně jeho firma je a zdali by obstála proti hackerům. Jelikož máme většinou neomezený přístup k sítím zákazníků a jejich systémům, mělo by být naše zabezpečení minimálně o úroveň lepší.

Ideálně by měl danou problematiku ve firmě řešit někdo, kdo se počítačovou bezpečností zabývá. On je totiž ten, kdo ví, jak hackeři přemýšlí, jak útočí, jaké techniky používají a bude schopen dát dohromady vyvážená opatření. Pokud takového člověka nemáte, pokuste se jej najít.

Základem je vědět, jaké systémy, aplikace a zařízení ve firmě používáte. Sepište si je a určete, jaký dopad by měla jejich kompromitace na vaši firmu a zákazníky. Čím vyšší dopad, tím více je musíte chránit (princip tierování).

Nesmíte přehlédnout, že vaše pracovní stanice jsou jedny z nejdůležitějších zařízení, protože se z nich připojujete všude a vyskytují se v nich všechna hesla. Hacker by jejich kompromitací získal přístup ke všem zákazníkům. U nás ve firmě jsou pracovní stanice tak omezené, že na nich nelze spouštět nic kromě vyjmenovaných programů a kolegové nemají administrátorská práva (princip privilegovaných pracovních stanic).

Mezi vhodná bezpečnostní opatření se řadí implementovat 2FA u důležitých systémů, mít rozdělené kompetence ve firmě (aby každý nemohl všechno), využívat VPN, používat 802.1x pro kabelové i bezdrátové připojení do LAN, implementovat Windows Security Baselines, vyladit konfiguraci jednotlivých systémů, zbavit se nepodporovaných zařízení, odstranit nepoužívané aplikace, školit své kolegy, mít mechanismy pro detekci kompromitace, využívat IPS/IDS, být pečlivý (mít jistotu že je vše všude nastaveno dle plánu), být důslední (nedělat výjimky), nechat si vše překontrolovat od někoho, komu důvěřujete pro jeho odbornost, uzavřít si pojištění.

Závěr

Všechny ty krabičky a rady, co zákazníkům prodáváme, bychom měli nejprve sami používat a ideálně být ještě o krok dále. Hackerům totiž byznys kvete a dokud budou firmy platit výkupné (v USA i statisíce dolarů) bude se situace přiostřovat. Již nyní pozoruji, jak se schopnosti hackerů v posledních letech výrazně zlepšily.

Zákazníci se na nás všechny spoléhají, že svému řemeslu rozumíme, a nepřipouští si, že právě my bychom mohli být slabým článkem. Je naší povinností jejich důvěru nezklamat.

Autor: Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Štítky: 

Podobné články

Novicom novým řešením ELISA rozšiřuje svou vizi Aktivního SOC

3. 7. 2020. (redaktor: Reseller Magazine OnLine, zdroj: Novicom)
V úterý 16. června 2020 se uskutečnilo online ohlášení nového produktu české společnosti Novicom. Ke stávajícím klíčovým produktům Novicom ADDNET a Novicom BVS přibyl třetí produkt – ELISA Security Manager, nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí. Čtěte více

Zabezpečení Netgear Armor je nově součástí produktů s podporou Wi-Fi 6

9. 7. 2020. (redaktor: František Doupal, zdroj: Netgear)
Společnost Netgear nově integrovala bezpečnostní službu Armor do svých síťových produktů s podporou Wi-Fi 6. Kybernetické zabezpečení aktivně chrání domácí síť i veškerá k ní připojená zařízení před online hrozbami, jako jsou typicky viry, spamy, malware, spyware, spyboty, ransomware, phishing či botnety. Čtěte více

Flowmon představil novou generaci řešení pro monitorování a diagnostiku sítí

8. 7. 2020. (redaktor: František Doupal, zdroj: Flowmon Networks)
Flowmon 11 přichází s vylepšenou ergonomií, která zefektivňuje řešení síťových problémů. Změny v UX umožňují síťovým týmům držet krok s rostoucími nároky na výkon a spolehlivost v digitálních prostředích. Vylepšená viditelnost napříč prostředími, předdefinované dashboardy a intenzivní zaměření na uživatele pomáhají týmům NetOps sladit jejich cíle s neustále se měnícími podmínkami trhu. Čtěte více

Největší bezpečnostní slabinou home officu je práce ze soukromých zařízení

2. 7. 2020. (redaktor: František Doupal, zdroj: GFI Software)
Společnost GFI Software uvedla na základě dotazování mezi svými českými a slovenskými partnery, že největším rizikem práce z domu je pro firemní sítě využívání soukromých PC a dalších zařízení. Během koronavirové epidemie české a slovenské firmy nejčastěji poptávaly řešení VPN, autentizace, popř. firewallu, přičemž aktuálně je trápí zvýšené náklady na zabezpečení IT. Čtěte více