Hackeři už si pro nás jdou

9. 1. 2020. (redaktor: František Doupal, zdroj: PatronIT)
Přemýšlíte, koho označuji slovem „nás“? Myslím tím sebe? Svou firmu? Nebo nás všechny, kteří čteme tento článek? Ano, třetí možnost je správně. Nás – čtenáře – lidi z IT oboru, kteří dodáváme svým zákazníkům služby nebo hardware.
Autorem článku je Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Hackeři nejsou hloupí! Spočítali si, že se jim vyplatí hackovat nás, poskytovatele služeb (MSP – Managed Services Provider). Protože s každým hacknutým poskytovatelem dostanou přístup k desítkám či stovkám zákazníků. Nač tedy hackovat zákazníky jednotlivě, když mohou se stejnou námahou hacknout jednoho dodavatele a skrze něj získat přístup ke stovkám jeho zákazníků?

Věc se týká nejen čistých IT MSP/MSSP, ale všech, kteří mají možnost vzdáleného přístupu ke svým zákazníkům. Například:

  • Dodavatelů informačních systémů, kteří se k zákazníkovi připojují na server, kde spravují dodávaný systém.
  • Poskytovatelů internetového připojení, skrze které tečou data, a umožňují útočníkům odposlechnout data, nebo provést MITM (Man in the middle).
  • Účetních firem, které se připojují k zákazníkům, aby jim spravovali účetnictví.
  • Nezávislých poradců, kteří pomáhají externě více zákazníkům s nějakou úzkou oblastí (např. sítě, zálohy, web).

Proč o tom píši? Jelikož se správou IT/hackingem živím a zároveň tímto oborem žiji, jsem v kontaktu s velkým množstvím lidí z oboru. Díky tomu vím, že velká část z nás není ještě dostatečně připravena. Kdežto hackeři již berou dodavatele v zahraničí střemhlavým útokem. Pro ilustraci:

  • Společnost Evelis, jedna z největších španělských MSP, byla v listopadu napadena a její data zašifrována. Požadované výkupné 750 000 eur. Spekuluje se, že skrze ni byla napadena i největší španělská rozhlasová síť Cadena SER. (zdroj)
  • V červenci jiná skupina hackerů zneužila zranitelnost v pluginu k jednomu monitorovacímu systému a zasáhla tak skrze jednoho MSP mezi 1 500 – 2 000 stanic s cenou výkupného 2 600 000 USD. Přitom stačilo, aby si MSP daný plugin aktualizoval (patch na chybu existoval již 18 měsíců). (zdroj)
  • Firma PM Consultants, která se specializovala na zubní ordinace, byla v červenci napadena a skrze ni i její zákazníci. Minulý čas jsem použil záměrně, protože firma „zavřela“ krám a nechala své zákazníky ve štychu a bez dat. (zdroj)
  • Hackeři se nevyhýbají ani obrovským společnostem. V dubnu se začalo mluvit o tom, že byla prolomena bezpečnost indické společnosti Wipro, která se zabývá IT službami a zaměstnává okolo 170 tisíc lidí na šesti kontinentech. Firma se snažila útok bagatelizovat a celkové škody tak nejsou známy. (zdroj).

Nebavíme se tu o „hloupém“ ransomwaru, co chodí e-mailem. Jde o útoky vedené inteligentními útočníky. Z toho, co při řešení incidentů vidím, se jejich schopnosti pohybují na úrovni středně zkušeného hackera. Útok plánují, postup upravují podle zjištěných informací, dokážou věci kombinovat/domýšlet a s každou prolomenou firmou se zlepšují.

Čeho jsou hackeři schopni

Abychom si sjednotili představu o tom, čeho jsou hackeři schopni, popíši vám, s čím se setkávám. Takzvaný „initial foothold“ (vstupní bod) většinou získávají skrze uniklé přihlašovací údaje, password spraying, spear phishing nebo exploitací zranitelné veřejně dostupné služby.

Nedělá jim problém detekovat, jaký typ VPN používáte a se získanými oprávněními se na ni připojit. Tedy v případě, že již nemají přístup do sítě získaný skrze „zavirovanou“ přílohu e-mailu.

Z komunikace s interním DNS serverem či poskytnutými IP „routami“ od VPN získají zběžný přehled o síti. Následně skenují IP rozsahy a hledají, co kde běží. Tím, že je to pro ně každodenní chleba, se zorientují během několika desítek minut.

Kontrolu nad prvními zařízeními získají skrze nalezené zranitelnosti (např. BlueKeep), slabé konfigurace (anonymní FTP, výchozí hesla) nebo využitím již získaných přihlašovacích údajů. Téměř vždy se na větší sítí (100+ zařízení) najde nějaké zastaralé neaktualizované zařízení. Ať jsou to Windows XP/2003 běžící kvůli nějaké aplikaci, linuxový server, na který se správce bojí šáhnout, nebo multifunkční tiskárna, která má v sobě uložené doménové účty s hesly, aby mohli uživatelé skenovat.

Ověření toho, jaké přihlašovací údaje kam pasují, dělají buď ručně, nebo využijí nástroj jako CrackMapExec, který je schopen ověřit přihlašovací údaje oproti stovkám počítačů během pár minut. Toto většinou na získání prvního kompromitovaného počítače stačí. V záloze však mají i nástroje jako BloodHound (dokáže najít způsob, jak se z uživatele stát domain adminem v důsledku různých vztahů v AD), nebo KerbBrute (Password spraying skrze Kerberos).

Z napadených zařízení následně tahají další přístupové údaje, které by jim mohly pomoci. Využívají k tomu Mimikatz a utility pro export uložených hesel z prohlížečů a Windows. Stejně tak projdou uložené dokumenty na ploše a v dokumentech. Protože jde o lidské útočníky, dokážou rozpoznat i různé správce hesel a získat z nich uložené údaje. Tím se často dopracují až k právům doménového administrátora a ovládnutí celé sítě.

Pokud jim stojí v cestě antivirus, tak jej odinstalují nebo deaktivují. Není pro ně problém ani použít konzole pro vzdálenou správu (GPO, centrální konzole antiviru, monitorovací systém), aby získali další přístupy, odinstalovali antivirus v celé síti nebo nasadili ransomware. Pokud během slídění v síti narazí na zálohy, tak je buď deaktivují nebo rovnou smažou (to je často důvod, proč firmám nezbývá nic než zaplatit výkupné).

Právě skrze monitorovací systém nebo správce hesel se dostanou k vašim zákazníkům. Pokud se je rozhodnou napadnout, je to velký problém. Zákazníky totiž napadají současně (např. naplánovanou úlohou skrze monitorovací systém). Vám pak ve stejný den zavolají všichni zákazníci, že mají v síti ransomware a nemohou pracovat. To je situace, do které se nikdo z nás samozřejmě nechce dostat.

Výše zmíněné věci provedou hackeři většinou během jedné noci. Snaží se totiž pracovat co nejrychleji a v takovém čase (o víkendech, nocích), aby bylo riziko, že je někdo včas odhalí a zastaví, nejnižší. Avšak jsou i případy, kdy hackeři seděli na síti oběti po delší dobu, zjišťovali o sítí více informací, sabotovali zálohy a vyčkávali na vhodnou chvíli k vypuštění ransomwaru. Jde však, dle mého názoru, o vzácnější případy prováděné těmi nejzkušenějšími hackery.

Co s tím

Každý z nás by si měl položit otázku, jak na tom vlastně jeho firma je a zdali by obstála proti hackerům. Jelikož máme většinou neomezený přístup k sítím zákazníků a jejich systémům, mělo by být naše zabezpečení minimálně o úroveň lepší.

Ideálně by měl danou problematiku ve firmě řešit někdo, kdo se počítačovou bezpečností zabývá. On je totiž ten, kdo ví, jak hackeři přemýšlí, jak útočí, jaké techniky používají a bude schopen dát dohromady vyvážená opatření. Pokud takového člověka nemáte, pokuste se jej najít.

Základem je vědět, jaké systémy, aplikace a zařízení ve firmě používáte. Sepište si je a určete, jaký dopad by měla jejich kompromitace na vaši firmu a zákazníky. Čím vyšší dopad, tím více je musíte chránit (princip tierování).

Nesmíte přehlédnout, že vaše pracovní stanice jsou jedny z nejdůležitějších zařízení, protože se z nich připojujete všude a vyskytují se v nich všechna hesla. Hacker by jejich kompromitací získal přístup ke všem zákazníkům. U nás ve firmě jsou pracovní stanice tak omezené, že na nich nelze spouštět nic kromě vyjmenovaných programů a kolegové nemají administrátorská práva (princip privilegovaných pracovních stanic).

Mezi vhodná bezpečnostní opatření se řadí implementovat 2FA u důležitých systémů, mít rozdělené kompetence ve firmě (aby každý nemohl všechno), využívat VPN, používat 802.1x pro kabelové i bezdrátové připojení do LAN, implementovat Windows Security Baselines, vyladit konfiguraci jednotlivých systémů, zbavit se nepodporovaných zařízení, odstranit nepoužívané aplikace, školit své kolegy, mít mechanismy pro detekci kompromitace, využívat IPS/IDS, být pečlivý (mít jistotu že je vše všude nastaveno dle plánu), být důslední (nedělat výjimky), nechat si vše překontrolovat od někoho, komu důvěřujete pro jeho odbornost, uzavřít si pojištění.

Závěr

Všechny ty krabičky a rady, co zákazníkům prodáváme, bychom měli nejprve sami používat a ideálně být ještě o krok dále. Hackerům totiž byznys kvete a dokud budou firmy platit výkupné (v USA i statisíce dolarů) bude se situace přiostřovat. Již nyní pozoruji, jak se schopnosti hackerů v posledních letech výrazně zlepšily.

Zákazníci se na nás všechny spoléhají, že svému řemeslu rozumíme, a nepřipouští si, že právě my bychom mohli být slabým článkem. Je naší povinností jejich důvěru nezklamat.

Autor: Martin Haller, odborník  na IT bezpečnost a spoluzakladatel společnosti PatronIT

Štítky: 

Podobné články

Skoro dvě třetiny zaměstnanců se aktivně brání aktualizacím softwaru

16. 6. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Téměř čtvrtina zaměstnanců připustila, že měla nedávno rozepře s IT oddělením firmy ohledně důležitosti nebo četnosti aktualizací softwaru a OS na svém PC. Většina zaměstnanců si navíc podle Kaspersky nakonec prosadila svou a mohla instalaci aktualizací softwaru nebo OS oddálit nebo zcela vynechat. Čtěte více

COVID donutil české „ajťáky“ zapracovat na dovednostech z oblasti IT bezpečnosti

14. 6. 2021. (redaktor: František Doupal, zdroj: Sophos)
Naprostá většina IT týmů, které v průběhu roku 2020 čelily nárůstu kybernetických útoků (82 % celosvětově, 71 % v České republice) a většímu náporu na zabezpečení (84 % celosvětově, 72 % v České republice), podle průzkumu společnosti Sophos posílila své bezpečnostní dovednosti a znalosti. Čtěte více

Hesla jsou terčem poloviny kybernetických útoků u nás

11. 6. 2021. (redaktor: František Doupal, zdroj: Eset)
Nejčastěji se čeští uživatelé setkávají s kybernetickými útoky na hesla uložená v prohlížečích. Ta představují na černém trhu cennou komoditu. Škodlivý kód, prostřednictvím kterého na ně útočníci cílí, se šíří v přílohách e-mailů, které vydávají nejčastěji za faktury. Čtěte více

VMware potvrdil výrazný nárůst útoků cílených na zaměstnance pracující na dálku

10. 6. 2021. (redaktor: František Doupal, zdroj: VMware )
Urychlená digitální transformace způsobila, že bezpečnostní týmy čelí nárůstu množství hrozeb ze strany počítačových zločinců, kteří se snaží provádět cílené útoky proti překotně zaváděným inovacím i proti zaměstnancům pracujícím na dálku. Čtěte více