Cyberbezpieczeństwo
Niewykryte ataki ukierunkowane mogą trwać nawet kilka lat
Zdaniem ekspertów firmy G Data złożone, precyzyjnie ukierunkowane ataki wymierzone w duże organizacje pozostają nieujawnione nawet przez kilka lat. Jednocześnie, cyberprzestępcy coraz częściej prowadzą działania mające na celu kradzież własności intelektualnej. W zeszłym roku ofiarą takiego ataku padła firma ThyssenKrupp. Ataki zmierzające do kradzieży technologii coraz częściej wymierzone są jednak także w firmy średniej wielkości.
Jak podkreślają przedstawiciele G Data wykrywanie ukierunkowanych ataków wymierzonych w największe korporacje utrudnia fakt, że często opierają się one na niestandardowych narzędziach i metodach działania, które dodatkowo są rozłożone w czasie i mogą dotyczyć odległych elementów organizacji lub infrastruktury IT. “Tego typu ataki mają charakter szpiegostwa gospodarczego i są inicjowane przez organizacje przestępcze, wynajmowane przez konkurentów potencjalnej ofiary. Czasami bywają też zaaranżowane przez służby wywiadowcze. Warto jednak zaznaczyć, że duże koncerny nie są jedynym celem, bardziej od wielkości przedsiębiorstwa liczą się jego innowacyjność i wartość danych należących do organizacji” – mówi Tim Berghoff, G DATA Security Evangelist. Według niego przygotowanie tego rodzaju ataków wymaga wysokich nakładów finansowych i czasu. “W Niemczech nie ma ani jednej dużej organizacji, która nie znalazłaby się na celowniku cyberprzestępców. Ponadto tego typu ataki pozostają niewykryte przez 120 dni od rozpoczęcia infiltracji sieci” – dodaje Tim Berghoff. Co ważne, według niemieckiego Federalnego Urzędu Bezpieczeństwa Informacji 58 proc. niemieckich firm i instytucji publicznych wykryło ślady ataków na systemy IT, bądź narzędzi wykorzystywanych na potrzeby takich ataków.
Przykładowo, z ujawnionych w grudniu 2016 roku informacji wynika, że ofiarą działań cyberprzestępców padł koncern ThyssenKrupp. W wyniku ataku przeprowadzonego na początku 2016 roku skradzione zostały m.in. chronione informacje dotyczące procesów produkcyjnych koncernu, który jest jednym z największych producentów stali na świecie. Złożony i precyzyjnie ukierunkowany atak, który pozostawał niewykryty przez co najmniej 90 dni miał być koordynowany z południowo-wschodniej Azji. Zdaniem analityków G Data wiele podobnych ataków pozostaje niezauważonymi nawet przez kilka lat.
Eksperci G Data podkreślają, że ukierunkowane ataki opierają się na kilku typowych etapach. W pierwszym z nich cyberprzestępcy zbierają dokładne informacje o przyszłym celu. Działania takie są realizowane na wiele sposobów, w tym przy użyciu złośliwego oprogramowania lub metod socjotechnicznych. Prowadzone kolejno działania mają na celu uzyskanie dostępu do infrastruktury IT konkretnej organizacji, a następnie – uzyskaniu dostępu do jak najszerszych zasobów i uprawnień. Dopiero w kolejnym etapie, po zidentyfikowaniu i wyselekcjonowaniu interesujących danych, cyberprzestępcy rozpoczynają eksfiltrację, a następnie kradzież danych.
Przykładem zaawansowanego oprogramowania wykorzystywanego na potrzeby złożonych ataków jest wykryty w 2014 roku rootkit nazywany Uroburos. Według analityków G Data został on opracowany na potrzeby kradzieży danych z sieci należących do agencji rządowych, służb wywiadowczych i dużych koncernów. Jednym z przykładów jest Uroburos. Zdaniem ekspertów firmy G Data na podstawie analizy architektury oprogramowania Uroburos można wnioskować, że zostało ono stworzone przez wyspecjalizowany zespół, przy dużych nakładach finansowych. “Architektura oraz złożoność Uroburos pozwala sądzić, że ma on swoje korzenie w branży wywiadowczej i posiada rosyjskie korzenie” – czytamy w komunikacie firmy G Data. Warto dodać, że sposób działania Uroburos zakładał m.in. infekowanie urządzeń nie posiadających połączenia z Internetem.