close
menu
 

15 marca 2024

Analiza 3 ataków, które wstrząsnęły podstawami sieci komputerowych

Nie jest tajemnicą, że zrozumienie przeciwnika jest kluczowym czynnikiem bezpieczeństwa organizacji. Mimo to rok 2023 upłynął pod znakiem wyrafinowanych ataków sieciowych, ujawniających luki w zabezpieczeniach kluczowych aplikacji. Do najbardziej znaczących incydentów należały ataki na 3CX, MoveIT i ESXi, które podważyły zaufanie bezpieczeństwa organizacjii. Ataki te nie tylko wskazują na zaawansowany charakter obecnych cyberzagrożeń, ale także podkreślają kluczową rolę technologii NDR w zapobieganiu i łagodzeniu tych cyberataków.

W raportcie CTSR (Cyber Threat Semester Report) przygotowanemu przez Purple Team od Gatewatcher, przyjrzymy się bliżej tym incydentom, które wstrząsnęły krajobrazem globalnego cyberbezpieczeństwa.

3CX: Naruszony łańcuch dostaw

Atak na firmę 3CX uwypuklił podatność łańcucha dostaw na zagrożenia. Ataki te (T1195) stały się niepokojącym tematem i należą do najbardziej prawdopodobnych zagrożeń w 2024 roku. Zasada jest prosta: cyberprzestępcy wykorzystują podatności w łańcuchu dostaw oprogramowania organizacji, aby naruszyć ich systemy i uzyskać dostęp do wrażliwych danych. Według szacunków firmy Gartner, do 2025 r. nie mniej niż 45% organizacji padnie ofiarą ataku na łańcuch dostaw oprogramowania.

  • Cel: Atak 3CX był wymierzony w serwer VoIP firmy 3CX, popularne rozwiązanie programowe wykorzystywane do komunikacji biznesowej. Hakerzy, przypuszczalnie wspierani przez Koreę Północną, przeniknęli do łańcucha dostaw 3CX poprzez zaimplementowaniu złośliwego kodu do aplikacji X_Trader, opublikowanej przez Trading Technologies. Atak został przeprowadzony głównie poprzez phishing i dostarczanie złośliwych aktualizacji, wykorzystując połączenie socjotechniki i luk w oprogramowaniu.
  • Metoda: Atakujący spreparowali wiadomości phishingowe wyglądające jak legalna komunikacja 3CX w celu dystrybucji złośliwego oprogramowania lub uzyskania danych uwierzytelniających, a następnie wykorzystali te dane uwierzytelniające do wypchnięcia złośliwych aktualizacji na serwery 3CX. Pobrana przez pracownika aplikacja 3CX umożliwia atakującym dostęp do sieci firmy i wprowadzenie nieautoryzowanych zmian kodu na serwerze, narażając na szwank znaczną część jej klientów. Złośliwe aktualizacje zawierały payloads - zaprojektowane do tworzenia backdoorów, umożliwiające atakującym stały dostęp do zaatakowanych systemów. Dostęp ten mógł zostać wykorzystany do eksfiltracji danych, podsłuchiwania komunikacji lub dalszych złośliwych działań w sieci.
  • Wpływ i konsekwencje: Firmy polegające na programie 3CX odkryły, że ich systemy są zagrożone, co prowadzi do potencjalnych naruszeń danych i nieautoryzowanego dostępu do poufnej komunikacji. Ukryty charakter ataku, podszywający się pod legalną aktualizację, stanowił poważne wyzwanie dla jego wykrycia. Atak dotknął wielu firm korzystających z oprogramowania serwera VoIP 3CX. Objął małe i średnie przedsiębiorstwa oraz większe korporacje z różnych sektorów, w szczególności te, które w dużym stopniu polegały na komunikacji VoIP. Konkretne nazwy firm nie mogą zostać ujawnione publicznie ze względu na ochronę prywatności i bezpieczeństwo. Szacowane straty finansowe prawdopodobnie obejmują koszty związane z reagowaniem na incydenty, przywracaniem systemu, potencjalnymi płatnościami okupu i stratami pośrednimi, takimi jak przestoje i utrata reputacji.

Incydent ten wskazuje na potrzebę zwiększenia czujności na wszystkich poziomach łańcucha dostaw, aby zapobiec szkodliwym szkodliwemu efektowi domina. Jest to sedno wielu nadchodzących przepisów, przede wszystkim NIS2.

MOVEit: Luka typu Zero-Day i uporczywe wykorzystywanie

Wymieniona w tytule luka, początkowo ujawniona 31 maja, została oceniona na 9,8 w skali CVSS, co wskazuje na jej ekstremalną powagę. Prawdziwy koszmar dla producenta, użytkowników i deweloperów.

  • Cel: W tym przypadku bezpieczne oprogramowanie transferowe MOVEit, zaprojektowane przez Progress Software, było celem serii ataków na dużą skalę, wykorzystujących niepokojącą lukę typu Zero-Day.
  • Metoda: CVE-2023-34362, poprzez SQL injection w aplikacji internetowej MOVEit Transfer, została aktywnie wykorzystana przez hakerów, czyniąc ten atak jednym z najbardziej krytycznych w tym roku. Atakujący wykorzystali tę metodę ataku do wydobycia poufnych informacji z baz danych ofiar. Oprócz pobierania danych, mieli oni możliwość wykonywania złośliwych zapytań SQL, otwierając drzwi do manipulacji, a nawet usuwania kluczowych danych. Wykorzystane podatności w oprogramowaniu MOVEit były przede wszystkim związane z niewystarczającą walidacją danych wejściowych, co umożliwiło atakującym zdalne zmiany w kodzie. Usterka ta pozwalała na nieautoryzowany dostęp do plików i danych w tranzycie. Atakujący wykorzystali spear-phishing, aby dotrzeć do konkretnych osób w organizacjach, wysyłając spreparowane wiadomości e-mail, które wykorzystywały podatności w oprogramowaniu do przechwytywania lub przekierowywania danych.
  • Wpływ i konsekwencje: Najbardziej znaną nazwą na liście ofiar jest brytyjska grupa naftowa Shell. Ucierpiało również kilka amerykańskich banków, firm ubezpieczeniowych i uniwersytetów. Wśród pośrednio poszkodowanych znajduje się między innymi firma Zellis, dostawca usług płacowych dla znanych podmiotów, takich jak British Airways, BBC, Boots i DHL.

Każdy oddział wojskowy i cywilny korzysta z tego oprogramowania. Atak ten jest tym bardziej niepokojący, że grupa odpowiedzialna za Cl0p twierdzi, że wykorzystywała tę lukę od 2021 roku. Podkreśla to pilną potrzebę szybkiego wykrywania i usuwania takich podatności w celu zapobiegania przedłużającym się cyberatakom. Incydenty te, które dotknęły ponad 500 organizacji, w tym gigantów, zwracają uwagę na kluczowe wyzwania związane z ochroną przed wyrafinowanymi zagrożeniami.

ESXi: Atak ransomware wykorzystujący lukę z 2021 r.

3 lutego 2023 r. ukierunkowane ataki reaktywowały podatność w zabezpieczeniach z 2021 r. (CVE-2021-21974) w VMware ESXi hypervisor, koordynując wdrażanie oprogramowania ransomware.

  • Cel ataku: Atak ESXi był atakiem ransomware wymierzonym w VMware ESXi hypervisor, które są popularnym rozwiązaniem wykorzystywanym do wirtualizacji i zarządzania wieloma maszynami wirtualnymi (VM) w środowiskach korporacyjnych.
  • Metoda: Atak został przeprowadzony poprzez wykorzystanie luki typu heap-overflow w komponencie OpenSLP osadzonym w hiperwizorach. Service Location Protocol (SLP) był wykorzystywany do przesyłania informacji o usługach i ich lokalizacjach. Po wykorzystaniu podatności, oprogramowanie ransomware szyfrowało maszyny wirtualne, czyniąc je niedostępnymi dla użytkowników. Atak następuje podczas odbierania reklam agenta katalogów, gdzie błąd w wykrywaniu znaków null umożliwia przekierowanie przepływu wykonywania programu, a tym samym autoryzację wykonania dowolnego kodu. Luka ta została wykorzystana do wdrożenia oprogramowania ransomware EsxiArgs, które charakteryzuje się rozszerzeniem .args zaszyfrowanych plików i zostało specjalnie zaprojektowane do atakowania serwerów ESXi, wykorzystując algorytmy szyfrowania, które blokowały wirtualne dyski. Oprogramowanie ransomware było wymierzone w warstwę hypervisor, która jest krytycznym komponentem w środowiskach zwirtualizowanych. Szyfrując maszyny wirtualne, atakujący mogli żądać okupu za klucze deszyfrujące.
  • Wykrywanie: Wykrycie było możliwe od 3 lutego dzięki regule Sigflow (sid 2044114). Procedury odzyskiwania zaszyfrowanych plików zostały dostarczone przez CERT FR, ale atak ewoluował wraz z pojawieniem się nowej odmiany oprogramowania ransomware, EsxiArgs, uniemożliwiając odzyskanie zaszyfrowanych plików. 10 lutego zaobserwowano modyfikację metody szyfrowania. To dodatkowo skomplikowało przywracanie danych. Wydarzenia te podkreślają rolę szybkiego aktualizowania łatek bezpieczeństwa, proaktywnego wykrywania podatności w zabezpieczeniach i dogłębnego zrozumienia procedur niezbędnych do przeciwdziałania tym wyrafinowanym atakom.
  • Wpływ i konsekwencje: Atak miał globalny wpływ, dotyczył wielu licznych organizacji z różnych sektorów (technologii, opieki zdrowotnej, finansów, edukacji i rządu), które polegały na zagrożonym oprogramowaniu do przesyłania plików. Potencjalny ruch boczny w zaatakowanych sieciach wzbudził poważne obawy co do głębokości i zasięgu naruszenia bezpieczeństwa. Uznanie przez VMware, że atakujący prawdopodobnie wykorzystują wszystkie dostępne podatności, podkreśla pilną potrzebę wzmocnienia zabezpieczeń hypervisor przed trwałymi i ewoluującymi zagrożeniami. Atak na ESXi znacząco wpłynął na europejską sieć szpitalną, powodując zaszyfrowanie danych pacjentów i krytycznych systemów operacyjnych. Szpital musiał powrócić do systemów ręcznych, co spowodowało opóźnienia w opiece nad pacjentami i innych usługach.

Rozwiązania NDR - kamień milowy w strategii cyberbezpieczeństwa

Ataki te odzwierciedlają prognozy na 2024 rok i pokazują, że znaczenie cyberbezpieczeństwa w stale ewoluującym krajobrazie cyfrowym jest kluczowe. Ujawniają one podobne wzorce, które podkreślają istotne lekcje w zakresie praktyk cyberbezpieczeństwa i strategicznych reakcji. Główne obszary wymagające uwagi obejmują wykorzystywanie podatności w zabezpieczeniach, skuteczność inżynierii społecznej, krytyczną potrzebę zaawansowanego monitorowania sieci oraz konieczność solidnej strategii reagowania na incydenty. Kluczowym jest zrozumienie, że cyberbezpieczeństwo nie jest jedynie wyzwaniem technologicznym, ale kompleksową odpowiedzialnością organizacyjną.

Rozważając strategie NDR dla ataków 3CX, Move-It i ESXi, można zauważyć punkt wspólny: zaawansowane możliwości wykrywania. Systemy NDR wykorzystują wykrywanie anomalii, analizując odchylenia od ustalonych linii bazowych sieci. Analiza wzorców ruchu identyfikuje nietypowe działania, a sztuczna inteligencja i uczenie maszynowe umożliwiają systemom NDR dostosowanie się do nowych zagrożeń. Istotą skutecznego NDR jest jego zdolność do przeprowadzania analizy w czasie rzeczywistym i ciągłego monitorowania. Firmy muszą z determinacją stawiać czoła wyzwaniom, takim jak ochrona przed atakami w łańcuchu dostaw, lukami typu Zero-Day i uporczywym wykorzystywaniem znanych błędów. Współpraca między ekspertami ds. cyberbezpieczeństwa, dostawcami oprogramowania i użytkownikami końcowymi pozostaje kluczowa dla wzmocnienia odporności sieci i zapewnienia bezpieczniejszej cyfrowej przyszłości.

Gatewatcher – Śledź, wykrywaj i reaguj! Klucz do skutecznej ochrony sieci z Network detection and response(NDR)
BEZPŁATNY WEBINAR Gatewatcher – Śledź, wykrywaj i reaguj! Klucz do skutecznej ochrony sieci z Network detection and response(NDR)
Na żądanie
Weź udział
gatewatcher informacja #ndr wydarzenie

Autorem tekstu jest Joanna Świerczyńska

Mateusz Nowak

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19