Hekerski in ciljani kibernetski napadi kot posledica protikonkurenčnih praks v poslovanju

V stalnih posvetovanjih s strankami so velika podjetja ciljane napade in hekerje označila za dva največja varnostna izziva, saj lahko resno vplivajo na neprekinjenost poslovnih dejavnosti v organizaciji.

Napadalci imajo veliko sredstev za vdor v podjetja, vendar pa veliko napadov ne zahteva zelo visoke tehnološke izpopolnjenosti. Namesto tega tehnike, kot so ciljno usmerjeni družbeni inženiring, tj. lažno predstavljanje (»spear phishing«), ali uporaba znanih ranljivosti, za katere so mogoče izdali popravke, vendar jih podjetja še niso namestila, lahko pripeljejo do poškodovanega ugleda, prihodkov in uhajanja podatkov.

Po drugi strani pa je mogoče uporabiti tudi visoko raven sofisticiranosti, kot je ob napadu Zero Day. Glavni med njimi je bil Stuxnet, zaznan napad, v katerem je zlonamerna koda uspešno nastavila štiri ranljivosti ničtega dne in tako ovirala program za obogatitev urana v Iranu in ki je bil po navedbah medijev napad, ki ga je sponzorirala država.

Obstaja veliko razlogov, zakaj organizacije postajajo ponavljajoče se tarče. Njihovi bančni računi vsebujejo več virov kot povprečni človek ali majhno podjetje, poleg tega pa imajo tudi veliko zanimivih podatkov, ki jih je mogoče finančno ovrednotiti. Napadi, ki ciljajo na podjetja, se lahko uporabijo tudi kot oblika konkurence. Najpogosteje se to nanaša na lov na podatke, to je pridobivanje zanimivih informacij ali intelektualne lastnine. Te napade lahko spremlja izsiljevanje. Na primer, podatkovna baza odjemalca je ukradena v podjetju, pozneje pa storilci pristopijo in vprašajo, »kaj bodo storili v povezavi z njihovo izgubo«.

Različni načini zaslužka prek napadov prinašajo različne posledice 

Organizacije pogosto težko priznajo, da so se jim zgodile te vrste napadov. Posledično to lahko daje drugim podjetjem napačen vtis, da se takšni napadi zgodijo le občasno. Tipični primeri ciljanih napadov, ki so pogosti v zadnjih letih, so DDoS kot storitev – napadi, ki jih eno podjetje sponzorira za napad na spletno stran drugega, tako da moti poslovanje in usmerja stranke stran od ciljanega podjetja in (po možnosti) proti napadalčevemu »delodajalcu«. To so kriminalne taktike in napadalci zelo dobro vedo, na katera poslovna področja naj bi ciljali za čim večji dobiček.

Seveda obstajajo drugi pristopi. Vzemimo primer britanske nacionalne zdravstvene službe, ki je postala pogosta tarča napadov izsiljevalskega virusa. Z digitalizacijo zdravstvenih storitev je prišlo do situacije, ko lahko zlonamerno šifriranje zdravstvenih podatkov ustavi medicinske posege in operacije. V takšnih pogojih so ciljane organizacije pogosto bolj nagnjene k plačilu odkupnine za »ugrabljene« podatke o bolnikih.

Tudi v majhnih evropskih državah, kot je Slovaška, se napadi pogosto osredinjajo na podjetniške, računovodske in finančne službe. Ena dokumentirana tehnika lažnega predstavljanja je bila, da se na te oddelke obrnejo po e-pošti ali SMS-u v imenu izvršnega direktorja podjetja in zahtevajo, da zaposleni plača račun, ki ga je prejel od lažnega podjetja. Denar, ki je bil »zvabljen« iz zakonitega podjetja, se nato dvigne z računa lažnega podjetja.

Inovativni pristopi k starim trikom

 

Na veliko podeželskih območjih po vsem svetu bo že en hiter pogled na daljnovode razkril, kako enostavno se je nezakonito priključiti na električno omrežje. Kibernetski napadalci so zadnje čase sledili podobnemu modelu in svoje vire usmerili v ilegalno rudarjenje različnih kriptovalut, ki so se v domišljiji javnosti izkazale za zelo priljubljene.

Zapletenejši primer je bil ciljani napad, ki naj bi okužil StatCounter, ki zagotavlja storitev, ki je zelo podobna Google Analytics in uporablja posebno skripto, ki je zakonito postavljena na spletna mesta za pridobivanje podatkov o obiskovalcih spletnih strani. V tem primeru so napadalci uspešno vdrli v StatCounter in dobili dostop do končnih uporabnikov storitve tako, da so vbrizgali JavaScript kodo na vsa spletna mesta, ki uporabljajo storitev Stat Counter.

Težava se je pojavila, ko so obiskovalci krmarili do zdaj ogroženih spletnih mest, ki so vsebovala okužen zapis in katerih naprave so nato prikrito rudarila bitcoine za napadalce. Med drugo fazo so napadalci kradli bitcoine neposredno iz okuženih naprav, ko so poskušale dostopati do priljubljene menjave kriptovalut. Za boljšo predstavo o obsegu takšne operacije: StatCounter lahko najdete na več kot dveh milijonih spletnih mest. 

Tak napad pomeni, da imajo sistemski viri okuženih naprav v podjetju, ki zakonito uporablja to storitev, dodatno nalogo rudarjenja. To morda ne zadeva samo računalnikov, temveč tudi mobilne naprave in zlasti strežnike. Nadaljnje kriptominiranje pospeši obrabo naprav in tudi poveča račune za elektriko. Poleg tega ne smemo pozabiti, da je zlonamerna koda za kriptominiranje običajno v omrežje naložila druge vrste zlonamerne skripte.

Preiskave lahko trajajo mesece in iščejo iglo v senu

Ko veliko podjetje postane žrtev takšnega napada, je treba izvesti zapleteno preiskavo, kaj se je zgodilo in kako je bilo podjetje prizadeto. Raziskave kažejo, da traja približno 150–200 dni, da podjetja ugotovijo, da so okužena. Nadaljnja preiskava v zvezi z načinom okužbe podjetja in od kod zlonamerna koda izvira lahko traja še dlje.

Soočena s tako velikimi tveganji bi morala velika podjetja izkoristiti rešitve, kot je ESET Dynamic Threat Defense, da odkrijejo nove, še nikoli prej videne grožnje in orodja za EDR, kot je ESET Enterprise Inspector (EEI) za spremljanje vseh podatkov iz korporacijskega omrežja, ki jih je zbral ESET Endpoint Security, in izvajanje dolgoročne analize teh podatkov v širšem kontekstu podjetja. EEI je orodje za retrospektivno forenzično analizo in daje prizadetemu podjetju informacije o tem, kako je bil mehanizem uveden in trenutek začetka okužbe. 

[Opis slike: S pomočjo ESET Enterprise Inspector lahko skrbniki natančno določijo, kako je bila v korporacijsko omrežje vnesena sumljiva koda.]

Naraščajoče povpraševanje po forenzičnih orodjih, ki preučujejo varnost omrežij

 

ESET opaža veliko povpraševanje po varnostnih izdelkih, ki lahko odkrijejo nepravilnosti v omrežju. To ne zadeva samo nepravilnosti v vedenju aplikacij v omrežju, ampak tudi vedenje ljudi, ki so aktivni v omrežju. Nato pa varnostni strokovnjak oceni podatke, da bi ugotovil, ali je treba ukrepati. Ne glede na izpopolnjenost so uspešni napadi običajno dobro zamišljeni. »Najprej boste morda videli majhen namig ali indikacijo, ki se pojavi v omrežju. Dolgo lahko ostane v mirovanju. Vendar pa mu bo njegova notranja ura sčasoma sporočila, da je pravi čas za povezavo s njegovim nadzornim strežnikom,« pojasnjuje Michal Jankech, glavni vodja izdelkov pri ESET. »To je eden od razlogov, da je tako zapleteno ugotoviti, kaj je povzročilo okužba v podjetju.«

Zdaj, zahvaljujoč specializirani programski opremi EDR, lahko podjetje prepozna neznane izvršljive datoteke, ki so se pojavile v njegovem omrežju in komunicirajo s strežnikom v državi, v kateri podjetje nima poslovnih odnosov.

Ocenjevanje in odstranjevanje takšnih motenj je ključna, čeprav težka naloga. Če jih ne spremljate, se vam lahko zgodi, da se vam kaj izmuzne in spravi vaše podjetje v težave.

 »Dandanes vsak kupec zahteva boljši vpogled v svoje omrežje. Delujejo pod domnevo, da nobena preventiva ni stoodstotno varna, in želijo vedeti, kaj vse si zasluži njihovo pozornost,« dodaja Jankech.

ESET Enterprise Inspector, del posebnega paketa za zaščito podjetij, imenovanega ESET Tar target Attack Protection, je zasnovan za zaščito organizacij pred ciljanimi napadi in stalnimi grožnjami.

Paket, ki ga upravljamo z ene konzole, ponuja celovit vpogled, ki je potreben za učinkovito zaščito poslovnega omrežja.