KasperskyLab: ataki hakerskie na firmy 2013

Przeczytaj także: Zagrożenia internetowe I kw. 2013

Atakowane organizacje

Jeżeli chodzi o masową dystrybucję szkodliwych programów, jej celem może stać się każda firma. Znane trojany bankowe, takie jak ZeuS i SpyEye, mogą przeniknąć do komputerów nawet niewielkich organizacji komercyjnych, powodując utratę pieniędzy i własności intelektualnej.

Z drugiej strony, znane są liczne przypadki dokładnie zaplanowanej aktywności, której celem jest zainfekowanie infrastruktury sieciowej określonej organizacji lub osoby. Wyniki naszego badania pokazują, że w 2013 roku wśród ofiar takich ukierunkowanych ataków znalazły się firmy z branży naftowej i telekomunikacyjnej, centra naukowo-badawcze oraz firmy działające w takich sektorach, jak przestrzeń kosmiczna, przemysł stoczniowy oraz inne branże hi-tech.

Przygotowanie ataku

Cyberprzestępcy dysponują dużym arsenałem wyrafinowanych narzędzi, przy pomocy których mogą przeniknąć sieci korporacyjne. Planowanie ataku ukierunkowanego na firmę może trwać kilka miesięcy. Po tym czasie zostaną wyczerpane wszystkie dostępne taktyki, począwszy od socjotechniki, a skończywszy na exploitach dla nieznanych luk w oprogramowaniu.

Osoby atakujące skrupulatnie sprawdzają profil atakowanej firmy, jej publiczne zasoby, strony internetowe, profile pracowników na portalach społecznościowych, ogłoszenia i wyniki różnych prezentacji, wystaw itd. w poszukiwaniu wszelkich użytecznych informacji. Podczas planowania strategii ataku, a następnie kradzieży danych, cyberprzestępcy mogą badać infrastrukturę sieciową firmy, zasoby sieciowe oraz centra komunikacji.

Planując atak, cyberprzestępcy mogą stworzyć fałszywą stronę zawierającą szkodliwe oprogramowanie, która stanowi dokładną kopię witryny atakowanej firmy, i zarejestrować ją z podobną nazwą domeny. Strona ta zostanie następnie wykorzystana do zmylenia użytkowników i zainfekowania ich komputerów.

Techniki włamań

Jedną z najpopularniejszych technik „wprowadzenia” szkodliwego oprogramowania do sieci korporacyjnych w 2013 r. było wysyłanie pracownikom firm e-maili zawierających szkodliwe załączniki. Zawarte w tych e-mailach dokumenty często posiadały popularne formaty: Word, Excel lub PDF. W przypadku otwarcia załączonego pliku, została wykorzystana luka w oprogramowaniu – jeżeli istniała – i system został zainfekowany szkodliwym programem.

Słabe ogniwo

Odbiorcami szkodliwych e-maili często są pracownicy, którzy muszą regularnie komunikować się z osobami spoza swojej struktury korporacyjnej. Nierzadko osoby te pracują w dziale PR.

Również działy zajmujące się zatrudnianiem nowych pracowników otrzymują mnóstwo e-maili od użytkowników zewnętrznych. Cyberprzestępca może udawać potencjalnego kandydata do pracy i wysłać CV w zainfekowanym pliku PDF. Naturalnie, plik zostanie otwarty przez pracownika działu HR i jeśli na jego komputerze znajduje się luka w zabezpieczeniach, maszyna zostanie zainfekowana.

Działy finansowe mogą również dostawać szkodliwe wiadomości zamaskowane jako prośby lub żądania z urzędu skarbowego, natomiast działy prawne - wiadomości, które wydają się pochodzić od organów sądowych, policji lub innych agencji rządowych.

Socjotechnika

Treść wiadomości ma na celu wzbudzenie ciekawości pracownika, do którego jest adresowana, i dotyczy jego obowiązków zawodowych lub ogólnie branży, w której działa firma. Na przykład, w ramach jednego ataku ukierunkowanego grupa hakerska Winnti wysłała wiadomości prywatnym producentom gier wideo, proponując potencjalną współpracę:

Oprogramowanie spyware o nazwie Miniduke było rozprzestrzeniane w liście dotyczącym planów Ukrainy w zakresie polityki zagranicznej oraz stosunków Ukraina – NATO: