Ataki hakerskie a inżynieria społeczna

Przeczytaj także: Trojan atakuje Texas HoldEm Poker na Facebooku

Ofiary

Z dochodzeń przeprowadzonych w związku z tymi atakami wynika, że zostało nimi dotkniętych szereg francuskich przedsiębiorstw. Celem atakujących było doprowadzenie do tego, by dział księgowości (lub podobny) przelał pieniądze na konto zagraniczne.

W większości przypadków pierwszą ofiarą był pracownik administracyjny lub księgowy przedsiębiorstwa. W sytuacji, gdy pierwsza ofiara nie miała uprawnień do przelania pieniędzy, atakujący posługiwał się tożsamością ofiary, aby zidentyfikować osobę w dziale księgowości posiadającą takie uprawnienia. Następnie atakujący, posługując się dalszymi metodami inżynierii społecznej, doprowadzał do zainfekowania komputera takiej osoby.

Atak w ruchu

Analiza maili i ruchu związanego ze sterowaniem i kontrolą pozwoliła ustalić, że atakujący znajduje się w Izraelu lub przekierowuje swe ataki za pośrednictwem tego państwa. Jednak adresy IP nadawcy w Izraelu są nietypowe, gdyż należą do bloku zarezerwowanego dla mobilnych klientów izraelskiego przedsiębiorstwa telekomunikacyjnego. Co więcej, analiza ruchu pozwoliła ustalić, że ataki w istocie wychodziły z sieci mobilnej i — co istotne — atakujący używa mobilnych hotspotów Wi-Fi.

Mobilny hotspot Wi-Fi może działać jak odpowiednik telefonu GSM; po podłączeniu do systemu komputerowego zapewnia dostęp do internetu za pośrednictwem sieci telefonii komórkowej. Jeśli karta SIM do przenośnego routera zostanie zakupiona za gotówkę na bazarze lub od osoby prywatnej, posiadający ją haker może zapewnić sobie anonimowość. Wielu dostawców usług 3G na świecie dopuszcza zakup karty prepaid umożliwiającej transmisję danych bez weryfikowania tożsamości nabywcy, co oznacza, że nie można wyśledzić posiadacza na podstawie informacji posiadanych przez operatora.

Jeszcze bardziej zaskakujący jest fakt, że — jak wynika z analizy ruchu — atakujący w trakcie przeprowadzania ataków poruszał się. Zastosowane przez atakującego techniki operacyjne sprawiają, że jest on bardzo trudny do wyśledzenia. Użycie takich technik do cyberprzestępczości świadczy o tym, że hakerzy posługują się coraz bardziej wyrafinowanymi metodami. Odnalezienie poruszającego się hotspotu Wi-Fi wymaga użycia dyżurującego stale personelu rozmieszczonego w terenie i wyposażonego w specjalny sprzęt, a także pomocy ze strony operatora telekomunikacyjnego przy namierzaniu lokalizacji karty.

Opisane ataki są dobrym przykładem na rosnący stopień zaawansowania cyberprzestępczości, co jest tendencją, która najprawdopodobniej będzie się utrzymywać w przyszłości.

Symantec chciałby podziękować CERT-UA (Computer Emergency Response Team of Ukraine — ukraiński zespół ds. nagłych przypadków komputerowych) za pomoc w przeprowadzeniu badań.