Bezpečnostní experti odkryli modus operandi ruských hackerov. Takto sa dostávajú k citlivým e-mailom a dátam bez povšimnutia
Phishing dnes nevyzerá ako podvod. Ruskí hackeri cielia na rutinu, dôveru a bežnú prácu, aby potichu získali prístup k e mailom, dokumentom a citlivým údajom bez toho, aby si si niečo všimol.
Najväčšia chyba, ktorú dnes pri phishingu robíme, je predstava, že ho ľahko spoznáme. Že uvidíme podozrivý e-mail, divnú adresu alebo zlú slovenčinu. Lenže realita je opačná. Práve na tomto falošnom pocite istoty stavajú útoky, ktoré analytici pripisujú ruskej skupine APT28 (tiež známej aj ako Fancy Bear). Neútočia nápadne. Nikam sa neponáhľajú. Ich cieľ je jednoduchý: aby si si vôbec nevšimol, že sa niečo stalo.
„BlueDelta (pozn. redakcie: označenie pre ruskú štátom podporovanú hackerskú skupinu) dlhodobo zneužíva legitímnu internetovú infraštruktúru a stavia na nenápadnosti. Cieľom nie je vyvolať poplach, ale potichu zbierať prihlasovacie údaje ako nízkonákladový, no mimoriadne efektívny zdroj spravodajských informácií,“ upozorňujú analytici zo spoločnosti recordedfuture.com.
Útočníkom nejde o okamžitý chaos ani zablokovaný počítač. Práve naopak. Ide im o prístup k dátam, ktorý je hlavne tichý, dlhodobý a nenápadný. K e-mailom, dokumentom, interným diskusiám. K veciam, ktoré ľudia píšu v presvedčení, že ich nikto nečíta.
Phishing, ktorý sa tvári ako bežná práca
Celá taktika stojí na jednoduchom princípe, ktorou je nevyrušiť používateľa. V schránke sa objaví odkaz na dokument. Otvoríš ho, pozrieš si obsah a vzápätí ťa systém požiada o prihlásenie do e-mailu alebo firemnej siete. Presne tak, ako si na to zvyknutý.
Prihlasovanie je rutina. Opakuje sa každý deň, často bez rozmýšľania a neraz aj opakovane. Práve v tom je slabina. Keď sa objaví známa prihlasovacia obrazovka, málokto rieši, či je naozaj tá správna. Vyzerá rovnako, správa sa rovnako a po zadaní údajov ťa pošle tam, kam má. Z pohľadu používateľa sa nič nepokazilo. Z pohľadu útočníka ide o ideálne krytie, na konci ktorého je tvoje heslo.
Keď všetko funguje presne tak, ako má
Bežný phishing často zlyhá v momente, keď po odoslaní údajov príde chyba alebo ticho. Používateľ spozornie. Tieto kampane idú opačným smerom. Po odoslaní hesla ťa skript automaticky presmeruje na legitímny web. Niekedy späť na ten istý PDF dokument s cieľom, aby si nepodľahol podozreniu.
Neprehliadni
Z psychologického hľadiska ide o kľúčový moment. Mozog si situáciu uzavrie ako „všetko je v poriadku“. Nie je dôvod pochybovať, že sa deje niečo neobvyklé. A presne to útočník potrebuje.
Z technického hľadiska je to banálne. Pár riadkov skriptu odošle údaje a presmeruje používateľa ďalej. Bez škodlivého kódu, bez inštalácie, bez viditeľného zásahu do systému.
Krytie, ktoré nikto nerieši
Dôležitá je aj infraštruktúra, na ktorej tieto útoky bežia. Nie preto, že by bola technicky sofistikovaná, ale preto, že je úplne obyčajná. Útočníci neschovávajú phishing na podozrivých serveroch ani v takzvanom temnom internete. Používajú rovnaké služby, aké denne využívajú firmy, vývojári či IT oddelenia alebo bežní ľudia.
Bezplatný hosting, webhooky, tunelovacie nástroje (pozn. redakcie: ide o služby, ktoré vytvárajú dočasný „tunel“ medzi počítačom alebo serverom a internetom). Legálne služby, ktoré majú reálne využitie a fungujú spoľahlivo. A práve v tom je problém.
Kľúčové pre útočníkov je, že keď sa takáto adresa objaví v logoch, nevyzerá ako hrozba. Vyzerá ako bežná technická prevádzka. Pre obranu to vytvára nepríjemnú dilemu. Zablokovať tieto služby znamená riskovať, že si organizácia alebo jednotlivec poškodí vlastné procesy či vývoj.
Nechať ich otvorené zas znamená prijať riziko, že sa cez ne potichu vynášajú prihlasovacie údaje. Nejde o zlyhanie technológií. Tie robia presne to, na čo boli navrhnuté. Slabé miesto je inde, v rozhodovaní a v predstave, že útok musí vyzerať „podozrivo“. Ak vyzerá ako bežná infraštruktúra, často jednoducho prejde.
Útok, ktorý nemá zanechať stopy
Možno sa teraz pýtaš, prečo si s tým dávajú takú námahu? Prečo nejdú priamo po systémoch, keď by mohli spôsobiť oveľa väčší rozruch? Lebo rozruch nie je cieľ. Ukradnuté heslo má často vyššiu hodnotu než odstavený server.
Prístup k e-mailu znamená prístup k reálnemu fungovaniu organizácie. K rozhodnutiam ešte predtým, než sú oficiálne. K plánom, ktoré sa len formujú. K sporom, pochybnostiam a vnútorným problémom, ktoré sa nikdy nedostanú navonok.
Dôležité je, že týmto útokom sa riziko nekončí pri jednom účte. Prístup k e-mailu často otvorí dvere k ďalším službám. Reset hesiel, interné odkazy, cloudové úložiská, zdieľané dokumenty, zmluvy či citlivé prílohy. Útočník nemusí nič lámať. Stačí čítať a čakať.
Únik dát pritom nemusí prísť naraz ani dramaticky. Deje sa potichu, po častiach. Jeden dokument dnes, ďalší o týždeň, ďalší o mesiac. A keď sa na to príde, je už nemožné presne povedať, čo všetko sa dostalo von.
Bezpečnostní analytici spájajú prebiehajúce kampane s hackermi napojenými na štátne spravodajstvo, konkrétne na GRU. Nie pre technickú okázalosť, ale pre presne zvolený cieľ a trpezlivosť, s akou sa k nemu dostávajú. Podľa analytikov zo spoločnosti Recorded Future ide o stratégiu, ktorú možno udržiavať dlhodobo. Nestojí veľa, nevyžaduje zložitú infraštruktúru a prináša stabilný prísun informácií.
Najnepríjemnejšie na týchto útokoch je, že po nich nezostáva chaos ani výpadok. Zostáva ticho. Používateľ pokračuje v práci, firma funguje ďalej a nikto netuší, že niekto iný má prehľad o tom, čo sa rieši interne.
