Atacurile cibernetice fac parte de mult timp din cotidian. In fiecare zi, hackerii reusesc sa atace companii mari si mici si sa exfiltreze informatii sensibile. Conform Identity Threat Research Center, pana in septembrie 2021 au avut loc deja 1291 brese de securitate care au afectat in total aproximativ 281,5 milioane de persoane. Bresele de securitate reprezinta reale pericole pentru companii, furnizori, parteneri, colaboratori si clienti, dar exista o amenintare si mai grava in spatiul cibernetic – APT sau Advanced Persistent Threat.
Ce este Advanced Persistent Threat (APT)?
Un APT este un atac care se intinde pe o perioada lunga de timp cu scopul de a localiza, exploata si exfiltra informatii sensibile si confidentiale. Hackerii reusesc sa compromita reteaua organizatiei si petrec mult timp inauntru ei monitorizand utilizatorii si activitatea lor, precum si datele transmise prin retea. Hackerii folosesc tehnici avansate de camuflare pentru a evita detectia si pentru a nu declansa alarmele de securitate folosite de organizatie.
Atacurile APT nu sunt deloc intamplatoare. Hackerii petrec mult timp documentandu-se despre tinta pe care doresc sa o atace. Sunt vizate de obicei organizatii mari ca institutii de stat, producatori de software si institutii bancare, toate acestea lucrand cu informatii “top secret”.
Un atac APT este caracterizat de urmatoarele faze:
- identificare victimei
- gasirea si cooptarea unui complice
- dezvoltarea sau achizitionarea uneltelor folosite in atac
- cercetarea infrastructurii victimei si a angajatilor acesteia
- verificarea detectiei
- lansarea atacului
- compromiterea initiala
- stabilirea unui canal de comunicare outbound
- escaladarea accesului si a privilegiilor
- intarirea prezentei in retea
- exfiltrarea informatiilor
- acoperirea urmelor si evitarea detectiei
Indicii care pot semnala un APT si masuri de protectie
Email-uri de tip spear phishing. Hackerii au nevoie de un vector de intrare in retea, iar acesta este de multe ori reprezentat de email. Tinta emailului este foarte bine aleasa. Hackerii petrec timp documentandu-se despre ea si incearca sa personalizeze cat mai bine mesajul. Email-ul de spear phishing difera de mailul obisnuit de phishing (care sunt formulate generic si adresate unei mase mari de tinte) tocmai prin gradul inalt de personalizare prin care se incearca convingerea tintei de credibilitatea mesajului. Orice email trimis catre persoane din C-level de la persoane necunoscute care are si ceva fisiere anexate reprezinta un semnal de alarma. Este foarte importanta educarea oamenilor, si mai ales a celor care au functii de conducere (ei au acces la si mai multa informatie confidentiala) de pericolele phishing-ului si de riscurile asociate cu deschiderea atasamentelor si a link-urilor incluse in emailul nesolicitat.
Incercari ciudate de conectare. Orice incercare de conectare la retea sau la o aplicatie trebuie sa fie monitorizata si inregistrata, log-urile de sistem colectate intr-o maniera centralizata folosind o aplicatie de tip SIEM (Security Information and Event Management) fiind absolut esentiale in a identifica incercarile ciudate de login, cum ar fi cele dupa orele de program sau din weekend, cand hackerii stiu ca nu prea mai este nimeni la birou care sa observe aceasta activitate ciudata. O restrictionare a accesului pe baza de geo locatie poate bloca conexiunile malitioase initiate din tari cu profil ridicat de activitate cibernetica criminala.
Aparitia unor programe suspecte pe calculator. Un mod foarte folosit de hackeri pentru a obtine persistenta este reprezentat de instalarea unor programe de tip “back door” care vin de obicei in forma unor troieni. Dupa ce obtin accesul initial, hackerii instaleaza software nou pe sistem care contine si malware de tip back door. Astfel, hackerii reusesc sa pastreze accesul de la distanta pe sistem chiar daca acesta se reseteaza sau i se schimba credentialele de acces. Mentinerea la zi a sistemelor prin aplicarea update-urilor si a patch-urilor de securitate reduce suprafata de atac la care este expusa organizatia. Folosirea unui program antivirus/antimalware sau de endpoint protection ajuta la identificarea si carantinarea malware-ului de tip backdoor.
Relocarea fisierelor. Atacatorii adesea muta fisierele pe care doresc sa le exfiltreze de pe un sistem pe un sistem pe care au deja acces, de exemplu de pe un server de FTP pe statia unui utilizator exploatand sesiunea deja stabilita de acesta. De acolo, atacatorii trimit fisiere catre un server de-al lor din Internet. Transferul unui volum mare de date atat in interiorul organizatiei, cat si in afara ei poate fi semnul unei brese de securitate. Monitorizarea traficului din retea si a sesiunilor stabilite intre dispozitive pe directiile est-vest si nord-sud sunt deci deosebit de importante in acest sens. Un alt semn ca atacatorii sa pregatesc sa exflitreze informatii este aparitia unor arhive ciudate intr-un format pe care organizatia nu il foloseste. Prezenta acestor arhive pe sisteme din interiorul organizatiei trebuie sa fie un semn de ingrijorare.
Un APT poate fi extrem de distructiv pentru o organizatie. Implementarea unui program de End User Security Awareness care sa ofere utilizatorilor informatii despre cum sa recunoasca un atac si cum sa reactioneaze in fata lui este extrem de importanta pentru minimizarea riscului unui brese de securitate. De asemenea, folosirea uneltelor potrivite de la un vendor de incredere pentru a implementa politicile de securitate ale organizatiei reduce si mai mult pericolul reprezentat de un APT.
Mihai Dumitrascu, Sr Systems Engineer