Людський фактор - ахіллесова п'ята систем безпеки

Європейський інститут біомолекулярних досліджень, що займається вивченням COVID-19, а також діяльністю, пов'язаною з науками про життя, був недавно підданий кібератаці з використанням програми вимагача Ryuk. Інститут має тісні партнерські відносини з місцевими університетами і працює зі студентами за різними програмами. Для стримування і нейтралізації атаки були залучені фахівці компанії Sophos.

Атака Ryuk привела до втрати тижневого збору важливих дослідницьких даних, тому що, хоча у них були резервні копії, вони були не зовсім актуальними. В результаті довелося відновлювати файлові системи серверів і робочих станцій перш ніж можна було скористатися резервними копіями. Однак, можливо, найважчим уроком було розуміння того, що атаки та її наслідків можна було уникнути, використовуючи більш надійний підхід до організації доступу в робочу мережу.

Після локалізації кібератаки, фахівці Sophos використовуючи публічні журнали подій простежили кроки, зроблені зловмисниками, а також інструменти й методи, використовувані на кожному етапі. Фахівці виявили, що зловмисники отримали доступ до домену, і використовували його для розгортання програми-здирника Ryuk за допомогою ряду запланованих завдань. Коли вони повністю відновили хід подій, то зрозуміли, що до злому системи привела людська помилка й невірна оцінка безпеки.

Людська помилка може статися в будь-який організації

Причина, по якій була здійснена повноцінна атака, полягала в тому, що в інституті не було захисту, що дозволяє виправити цю уразливість. В основі досконалої атаки лежав підхід до надання доступу до мережі людям, що не входять в організацію. Студенти, що працюють з інститутом, використовують свої персональні комп'ютери для доступу до мережі інституту. Вони можуть підключатися до мережі через віддалені сеанси Citrix без необхідності двофакторної аутентифікації.

Інститут став відомий в той момент, коли один з цих студентів-заочників вирішив, що їм потрібна особиста копія програмного інструменту для візуалізації даних, який вони вже використали в роботі. Ліцензія на одного користувача могла коштувати їм сотні доларів на рік, тому вони розмістили питання на дослідному онлайн-форумі, запитуючи, чи знає хто-небудь про безкоштовну альтернативу (фахівці Sophos знають це, тому що студент передав свій ноутбук для аналізу і стали зрозумілі всі масштаби події).

Коли студенти не змогли знайти відповідну безкоштовну версію, вони почали шукати зламану версію програмного забезпечення. Вони знайшли те, що виглядало так, і спробували встановити. Однак насправді файл був повноцінною шкідливою програмою, і спроба установки відразу ж викликала попередження системи безпеки від Захисника Windows. Користувач відключив Захисник Windows - і в той самий час, схоже, також відключив свій брандмауер - і спробував знову. На цей раз це спрацювало.

Отже, замість зламаної копії інструменту візуалізації, який вони шукали, учень отримав шкідливу програму для крадіжки інформації, яка після установки почала реєструвати натискання клавіш, красти дані браузера, файли cookie, буфер обміну і багато іншого. Десь по дорозі він, мабуть, також знайшов облікові дані студента для доступу до мережі інституту.

Тринадцять днів по тому підключення по протоколу віддаленого робочого столу (RDP) було зареєстровано в мережі інституту з використанням облікових даних студента. Воно прийшло з комп'ютера, названого «Тоторо», можливо, на честь персонажа аніме.

Особливістю RDP є те, що з'єднання також запускає автоматичну установку драйвера принтера, дозволяючи користувачам друкувати документи віддалено. Це дозволило групі з розслідування Rapid Response встановити, що зареєстроване RDP-з'єднання використовує драйвер принтера російською мовою і, швидше за все, є шахрайським. Через десять днів після встановлення зв'язку була запущена програма-вимагач Ryuk.

Пірати прокладають шлях здирникам  

«Малоймовірно, що оператори, які стоять за« піратським програмним забезпеченням », ті ж, що і ті, хто запустив атаку Ryuk», - сказав Пітер Маккензі, менеджер Rapid Response в Sophos. «Підпільний ринок раніше скомпрометованих мереж, що пропонує зловмисникам простий початковий доступ, процвітає, тому ми вважаємо, що оператори шкідливих програм продали свій доступ іншому зловмиснику. З'єднання RDP могло використовуватися брокерами доступу, контролюючими їх доступ.

«Розслідування інцидентів має вирішальне значення, тому що вони дозволяють нам побачити, як розвивалася атака, і допомагають зрозуміти і усунути прогалини в безпеці в майбутньому. У цьому випадку реалізація надійної мережевої аутентифікації та контролю доступу в поєднанні з навчанням кінцевих користувачів могла б запобігти цій атаці. Цей випадок служить переконливим нагадуванням про те, наскільки важливо правильно розуміти основи безпеки».

Рекомендації

Sophos рекомендує зробити наступні дії для захисту від зловживань доступом до мережі:

1. За можливості включіть багатофакторну аутентифікацію (MFA) для всіх, кому потрібен доступ до внутрішніх мереж, включаючи зовнішніх співробітників і партнерів.
2. Розробіть надійну політику паролів для всіх, хто має доступ до внутрішніх мереж.
3. Виведення з експлуатації та / або оновлення будь-яких операційних систем і додатків, що невикористовуються.
4. Перевірте й встановіть програмне забезпечення по захисту робочих станцій на всі комп'ютери.
5. Регулярно переглядайте і встановлюйте останні виправлення програмного забезпечення на всіх комп'ютерах і перевіряйте, чи правильно вони встановлені.
6. Перевіряйте використання проксі-серверів і регулярно перевіряйте політики безпеки, щоб запобігти доступу до шкідливих веб-сайтів та / або завантаження шкідливих файлів будь-ким в мережі.
7. Блокуйте доступ RDP до віддаленого робочого столу за допомогою правил, за допомогою групової політики або за допомогою списків контролю доступу.
8. Реалізуйте поділ для будь-якого доступу до мережі, в тому числі для локальних мереж (або розгляньте можливість використання віртуальних локальних мереж) і, де необхідно, використовуйте обладнання / програмне забезпечення / списки управління доступом.
9. Постійно переглядайте облікові записи домену та комп'ютери, видаляючи всі невикористовувані або непотрібні.
10. Переглядайте конфігурації брандмауера та вносьте в білий список тільки трафік, призначений для відомих пунктів призначення.
11. Обмежте використання облікових записів адміністратора різними користувачами, оскільки це сприяє спільному використанню облікових даних, що може призвести до багатьох інших вразливостей безпеки.

Ніколи не варто забувати головне правило - ваша безпека в першу чергу залежить від вас. А якщо вам або вашої компанії потрібна допомога в питаннях кібербезпеки, то компанія InfoTel може допомогти вам розібратися в цій завданням і залишити турботи про захист ваших даних нашій команді професіоналів.

InfoTel - партнер Sophos в Україні, широкопрофільний системний інтегратор комплексних телекомунікаційних та інформаційних рішень, досвід впровадження з 2004 р.

За матеріалами компанії Sophos