Tim za odgovore na industrijske incidente kompanije Kaspersky Lab nedavno se susreo sa novom pretnjom u vidu „fišing“ napada na industrijske organizacije. Kriminalci koji stoje iza ovih incidenata su pored „fišing“ napada i napada na finansijske transakcije ukrali i druge podatke, kao što su projektni i operativni planovi, kao i nacrti električnih i informacionih mreža. Ove dodatne informacije nisu neophodne napadačima za primarni cilj u vidu zarade novca, pa tako ova nova aktivnost stvara dodatnu brigu zbog budućih aktivnosti sajber kriminalaca.
Napadi koji se odnose na kompromitovanje poslovnog i-mejl saobraćaja (Business Email Compromise - BEC), a koji se često dovode u vezu sa Nigerijom, imaju za cilj da „otmu“ legalne korporativne naloge koje napadači mogu da nadgledaju, kako bi presreli ili preusmerili finansijske transakcije. U oktobru 2016. godine, istraživači iz kompanije Kaspersky Lab primetili su značajan porast u broju pokušaja malver infekcija koje targetiraju industrijske korisnike. Oni su identifikovali preko 500 napadnutih kompanija u 50 zemalja, uglavnom industrijskih korporacija i velikih kompanija za transport i logistiku. Neki od ovih napada su i dalje aktivni.
Proces sprovođenja napada
Napad počinje pažljivo kreiranom „fišing“ i-mejl porukom, koja izgleda kao poruka od dobavljača, klijenta, komercijalne organizacije ili kompanije za pružanje usluga isporuke. Napadači koriste malver koji se dovode u vezu sa najmanje osam različitih špijunskih trojan i backdoor porodica, pri čemu su svi dostupni po niskoj ceni na crnom tržištu, i kreirani su sa ciljem da kradu poverljive informacije i na inficiranim sistemima instaliraju alate za daljinsko upravljanje.
Na inficiranim korporativnim računarima, napadači prave kopije korespodencije ili preusmeravaju poruke na sopstvene sandučiće, tako da mogu da pronađu interesantne i unosne transakcije. Oni zatim presreću transakcije preko napada sa „čovekom u sredini“ (man-in- the-middle attack), tako što zamenjuju podatke sa naloga prodavca svojim podacima. U trenutku kada žrtva primeti ovu nelegalnu zamenu podataka, već može biti prekasno za povraćaj novca.
Nepoznata pretnja
Prilikom analize komandnih i kontrolnih servera koji su korišćeni u nedavnim napadima, istraživači su otkrili da su nacrti operacija i projektnih planova, kao i tehnički crteži i mrežni planovi, bili među ukradenim podacima. Takođe, ovi nacrti nisu bili ukradeni sa računara projektnih menadžera, koj su obično mete napadača, već sa računara koji pripadaju operaterima, inženjerima, dizajnerima i arhitektama.
„Napadači nemaju potrebu da skupljaju ove podatke kako bi sproveli svoje „fišing“ napade. Šta oni žele sa ovim informacijama? Da li je njihova krađa slučajna ili namerna, ili je možda zatražila neka treća strana? Za sada na crnom tržištu nismo uočili ove informacije koje su ukrali nigerijski prevaranti. Međutim, očigledno je da se pored direktnog finansijskog gubitka, kompanije suočavaju sa dodatnim pretnjama prouzrokovanim krađom podataka”, izjavila je Marija Garnaeva (Maria Garnaeva), viši bezbednosni istraživač u sektoru za kritičnu infrastrukturu i analizu pretnji u kompaniji Kaspersky Lab.
Sledeći korak za napadače mogao bi da bude dobijanje pristup računarima koji formiraju deo industrijskog kontrolnog sistema, pri čemu bi bilo koje presretanje ili promena podešavanja moglo da ima razarajući uticaj na kompaniju.
Profil napadača
Kada su istraživači pronašli komandne i kontrolne (C&C) adrese u malicioznim fajlovima, ispostavilo se da su u određenim slučajevima isti serveri korišćeni za različite porodice malvera. To ukazuje na činjenicu da iza napada stoji ili samo jedna kriminalna grupa koja koristi različite malvere, ili nekoliko grupa koje sarađuju i međusobno dele resurse. Istraživači su takođe otkrili da je većina domena bila registrovana na stanovnike Nigerije.
Kako neutralisati pretnju
Kompanija Kaspersky Lab savetuje kompanije da koriste sledeće bezbednosne strategije:
-
Edukacija zaposlenih o osnovnoj bezbednosti i-mejl saobraćaja: izbegavanje posećivanja sumnjivih linkova i priloga, kao i detaljna provera porekla i-mejl poruka. Takođe je preporučljivo da zaposleni budu informisani o najnovijim alatima i taktikama koje koriste sajber kriminalci.
-
Detaljno proveravanje svih zahteva za unošenje podataka o bankovnim računima, metodama za plaćanje, i drugih podataka tokom finansijskih transakcija.
-
Instaliranje bezbednosnog rešenja na svim radnim stanicama i serverima, gde je to moguće, kao i pravovremeno ažuriranje.
-
U slučaju kompromitovanja sistema, neophodno je promeniti lozinke za sve naloge koji su korišćeni na tom sistemu.
- Ako organizacija poseduje industrijski kontrolni sistem, neophodno je instaliranje specijalizovanog rešenja koje će nadgledati i analizirati sve aktivnosti na mreži, kao i druge parametre.