În industria securității cibernetice, observăm o schimbare în modul în care sunt efectuate hacks.

faze

Tu ce mai faci?

Cum vă putem ajuta cu securitatea cibernetică?

Aveți nevoie de o ofertă?

Atacatorii nu au vrut să fure date, ci au căutat să perturbe serviciile.

ACȚIUNE:

Schimbări în industria securității cibernetice

Un set recent de atacuri împotriva entităților de infrastructură critice, precum operatorii de conducte de petrol și gaze, utilități și chiar unele guverne de oraș și de stat dezvăluie noi motive și metode. Atacatorii nu au vrut să fure date, ci au căutat să perturbe serviciile. Atacatorii au folosit un nou vector de atac care nu a fost văzut până acum. În loc să își atace direct țintele principale, au atacat vânzătorii mai puțin siguri pe care aceștia le folosesc. Vom analiza cum au făcut acest lucru și apoi cum poate fi prevenit.

Primul pas - Recunoaștere

Înainte de a lansa un atac, hackerii identifică mai întâi o țintă vulnerabilă și explorează cele mai bune modalități de a-l exploata. Ținta inițială poate fi oricine dintr-o organizație. Atacatorii au nevoie pur și simplu de un singur punct de intrare pentru a începe. E-mailurile de phishing vizate sunt obișnuite în acest pas, ca metodă eficientă de distribuire a programelor malware.

Întregul punct al acestei faze este de a cunoaște ținta.
Întrebările la care hackerii răspund în această etapă sunt:

  1. Cine sunt oamenii importanți din companie? La acest lucru puteți răspunde privind site-ul web al companiei sau LinkedIn.
  2. Cu cine fac afaceri? Pentru aceasta, ei ar putea utiliza tehnologia socială, făcând câteva „apeluri de vânzare” către companie. Cealaltă modalitate este scufundarea la bascule de modă veche.
  3. Ce date publice sunt disponibile despre companie? Hackerii colectează informații despre adresa IP și efectuează scanări pentru a determina ce hardware și software folosesc. Ei verifică baza de date a registrului web ICAAN.

Cu cât hackerii petrec mai mult timp obținând informații despre oamenii și sistemele companiei, cu atât va fi mai reușită încercarea de hacking.

Pasul doi - Arma

În această fază, hackerul folosește informațiile pe care le-a adunat în faza anterioară pentru a crea lucrurile de care vor avea nevoie pentru a intra în rețea. Acest lucru ar putea crea e-mailuri de Spear Phishing credibile. Acestea ar arăta ca niște e-mailuri pe care le-ar putea primi de la un furnizor cunoscut sau alt contact de afaceri. Următorul este crearea de gauri de udare sau pagini web false. Aceste pagini web vor arăta identic cu pagina web a unui furnizor sau chiar pagina web a unei bănci. Dar singurul scop este de a vă captura numele de utilizator și parola sau de a vă oferi o descărcare gratuită a unui document sau altceva de interes. Ultimul lucru pe care atacatorul îl va face în această etapă este de a colecta instrumentele pe care intenționează să le folosească odată ce au acces la rețea, astfel încât să poată exploata cu succes orice vulnerabilități pe care le găsesc.

Pasul trei - Livrare

Acum începe atacul. Sunt trimise e-mail-uri de tip phishing, paginile web Watering Hole sunt postate pe Internet și atacatorul așteaptă toate datele de care au nevoie pentru a începe să ruleze. Dacă e-mailul Phishing conține un atașament armat, atunci atacatorul așteaptă ca cineva să deschidă atașamentul și malware-ul să sune acasă.

Pasul patru - Exploatare

Acum începe „distracția” pentru hacker. Pe măsură ce sosesc numele de utilizator și parolele, hackerul le încearcă împotriva sistemelor de e-mail bazate pe web sau a conexiunilor VPN la rețeaua companiei. Dacă au fost trimise atașamente cu malware, atacatorul accesează de la distanță computerele infectate. Atacatorul explorează rețeaua și își face o idee mai bună despre fluxul de trafic din rețea, ce sisteme sunt conectate la rețea și cum pot fi exploatate.

Pasul cinci - Instalare

În această fază, atacatorul se asigură că continuă să aibă acces la rețea. Vor instala un backdoor persistent, vor crea conturi de administrare în rețea, vor dezactiva regulile firewall-ului și poate chiar vor activa accesul la distanță pentru desktop pe servere și alte sisteme din rețea. În acest moment, intenția este de a vă asigura că atacatorul poate rămâne în sistem atât timp cât este necesar.

Pasul șase - Comandă și control

Acum au acces la rețea, conturi de administrator, toate instrumentele necesare sunt la locul lor. Acum au acces neîngrădit la întreaga rețea. Aceștia pot privi orice, identifica orice utilizator din rețea și chiar pot trimite e-mailuri de la CEO către toți angajații. În acest moment ei controlează. Vă pot bloca din întreaga rețea, dacă doresc.

Pasul șapte - Acțiune asupra obiectivului

Acum, că au control total, își pot atinge obiectivele. Acest lucru ar putea fura informații despre angajați, clienți, modele de produse etc. sau pot începe să se încurce cu operațiunile companiei. Amintiți-vă, nu toți hackerii urmăresc datele generabile de bani, unii sunt doar pentru a deranja lucrurile. Dacă luați comenzi online, acestea ar putea să vă închidă sistemul de preluare a comenzilor sau să șteargă comenzile din sistem. Ar putea chiar să creeze comenzi și să le trimită clienților dvs. Dacă aveți un sistem de control industrial și aceștia au acces la acesta, ar putea opri echipamentele, să introducă puncte de set noi și să dezactiveze alarmele. Nu toți hackerii vor să vă fure banii, să vândă informațiile dvs. sau să posteze e-mailurile incriminatoare pe WikiLeaks, unii hackeri vor doar să vă provoace durere.

Pregătește-te pentru atac

Deci, ce se întâmplă acum? Ce puteți face pentru a vă proteja rețeaua, compania, chiar reputația? Trebuie să te pregătești pentru atac. Să recunoaștem, mai devreme sau mai târziu hackerii vor veni după tine. Nu vă lăsați să credeți că nu aveți nimic din ceea ce vor ei. Ai încredere în mine.

Autor:

Craig Reeds, CISSP, consultant senior în securitate cibernetică
DNV GL - Soluții digitale