7 lépésből mattot adni – Hogyan dolgoznak a kiberbűnözők?
A digitalizáció előretörésével mára nem maradt olyan szeglete a világnak, ahol ne lenne szükség komoly informatikai biztonsági lépésekre. Hiába vonogatják a vállukat a hétköznapi emberek vagy a kisebb vállalkozások üzemeltetői, hogy tőlük aztán semmit sem tudnak megszerezni, akarva akaratlanul részeseivé válhatnak a kiberbűnözők ténykedésének. A digitális behatolók, bár eltérő eszközökkel dolgoznak, azonos sémát követnek: a támadásokat egy úgynevezett kill chain-re lehet felfűzni, ennek az egyes fázisairól beszélgettünk Nemes Imrével, a Magyar Telekom kiberbiztonsági kompetenciaközpontjának vezetőjével.
„Az úgynevezett kill chain egy az IT-biztonság területén használt fogalom, amelyet Lockheed Martin foglalt definícióba” – magyarázta Nemes Imre. „Ez egy hétlépcsős folyamatot jelent, amiben egymásra épülnek a támadás egyes »moduljai«. Ezeket a kiberbűnözők ma már szinte intézményesített módon használják arra, hogy behatoljanak cégek, szervezetek vagy magánszemélyek rendszereibe.”
„Rendkívül fontos, hogy a biztonsági szakemberek ismerjék ezt a folyamatot és tudják, hogy melyik lépésében mi történik” – tette hozzá Nemes Imre. „Ugyanis függetlenül attól, hogy milyen támadást hajtanak végre, ugyanazokon a fázisokon mennek át a felderítéstől a rendszerekben való megtelepedésig.”
Az első lépés: felderítés
Akárcsak egy katonai művelet vagy – mivel bűnözőkről van szó – egy bankrablás előtt, fel kell térképezni a terepet. A kiberbűnözők ilyenkor elkezdik begyűjteni a célpontokról elérhető adatokat, eleinte csak azokat, amelyek nyilvánosan hozzáférhetőek.
„Úgy kell ezt elképzelni, mint az úgynevezett nyílt forrású hírszerzési (OSINT) tevékenységeket” – mutatott rá „Az elkövetők ilyenkor elkezdik nézegetni az adott célpontok digitális térben elérhető adatait, online lábnyomát és összegyűjtik azokat a publikus információkat, amelyek alapján tovább tudnak lépni. Ilyen lehet például egy nagy cég vezetőségének a neve, elérhetősége, esetleg fotója, ezek jellemzően megtalálhatóak az adott cégek weboldalain. Az e-mail-címek felépítéséből pedig lehet következtetni, hogy a szervezet hogyan generálja saját e-mail-struktúráját. Ebben a szakaszban egy átlagember is lehet a célpont, mivel különféle adatforrásokból vagy a dark webről rengeteg információt össze lehet gereblyézni, amelyek alapján kialakul a támadási vektor.”
Felhívta a figyelmet arra, hogy ma már nemcsak a fokozottan sérülékeny támadási pontok védelmére kell gondolni, hanem arra is, hogy napjainkban már bárki áldozattá válhat, ezért ma már nem lehet érv, hogy „miért pont engem támadnának, nálam nem találnak semmit”.
„Sokszor kérdezik a laikusok, hogy velük mit tudnának kezdeni a kiberbűnözők” – mondta Nemes Imre. „Sajnos nagyon is sokat, az adott egyén jelszavai, egyéb adatai bizony mind fontos belépési pontként tudnak működni a továbbiakban.”
A kompetenciaközpont-vezető arra is figyelmeztetett, hogy ma már a bűnözők oldalán is komoly digitális szakemberek dolgoznak, akik annyira szervezetten működnek, mintha csak egy multicég egy projektjén tevékenykednének: külön csapatok vadásznak az adatokra, más szakértők programoznak és előfordul, hogy a későbbi konkrét támadást is külön „szervezeti egység” hajtja végre.
Második lépés: a fegyverkezés
Az első lépésben begyűjtött információt ezután megpróbálják a behatoláshoz felhasználni. Ilyenkor a felderített sérülékenységek elemzésével megállapítják, hogy mi a leghatékonyabb megoldás a későbbi behatoláshoz.
„Ebben a lépésben a bűnözők összeállítják az »étlapot«, azaz egy listát, amely felsorolja a sérülékenységeket, amelyekből választhatnak, hogy milyen támadási vektorokon keresztül tudnak bejutni a célpontok rendszereibe” – magyarázta.
„Sajnos ma nagyon sok sérülékeny rendszer létezik, például ott vannak az úgynevezett nulladik napi (zero day) sérülékenységek, amelyekről még a hardvergyártók vagy szoftverfejlesztők sem tudnak, így könnyű őket kihasználni” – tette hozzá. „De előfordul az is, hogy egy népszerű rendszerben találnak egy biztonsági rést, és mivel ezeket sok helyen használják, könnyen támadhatóvá válik.”
Továbbá arra is figyelmeztetett, hogy mivel a nyilvánosan elérhető adatok összegyűjtését nem lehet megakadályozni, ez az első olyan fázis, ami ellen lehet védekezni. Az egyének és intézmények felelőssége ezen a ponton az, hogy a védelmüket folyamatosan karbantartsák, frissítsék.
„Ilyenkor úgynevezett sérülékenységi vizsgálatokat lehet kérni az ezzel foglalkozó cégektől, ami ma már szolgáltatás formájában is igénybe vehető” – mutatott rá. „Így időben észlelhetővé válnak a védelem gyenge pontjai.”
Hangsúlyozta, hogy ilyenkor akár hosszú, százas nagyságrendű tételt tartalmazó listák is készülhetnek, ezeket azonban a komolyságuk szerint osztályozzák, magas és alacsony kockázatú tételenként. gyakori, hogy az összes biztonsági rést nem is tudják időben befoltozni, de legalább van egy sorvezető az adott cég vagy szervezet kezében, hogy milyen rizikókkal kell még számolni.
Harmadik lépés: megérkezik a „csomag”
Ebben a fázisban a kiberbűnözők igyekeznek célba juttatni a fellelt sérülékenységek alapján létrehozott digitális fegyvert.
„Ez már a tényleges támadás első lépése, ami már a büntető törvénykönyvbe ütközhet” – mondta Nemes Imre. „Ilyenkor a kiberbűnözők célja, hogy az ártó szándékú kódot bejuttassák a célpont rendszereibe. Ennek többféle formája lehet, az adathalászattól, azaz phishingtől odáig, hogy egy fertőzött USB-adattárolót elhelyeznek valahol. Itt már nagyon komoly technikai védelmi eszközöket kell alkalmazni, hogy a támadásokat ki tudják szűrni. Mi klasszikusan úgynevezett határvédelmi megoldásokat szoktunk javasolni az efféle tartalmak kiszűrésére, de az ügyfeleknek a jól meghatározott végpontvédelem is sokat segíthet, az ugyanis nem engedi lefuttatni a hasonló kártékony kódokat.”
Arra is figyelmeztetett, hogy egy-egy hasonló támadás nem feltétlenül azonnal fejti ki a hatását, előfordulhat, hogy a digitális fegyver hetekig, sőt akár hónapokig is észrevétlenül meghúzódik a célpont rendszerében, mielőtt kifejtené a hatását. Az is lehetséges, hogy olyan „hátsó ajtót” nyitnak a cég rendszerében, amelyen keresztül folyamatosan figyelik az információáramlást, olyan adatokra vadászva, amelyekből hasznot húzhatnak vagy későbbi támadások során felhasználhatják. Ahogy a szakember fogalmazott „ez nem mindig zajlik hatalmas csinnadrattával”.
„Sőt, ezen a ponton az a lényeg, hogy minél nagyobb hatékonysággal ki tudják kerülni a védelmi rendszereket. Ennek egyik klasszikus példája a zsarolóvírusoké, amelyek akár úgy is képesek elrejtőzni a rendszerekben, hogy a biztonsági mentésekbe is bekerülhetnek, onnantól már nagyon nehéz enyhíteni a károkat.”
Negyedik lépés: a gyilkos tűszúrás
Nemes Imre rámutatott, hogy az előző fázisokban több óra, nap vagy hét is eltelhet, amíg a kiberbűnözők pozícióba helyezik a sakkfiguráikat, innentől viszont felgyorsul a folyamat.
„Onnantól, hogy a tényleges feltörés megtörténik, nagyon rövid időszakokról, szinte pillanatokról kell beszélni” – figyelmeztetett. „Ez egy nagyon érdekes része a folyamatnak, ami nem hasonlítható például egy emberi betegség lappangási idejéhez – emiatt nagyon nehéz ezzel a fázissal mit kezdeni technológiai meg cégvezetői szempontokból is, sok vezető gyakran nem is érti, hogy ilyenkor mi és hogyan történik.”
A negyedik lépés a feltárt sérülékenység kihasználása, amely rendkívül rövid, tűszúráshoz hasonlítható. Itt már egy olajozott rendszer indul be, sokszor olyan, szinte nagyvállalati támogatással, amely akár szolgáltatásként nyújtott szoftverek, eszközök bevetését is jelenti.
„A cégvezetőknek azt kell megérteni az ilyen kockázatokkal kapcsolatban, hogy olyan profi fegyverzettel néz ilyenkor farkasszemet a cége, amelyet kifejezetten az ellen a szervezet ellen fejlesztettek ki” – mutatott rá.
„Ráadásul ez sokszor olyan profin van összerakva, hogy vizuálisan nem lehet megkülönböztetni egy adathalász e-mailt attól, amit a rendszergazda küldene” – tette hozzá. „Bár ez nem egy túl kifinomult módszer, ennek ellenére egy adathalász kampány akár a 60-70 százalékos sikerrátát is elérheti.”
Arra is felhívta a figyelmet, hogy már Magyarországon is észleltek olyan adathalász eszközöket, amelyek valós időben másolják le a célpont rendszerének a paramétereit, azaz hiába frissül naponta egy weboldal, az áldozatok nem fogják kiszúrni a különbségeket – mert pontosan azt látják majd, amit a jól megszokott céges oldalakon is. Nemes Imre szerint ezen a ponton már olyan külső szolgáltatásra van szüksége a cégeknek, ami folyamatosan figyeli a hálózati forgalmat – például egy úgynevezett SOC (Security Operation Center) központra.
Ötödik lépés: telepítés
Ezen a ponton a bűnözők már átjutottak az első védelmi vonalakon és elkezdik a megfelelő helyekre elhelyezni azokat a digitális kártevőket, amelyek kihasználásával szabadon mozoghatnak a célpontok rendszereiben. Itt komoly lehetősége van a biztonsági szakembereknek, ugyanis a digitális kártevők gyakran elkezdik magukat sokszorosítani, a rendszer különféle pontjaira eljuttatni, ezt pedig egy megfelelően beállított informatikai „immunrendszer” észlelheti. Itt már jóval kifinomultabb megoldásokat használnak, amelyek az egyes célpontok rendszereihez lettek kitalálva. Ez ellen megint csak külső IT-szolgáltatók szakértelmét kell igénybe venni, mert a monitorozás mellett aktív védelemre is szükség van.
Hatodik lépés: a kártevő „hazatelefonál”
A célpont rendszerébe telepített kártevő sikeresen elhelyezkedett és megkezdi a kommunikációt a külvilággal, azaz, a bűnözőkkel, akiknek elkezdi kijuttatni a megszerzett adatokat. Bár itt a hálózati forgalom elemzéséből kitűnhet a különös adatforgalom, a problémát az jelenti, hogy mire az incidens kezelése végigfut a szervezeten, még optimális esetben is órák telnek el, addigra pedig a behatolók már megszerezhették, amit akartak.
Továbbá arra hívta fel a figyelmet, hogy a korábban bemutatott, lappangó kártevőket akár teljesen ártalmatlannak tűnő parancsokkal – például egy közösségimédia-felületre kikerülő üzenettel – is lehet aktiválni, ami kifejezetten kalandossá teszi a kiberbiztonsági szakemberek dolgát.
Hetedik lépés: a konkrét támadás
Az utolsó lépcsőben a korábban feltárt sérülékenységeket kihasználva, a rendszerbe bejuttatott és az üzemeltetőkkel kapcsolatot létesítő digitális kártevő megkezdi a tényleges munkát, ilyenkor következik be a valódi károkozás, ami jelentheti az érzékeny adatok megszerzését, törlését vagy a célpont rendszereinek megbénítását. Ezeket a módszereket akár kombinálva is használhatják, hiszen jóval nagyobb haszonra lehet szert tenni, ha egy célpont rendszerének elfoglalása mellett az értékes adataik eladásából is pénzt szerezhetnek a digitális bűnözők.
„Nagyon fontos, hogy a cégeknek, szervezeteknek, de a magánszemélyeknek is áldoznia kell a megelőzésre, mert az utólagos kezelés sem a költségek, sem a működés szempontjából nem tekinthető optimális megoldásnak” – hangsúlyozta. „Különösen, ha egy termelő, gyártó céget ér hasonló támadás, ahol már néhány órányi leállás is tíz- vagy százmillió forintokban mérhető kiesést jelenthet – ezzel szemben egy párszázezer forintos biztonsági szolgáltatás igénybevétele csekély tételnek számít.”
„Azért is fontos a prevenció, mert ha egy kártevőt az utolsó lépésben akar valaki elkapni, azt kockáztatja, hogy addigra már a fél adatbázisát megszerezték a behatolók” – mondta el.
