Phising w firmach przemysłowych

Takie są wyniki raportu zespołu Kaspersky Lab odpowiedzialnego za reagowanie na cyberincydenty dotyczące przemysłowych systemów sterowania. Takie informacje nie są niezbędne dla podstawowego celu cyberprzestępców, jakim jest zdobycie pieniędzy, co budzi wiele obaw dotyczących przyszłych zamiarów atakujących.

Ataki BEC (ang. Business Email Compromise, włamanie się do poczty firmowej), często powiązane z Nigerią, mają na celu porwanie prawdziwych kont firmowych, które przestępcy mogą monitorować w celu przechwytywania lub przekierowywania transakcji finansowych. W październiku 2016 r. badacze z Kaspersky Lab zauważyli istotny wzrost liczby prób infekcji szkodliwym oprogramowaniem wymierzonych w organizacje przemysłowe. Zidentyfikowano ponad 500 atakowanych firm w 50 krajach, głównie przedsiębiorstwa przemysłowe oraz duże korporacje z branży transportu i logistyki. Ataki nadal są aktywnie prowadzone.

Przebieg ataku

Sekwencja ataku zaczyna się od starannie zaprojektowanej wiadomości phishingowej, która wydaje się pochodzić od dostawców, klientów, organizacji handlowych oraz firm oferujących usługi dostawcze. Atakujący wykorzystują szkodliwe oprogramowanie należące do co najmniej ośmiu różnych rodzin trojanów szpiegujących i narzędzi zostawiających tylną furtkę w atakowanych systemach — wszystkie z nich można nabyć niedrogo na czarnym rynku.

W zainfekowanych komputerach firmowych przestępcy wykonują zrzuty ekranu korespondencji lub przekierowują wiadomości do własnej skrzynki pocztowej, aby wyszukać w nich interesujące lub lukratywne transakcje. Płatność zostaje następnie przechwycona przy pomocy klasycznego ataku typu „man-in-the-middle” — poprzez podmianę danych dotyczących konta na fakturze legalnego sprzedawcy na dane przestępców. Zauważenie takiej podmiany może być trudne — ofiara może zorientować się dopiero wtedy, gdy dojdzie już do kradzieży pieniędzy.

Nieznane zagrożenie

Podczas analizowania cyberprzestępczych serwerów wykorzystywanych w najnowszych atakach z 2017 r. badacze zauważyli, że wśród skradzionych danych znalazły się zrzuty ekranu planów operacyjnych i projektowych, jak również rysunki techniczne i schematy sieci. Ponadto dane te nie zostały pobrane z komputerów menedżerów projektów czy menedżerów ds. zaopatrzenia, którzy standardowo stanowią cel cyberprzestępców, ale z komputerów należących do operatorów, inżynierów, projektantów oraz architektów.

– Nie ma konieczności, aby atakujący gromadzili tego rodzaju dane w celu przeprowadzenia swoich oszustw phishingowych. A zatem, co robią z tymi informacjami? Czy gromadzą je przypadkowo, czy celowo – być może na zlecenie osoby trzeciej? Jak dotąd nie zauważyliśmy na czarnym rynku żadnych informacji, które zostały skradzione przez cyberprzestępców nigeryjskich. Nie ma jednak wątpliwości, że dla atakowanych firm, oprócz bezpośredniej straty finansowej, tego typu atak phishingowy stwarza inne, potencjalnie poważniejsze zagrożenia — powiedziała Maria Garnajewa, starszy badacz ds. bezpieczeństwa, dział analizy zagrożeń dla infrastruktury krytycznej, Kaspersky Lab.

Kolejnym krokiem przestępców mogłoby być uzyskanie dostępu do komputerów, które tworzą część przemysłowego systemu sterowania, gdzie każde przechwycenie lub zmiana ustawień mogłaby mieć katastrofalny wpływ.

Profil atakujących

Gdy badacze zdobyli adresy przestępczego serwera kontroli, okazało się, że w niektórych przypadkach ta sama infrastruktura była wykorzystywana dla szkodliwych programów z różnych rodzin. To sugeruje, że za wszystkimi atakami stoi jedna grupa cyberprzestępcza, która wykorzystuje różne narzędzia, lub mamy do czynienia z wieloma ugrupowaniami, które współpracują ze sobą i dzielą się zasobami.

Badacze odkryli również, że większość domen wykorzystywanych w ramach ataku zarejestrowano na mieszkańców Nigerii.

Nowa droga – atak “lotniczy”

Zmienność taktyk działania cyberprzestępców to kolejny problem. Po przeskanowaniu setek tysięcy skrzynek pocztowych wielu różnych klientów, personel Barracdua Networks zauważył kilka bardzo kreatywnych i, niestety, skutecznych ataków, wykorzystujących mechanizm phishingu. Zaobserwowano ten atak w kilku firmach, zwłaszcza w przedsiębiorstwach z sektorów logistyki, transportu i produkcji, czyli takich, w których pracownicy często wysyłają towary lub podróżują służbowo.

Opisywany „lotniczy” atak phishingowy wykorzystuje różne techniki, które służą przestępcom do przechwycenia poufnych danych i zainstalowania u ofiar zaawansowanego, uporczywego zagrożenia (Advanced Persistent Threat, APT). Atak z podszywaniem się pod linię lotniczą łączy dwie lub więcej technik ofensywnych. Pierwsza technika to impersonacja. Napastnik podaje się za biuro podróży lub za pracownika z działu kadr lub finansów, który wysyła e-bilet lotniczy do ofiary. Wiadomość jest skonstruowana tak, że nie budzi wątpliwości u nieprzeszkolonego odbiorcy. Oto przykładowy wiersz tematu wiadomości email:

Fwd: United Airlines: Confirmation – Flight to Tokyo – $3,543.30

W dobrze przygotowanym ataku napastnik specjalnie dostosowuje wiadomość do ofiary. Linie lotnicze, cel podróży i cena są dobrane tak, żeby wyglądały na autentyczne w kontekście danej firmy i odbiorcy.

Po nakłonieniu pracownika do otwarcia wiadomości napastnik wykorzystuje drugie narzędzie, którym jest osadzone w załączniku zagrożenie APT. Załącznik, zazwyczaj potwierdzenie lotu lub płatności, jest sformatowany jako dokument formatu PDF lub DOCX. W ataku tego typu złośliwe oprogramowanie jest uruchamiane w momencie otwarcia dokumentu. Nasze analizy wskazują, że w lotniczych atakach phishingowych napastnikom w ponad 90 proc. przypadków udaje się nakłonić pracowników do otwarcia fałszywej wiadomości i uruchomienia złośliwego oprogramowania malware. Jest to jeden z najwyższych wskaźników skuteczności wśród ataków phishingowych.

Jak zminimalizować ryzyko

Zaimplementowanie w organizacji choć podstawowych praktyk dotyczących bezpieczeństwa w znaczącym stopniu ograniczy ryzyko, związane z działalnością cyberprzestępców.

• Należy zapoznać pracowników z podstawami bezpieczeństwa dotyczącego poczty e-mail: unikanie klikania podejrzanych odsyłaczy czy załączników oraz dokładne sprawdzanie źródła wiadomości e-mail, jak również informować personel na bieżąco o najnowszych narzędziach i sztuczkach stosowanych przez cyberprzestępców.
• Podczas transakcji zawsze trzeba zwracać uwagę na polecenia zmiany szczegółów dotyczących konta bankowego, metod płatności itd.
• W miarę możliwości na wszystkich stacjach roboczych i serwerach należy zainstalować rozwiązanie bezpieczeństwa, a także niezwłocznie stosować wszelkie aktualizacje.
• W przypadku infekcji systemu zmienione powinny zostać hasła dla wszystkich kont stosowanych w systemie.
• Jeśli organizacja korzysta z przemysłowych systemów sterowania, należy zainstalować wyspecjalizowaną ochronę, która umożliwi m.in. monitorowanie i analizę całej aktywności sieciowej.

Największe wyłudzenie phisingowe w historii

Wyprowadzenie z konta 40 mln. euro, ryzyko utraty płynności finansowej, spadek wartości akcji o 8% w ciągu jednego dnia – to pokłosie ataku phisingowego, jakim w minionym roku padła firma Leoni. To najbardziej spektakularny przykład działań phisingowych w przemyśle.

Słaby punkt niemieckiego producenta wiązek kablowych znajdował się w Rumunii. Leoni posiada w tym kraju cztery fabryki. Co jednak interesujące, tylko jeden z zakładów – w Bystrzycy – posiadał struktury pozwalające na wykonywanie przelewów z firmowego konta. W toczącym się śledztwie zakładana jest mi.in. hipoteza, że w przestęstwo zamieszani są pracownicy firmy. Nie wyklucza się jednak, że sukces cyberprzestępców był tylko efektem wyjątkowo długiej i dokładnej obserwacji działania przedsiębiorstwa po włamaniu się do systemu IT.

Pieniądze zostały wyłudzone metodą “na prezesa”. Po analizie procedur funkcjonujących w firmie, do szefa finansów zakładu w Bystrzycy trafił spreparowany e-mail od prezesa z poleceniem dokonania przelewu na zagraniczne konto bankowe. Pracownik rumuńskiej fabryki wykonał polecenie, co zaowocowało gigantycznymi stratami. Sprawców do tej pory nie znaleziono.