De la „rafalele de gloanţe” la „injecţia letală”

Nu ştiu câţi dintre voi aţi citit sau aţi acordat o atenţie foarte mare aşa-numitei „Operaţiuni Aurora". Deşi a trecut foarte puţin timp de atunci, vă reamintesc că a fost un atac informatic direcţionat (targetat), care exploata vulnerabilitatea CVE-2010-0249 din browser-ul Internet Explorer. Rezultatul? Mai multe companii şi organizaţii (inclusiv Google şi Adobe) au devenit ţinte ale infractorilor cibernetici. Conform ultimelor analize, se pare că intenţia infractorilor cibernetici a fost de a obţine acces la informaţii confidenţiale şi la proprietatea intelectuală a companiilor, precum codurile sursă ale proiectelor pe care le derulau. Atacul a fost lansat prin intermediul unor email-uri care conţineau link-uri către site-uri infectate, care, la rândul lor, foloseau exploit-uri pentru a descărca fişiere executabile în computer, fără ştirea utilizatorului.

Despre astfel de atacuri am discutat şi noi la evenimentul IDC Security Roadshow 2010 care a avut loc marţi, 9 martie. În prezentarea pe care am susţinut-o aici, intitulată „Automated Targeted Attacks: The New Age of Cybercrime", am demonstrat cât de simplu poate fi pregătit un astfel de atac, ce resurse presupune lansarea lui şi ce consecinţe poate avea pentru organizaţia-victimă. Probabil vă întrebaţi care este scopul acestor atacuri „la ţintă" lansate de infractorii cibernetici. Este unul uşor de înţeles pentru oricine: banii pe care îi pot obţine din traficul de informaţii confidenţiale de la companii.

Ok, acum veţi spune că atacul a putut fi lansat datorită exploatării unei vulnerabilităţi în Internet Explorer. Dacă sunt o companie care îşi actualizează software-ul regulat şi foloseşte o soluţie avansată de securitate, nu voi avea astfel de probleme. Da şi nu, am putea spune...De exemplu, programatorii de la Microsoft cunoşteau această vulnerabilitate din Internet Explorer de câteva luni bune, însă nu a fost „reparată" decât la o lună după ce a fost exploatată. Aşadar, actualizăm, actualizăm, dar nu avem cu ce! Mai mult decât atât, codul sursă al respectivului exploit devenise public, fiind disponibil oricui dorea să-l folosească. Baza de date a Kaspersky Lab conţine deja peste o sută de programe malware care exploatează această vulnerabilitate. În plus, la această problemă se adaugă şi alte vulnerabilităţi mult mai grave, precum cele umane. Exact, angajaţii sunt cei care deschid mailurile infectate, publică date personale pe site-uri de socializare şi dau click pe link-uri despre care nu au cum să ştie daca sunt sau nu maliţioase. De aceea, este foarte important ca aceştia să participe la un proces de educare, în care să li se prezinte riscurile la care expun compania în momentul în care publică informaţii confidenţiale pe diferite website-uri de interacţiune socială.

Infractorii cibernetici pot aduna date importante despre un anumit angajat al unei companii, precum adresa de e-mail, funcţia deţinută, pasiunile sau hobby-urile. De aici, cibercriminalii folosesc tehnici de inginerie socială pentru a „înşela" victimele. Un exemplu pot fi mesajele e-mail construite pe baza informaţiilor adunate şi care determină persoana ţintită să acceseze un link sau să deschidă un fişier de tip PDF din ataşament.Perioada atacurilor informatice „la întâmplare", a „rafalelor de gloanţe" este pe cale să fie înlocuită cu cea a „injecţiei letale", unde un singur e-mail devine mult mai eficient decât mii de mesaje fără ţintă precisă. În acest context devin absolut esenţiale actualizările frecvente de software, educarea angajaţilor în probleme de siguranţă informatică şi, nu în ultimul rând, utilizarea unei suite complexe de securitate pentru reţeaua companiei.

Dacă v-am trezit interesul referitor la gravitatea vulnerabilităţilor umane, puteţi citi un articol incitant scris de colegul meu David Emm, Senior Researcher la Kaspersky Lab în Marea Britanie: http://www.viruslist.com/en/analysis?pubid=204792106