Ataki na wyspę: czym są i jak się chronić
Przeskakiwanie między wyspami prawdopodobnie brzmi bardziej jak czynność, którą można przeprowadzić na Bahamach, niż strategia ataku, ale w rzeczywistości jest dość często wykorzystywana przez cyberprzestępców, którzy chcą atakować sieci bez bezpośredniego włamywania się do nich. Czym więc jest atak z przeskakiwaniem na wyspę i jak można się przed nim uchronić?
Co to jest atak na wyspę?
Termin „skakanie po wyspach” pochodzi z czasów II wojny światowej. Siły zbrojne USA chciały dostać się do kontynentalnej części Japonii i musiały przemieszczać się z wyspy na wyspę, wykorzystując każdą z nich jako platformę startową dla następnej, z lądem stałym jako głównym celem. W tamtych czasach nazywano to skakaniem.
W przypadku ataku z przeskakiwaniem wysp cyberprzestępcy ścigają Twoich partnerów i inne osoby współpracujące z firmami zewnętrznymi, wykorzystując swoje luki w zabezpieczeniach cybernetycznych, aby wskoczyć do Twojej bezpieczniejszej sieci. Ci cyberprzestępcy to podmioty lub osoby, które uczestniczą w działaniach, które podważają lub mogą wpłynąć na bezpieczeństwo cybernetyczne Twojej organizacji. Mogą zrobić wszystko, aby ominąć zapory ogniowe celu, a skuteczną metodą jest skakanie po wyspach.
Celem tej formy cyberataku są przede wszystkim przedsiębiorstwa produkcyjne, finansowe i detaliczne. W takich przypadkach systemy bezpieczeństwa celu są hermetyczne iw dużej mierze odporne na bezpośrednie inwazje, więc hakerzy korzystają ze znacznie mniej bezpiecznych partnerów.
Partnerzy ci cieszą się zaufaniem organizacji docelowej i są połączeni z jej siecią. Hakerzy wykorzystują zaufanie i atakują złożone mechanizmy obronne rzeczywistego celu poprzez jego słabe powiązania z innymi organizacjami.
Jak działa atak Island Hopping?
Ataki z przeskakiwaniem na wyspę są skuteczne, ponieważ nie wywołują alertów w systemie bezpieczeństwa celu. Alerty te są zwykle wyzwalane, gdy następuje próba wejścia do sieci hosta z niezaufanego lub niezarejestrowanego urządzenia. Wpisy partnerów rzadko są oznaczane; cyberprzestępcy wykorzystują tę lukę.
Istnieją trzy standardowe metody, które cyberprzestępcy stosują w swoich misjach przemieszczania się po wyspach.
1. Atak sieciowy
Ta metoda obejmuje infiltrację sieci organizacji i użycie jej do przeskoczenia do innej sieci stowarzyszonej. W tym ataku cyberprzestępcy zwykle atakują dostawcę zarządzanych usług bezpieczeństwa organizacji (MSSP).
MSSP to dostawcy usług IT, którzy sprzedają zabezpieczenia małym firmom i dużym organizacjom, chroniąc je przed zagrożeniami cybernetycznymi. Używają oprogramowania lub zespołu personelu, aby reagować na te zagrożenia, gdy tylko się pojawią. Wiele przedsiębiorstw zleca tym dostawcom MSSP swój dział bezpieczeństwa IT, co sprawia, że dostawcy stają się celem hakerów.
2. Ataki na wodopoje
Ta forma skakania po wyspach polega na infiltrowaniu stron odwiedzanych przez klientów, partnerów biznesowych i pracowników głównego celu. Złe podmioty oceniają bezpieczeństwo witryn i wprowadzają złośliwe linki, gdy znajdą luki.
Linki te prowadzą do zainfekowanych platform, które automatycznie wprowadzają złośliwe oprogramowanie do komputera. Gdy wstrzyknięte złośliwe oprogramowanie zacznie działać, cyberprzestępcy mogą wykorzystać zebrane informacje, aby uzyskać dostęp do głównego celu.
3. Włamanie do biznesowej poczty e-mail
Oszustwo polegające na wyłudzaniu informacji jest zwykle pierwszym krokiem w tej metodzie. Cyberprzestępcy podszywają się pod renomowany podmiot biznesowy. W atakach tych wykorzystywane są przede wszystkim Yahoo, Facebook i popularne banki komercyjne, ponieważ hakerzy wysyłają złośliwe łącza w wiadomościach spamowych.
Po złapaniu przynęty i kliknięciu łącza hakerzy wykorzystują złośliwe oprogramowanie, aby przejąć kontrolę nad komputerem użytkownika. Ta metoda jest skierowana do wysokich rangą urzędników lub kadry kierowniczej organizacji.
Oprogramowanie Keylogger jest czasami używane tutaj do kradzieży kont e-mail tych kierowników. Wrażliwe informacje są usuwane z kont e-mail, a następnie wykorzystywane do infiltracji docelowej organizacji.
Precedensy skakania po wyspach: Target i SolarWinds
W 2013 roku jedna z największych amerykańskich firm detalicznych, Target, była zamieszana w koszmar związany z podróżowaniem po wyspach. A w 2020 roku SolarWinds, dostawca usług zarządzania IT, padł ofiarą ataku polegającego na przeskakiwaniu wysp.
Cel: Koszmar sezonu świątecznego
Przestępcy włamali się do systemu punktu sprzedaży firmy Target i ukradli informacje finansowe około 40 milionów klientów. Spowodowało to, że firma Target zapłaciła największą w historii ugodę za naruszenie danych .
Uzgodniono 18,5 miliona dolarów na zasiedlenie 47 stanów i Dystryktu Kolumbii po tym, jak hakerzy ukradli większość danych kart kredytowych i debetowych klientów detalicznego giganta w okresie świątecznym 2013 roku. To naruszenie danych kosztowało Target ponad 300 milionów dolarów. Nie był to jednak bezpośredni atak na serwery firmy.
Zaczęło się od Fazio Mechanical Services, innej firmy, która zaopatruje Target w ogrzewanie i chłodzenie. Doświadczyli ataku złośliwego oprogramowania dwa miesiące przed naruszeniem bezpieczeństwa Targetu. Aktorzy zajmujący się zagrożeniem ukradli dane uwierzytelniające e-mail i wykorzystali je do uzyskania dostępu do serwerów Target.
Słoneczne Wiatry
Atak ten dotknął ponad 18 000 firm, a nawet departamenty rządowe USA. Wszyscy, których to dotyczyło, mieli jedną wspólną cechę — dostawcę zarządzania IT o nazwie SolarWinds.
Podobnie jak w przypadku ataków na wyspę, SolarWinds nie był głównym celem. Biorąc pod uwagę liczbę departamentów rządu USA, które zostały dotknięte, pojawiły się pogłoski, że hakerzy byli wspierani przez rząd rosyjski , mając nadzieję na zdestabilizowanie Kongresu USA.
SolarWinds po raz pierwszy potwierdził atak w grudniu 2020 r., chociaż pozostawał on niewykryty przez kilka miesięcy. W marcu 2021 r. hakerzy ukradli dane uwierzytelniające e-mail z Departamentu Bezpieczeństwa Wewnętrznego, mimo że większość departamentów rządowych ostrzegła swoich pracowników, aby zamknęli Orion, produkt SolarWinds, którego dotyczy problem. Ataki miały również wpływ na Departamenty Energii, Skarbu i Handlu, Mimecast i Microsoft.
Jak chronić się przed atakami typu Island Hopping
W związku z powszechnym przeskakiwaniem między wyspami należy podjąć kroki, aby zapobiec atakom sieci i serwerów przez złośliwe strony. Oto kilka sposobów, jak to zrobić.
1. Użyj uwierzytelniania wieloskładnikowego
Uwierzytelnianie wieloskładnikowe polega na stosowaniu różnych testów weryfikacyjnych, takich jak odciski palców i potwierdzenia tożsamości, w celu potwierdzenia tożsamości każdego, kto próbuje uzyskać dostęp do Twojej sieci. Ta dodatkowa warstwa zabezpieczeń, choć uciążliwa, zawsze okazuje się pomocna. Hakerzy ze skradzionymi danymi logowania będą mieli prawie niemożliwe ominięcie weryfikacji odcisku palca lub weryfikacji twarzy.
2. Przygotuj plan reagowania na incydenty
Ataki polegające na przeskakiwaniu wysp przybierają różne formy, a czasami zwykłe protokoły bezpieczeństwa mogą nie wystarczyć, aby zapobiec wszelkim zdarzeniom. Twoje oprogramowanie zabezpieczające musi być stale aktualizowane, ponieważ ataki polegające na przeskakiwaniu między wyspami stają się coraz bardziej wyrafinowane. Ponadto najlepiej jest mieć zespół reagowania na incydenty w gotowości, aby zajmować się nieprzewidzianymi zagrożeniami, które mogą ominąć zabezpieczenia i radzić sobie z najnowszymi zagrożeniami.
3. Przyjmij najnowsze standardy bezpieczeństwa cybernetycznego
Wiele organizacji zdaje sobie sprawę z ryzyka związanego ze skakaniem po wyspach i ustanowiło standardy bezpieczeństwa cybernetycznego dla wszystkich potencjalnych partnerów i współpracowników. Doradzanie obecnym partnerom, aby uaktualnili swoje systemy bezpieczeństwa; osoby bez zaawansowanych kontroli powinny mieć ograniczony dostęp do Twojej sieci.
Nie bądź ofiarą: ogranicz dostęp lub popraw swoje zabezpieczenia
Ataki polegające na skakaniu po wyspach stały się bardziej powszechne. Organizacje o luźnych protokołach bezpieczeństwa ryzykują, że staną się ofiarami cyberprzestępców, chyba że zaktualizują swoje systemy.
Potrzeba jednak więcej. Zewnętrzni partnerzy bez zaawansowanych systemów bezpieczeństwa stanowią zagrożenie i nie powinni mieć nieograniczonego dostępu. Jeśli ograniczenie dostępu jest niemożliwe, tacy partnerzy powinni zaktualizować swoje systemy.
Dodaj komentarz