Spear phishing атаката срещу RSA на живо в хакерско демо на 18 май 2011

Още през април 2009 ФБР предупреждаваха за потенциалната заплаха от силно таргетираната атака, наречена spear phishing.

При все това, едва през 2011 г. това слабо познато средство за хакерско нападение превзе заглавията на медиите със серия от мащабни атаки, случващи се почти на седмична база. Ето няколко примера.

В началото на март медиите гръмнаха с новината за най-малко 150 компютъра на френското правителство, проникнати чрез spear phishing имейли. Те съдържали прикачени файлове, които разрешавали отдалечен достъп и контрол върху машините, на които били стартирани. Компютрите били следени седмици наред, преди пробивът да бъде открит. Информацията, до която е бил получен неоторизиран достъп, включва документи, засягащи групата на G20, която от края на 2010 година се председателства от Франция.

Скоро след това маркетинговата компания Epsilon съобщи за пробив в един от имейл сървърите, при което хакерите са получили достъп до данните на милиони потребители. Epsilon предоставя услуги на повече от 2,500 корпорации, сред които 7 от топ 10 на Fortune 100 компаниите, и изпраща над 40 милиарда имейла годишно от страна на своите клиенти.

Фишинг имейлите са били на 100% насочени към персонала, отговорен за имейл операциите на над 100 доставчика. Изпратени през няколко различни системи, включително сайтове за онлайн поздравителни картички, ботнет и др., имейлите типично споменавали името на получателя и претендирали да идват от познат – обикновено приятел или колега.

Нищо обаче не разтърси индустрията до самото й дъно така, както успешната атака срещу една от най-защитените организации в света – RSA, поделението за сигурност на EMC. RSA предоставя хардуера и софтуера за защитата на голям процент правителствени, банкови и други важни системи по целия свят. Чрез spear fishing атака хакерите успяха да компрометират „Свещения Граал на Хакерството”, при което идентификационните данни на потенциално милиони потребители сега са изложени на риск.

Spear phishing имейл е бил изпратен до две малки групи в компанията. Въпреки че имейлът е бил автоматично отбелязан като спам, заглавието на съобщението „План за назначения 2011” изкушил един от служителите да отвори прикачения Excel файл. Файлът съдържал вграден  флаш филм, който използвал уязвимост на Flash. (Впоследствие Adobe пуснаха patch за уязвимостта.)

От флаша се инсталирала модифицирана версия на Poison Ivy – инструмент за отдалечен контрол (Remote Administration Tool), осигуряващ отдалечен достъп до файлове, регистри, следене на мрежовия достъп, стартиране и спиране на програми, и т.н. Всичко, което служителят може да прави локално, хакерът може да извърши от разстояние. Чрез Poison Ivy атакуващите откраднали потребителски правомощия и ги разширили, за да получат достъп до системи, недостъпни за редовите потребителски акаунти. Този достъп е използван за извличане на поверителна информация. Компанията обяви, че е станала жертва на „изключително сложна” атака.

Колко сложна е в действителност атаката и колко време отнема?

Не повече от 10 минути, както ще демонстрира на спеца по етично хакерство Шон Ханна на 18 май, по време на Отворения ден на етичното хакерство, организиран съвместно от New Horizons Bulgaria и EC-Council.

Шон Ханна е консултант по информационна сигурност със задълбочена експертиза и богат опит в областта на GRC, дизайн и одит по сигурността, penetration testing, incident handling, управление на риска, дизайн и доставка на тренинги по ИТ сигурност.

Той е акредитиран PRINCE2 Practitioner и притежава значителен брой ключови сертификати в областта на ИТ сигурността, сред които: Certified Information Systems Security Professional (CISSP), Certified Incident Handler (GCIH), Certified Intrusion Analyst (GCIA), Certified Information Security Manager (CISM), както и престижния Licensed Penetration Tester (LPT).

Експертизата му получава международно признание и той става носител на редица престижни награди, сред които EC Council Инструктор по сигурността на годината в безпрецедентни 3 години (2007, 2008 & 2010). Шон има многобройни участия в конференции и семинари, включително като почетен лектор на Cyber Warfare на InfoSEC 2010, най-голямата конференция за сигурност в Европа.

Шон Ханна е в България по покана на New Horizons, като лектор на първите за страната курсове за Етични хакери (CEHv7) и Следователи на цифрови престъпления (CHFI).