03.03.2018 | 20:48

irq

Pan grabarz fachowiec, a też umiera, czyli incydent w FS-ISAC

Co dzieje się, gdy pracownik organizacji powstałej tylko po to, by pomagać w zwalczaniu cyberzagrożeń w sektorze finansowym pada ofiarą phishingu? A następnie, wbrew wszelkim staraniom, informacja o tym wycieka do prasy?

Wszelkie dostępne źródła: raporty, konferencje, szkolenia, branżowe portale wskazują, że to człowiek stanowi kluczowy element i stanowi najsłabsze ogniwo w cyberbezpieczeństwie.  Organizacje prowadzą szkolenia dla pracowników, budują kompetencje w zakresie rozpoznawania i unikania cyberzagrożeń, posiadają infrastrukturę z najwyższej półki i skuteczne procedury bezpieczeństwa. Ostatnie wydarzenia po raz kolejny udowodniły, że czynnik ludzki sprawia,  iż bezpieczeństwo jest tylko iluzją.

Jakie rozczarowanie przeżywa się, gdy mimo tych wszystkich wysiłków okazuje się, że jest się źródłem zagrożenia dla całego świata. Takie właśnie uczucie od kilku dni towarzyszy kierownictwu organizacji FS ISAC (Financial Services Information Sharing and Analysis Center).

Co to takiego ten cały FS-ISAC

Zarówno wektor ataku i sam atak nie były niczym nadzwyczajnym. Każdego dnia na świecie dochodzi do takich incydentów i stosunkowo często kończą się sukcesem atakujących. Jednak wyjątkowym aspektem w tym wypadku był jego cel – organizacja zajmująca się analizą informacji o cyberzagrożeniach. Jest ona źródłem wiarygodnych informacji o atakach na niemal wszystkie instytucje finansowe na świecie (banki, fundusze, giełdy). FS-ISAC rozsyła codziennie dziesiątki komunikatów zawierających informacje o trwających incydentach, zbiorach IoC (atakujące adresy IP, hashe malware) i analizach poincydentalnych. Z danych tych korzystają zespoły reagowania na incydenty komputerowe w zaufanych organizacjach (przede wszystkim w bankach). Firmy spoza sektora finansowego, osoby prywatne, czy inne instytucje nie mają do nich dostępu. Taki model wymiany wiadomości jest oparty o bardzo silne relacje zaufania. Strony polegają na wzajemnych komunikatach, gdyż wierzą we wzajemne przestrzeganie procedur i zachowanie wysokiego poziomu bezpieczeństwa.

Co się wydarzyło

Jak podaje Brian Krebs, jeden z pracowników FS-ISAC otrzymał dobrze przygotowany mail phishingowy, w wyniku czego podzielił się swoimi poświadczeniami logowania. Mimo że jest to instytucja mająca na celu udostępnianie informacji, to jednakże należy pamiętać, że istnieje kategoria danych, którymi nie należy się dzielić nigdy, niezależnie od tego, gdzie pracujemy. Ten pracownik zbyt dosłownie potraktował nazwę swej organizacji.

Atakujący mając login i hasło jednego z pracowników przeprowadził kampanię. Wykorzystując kontrolowane konto rozesłał wiadomość z plikiem PDF (udającym jeden z wielu dystrybuowanych raportów) zawierającym link do przygotowanej strony, której celem było zbieranie danych logowania swoich ofiar. Kampania była adresowana do innych pracowników, klientów, subskrybentów informacji i zaprzyjaźnionych organizacji.

Jaka była reakcja na incydent

Trzeba przyznać, że w FS-ISAC zareagowano szybko i profesjonalnie. Rozpoczęło się skrupulatne wewnętrzne śledztwo, badające zaistniałe wydarzenia. Wysłano wiadomość z ostrzeżeniem do wszystkich, którzy mogli paść ofiarą ataku. Bezpośrednią przyczyną incydentu był błąd ludzki, jednak analiza wskazała na elementy, które mogłyby znacznie utrudnić przeprowadzenie ataku. Jako cel został wybrany pracownik, który nie korzystał z wieloskładnikowego uwierzytelnienia (MFA – Multi Factor Authentication). Jak przyznaje kierownictwo organizacji, niestety proces wdrożenia MFA trwa zbyt długo i musi zostać znacząco przyspieszony w odniesieniu do wszystkich zasobów. Ponadto poinformowano, iż w celu poprawy bezpieczeństwa podniesiono wersję usługi Office 365, tak by korzystać z zaawansowanych mechanizmów bezpieczeństwa.

źródło: https://krebsonsecurity.com/2018/03/financial-cyber-threat-sharing-group-phished

Ważną informacją, jaką przekazano, były powierzchnia i wektor ataku (incydent uznano za typowy phishing mający na celu kradzież haseł). Poinformowano, że atak nie dotyczył portalu FS-ISAC, który gromadzi dane i służy do wymiany informacji. Dostęp do portalu w 100% odbywa się w oparciu o wieloskładnikowe uwierzytelnianie.

Analogia do metody wodopoju

W tym scenariuszu jest mało prawdopodobne, że FS-ISAC stał się przypadkowym celem. Ze względu na zaufanie, jakim organizacja jest obdarzona przez swoich partnerów, atak bardzo przypomina metodę wodopoju. Polega ona na tym, że przestępca zamiast próbować bezpośrednio dotrzeć do ofiary, kompromituje miejsca, które ona zazwyczaj zna. Atakowany nie zachowuje zatem typowej podejrzliwości i realizuje scenariusz zgodnie z oczekiwaniami agresora, co oznacza, że każdy, kto skorzysta z zatrutego źródła, zostanie zatruty. Ta metoda infekcji wykorzystuje przeświadczenie użytkownika o tym, że serwis z którego korzysta jest bezpieczny. Mimo, że w tym przypadku ofiara sama nie sięgała do zatrutego źródła, to jednak wykorzystano dokładnie ten sam mechanizm. W ramach relacji zaufania, ofiara zakłada bez weryfikacji, że skoro FS-ISAC opracowuje analizy i wydaje rekomendacje dotyczące ochrony przed zagrożeniami, to jako źródło będzie bezpieczny i będzie spełniał wszystkie standardy, jakich zaleca używać.

Skutki incydentu nie są na tę chwilę w pełni rozpoznane. Można przypuszczać, że atak na FS-ISAC był tylko środkiem do celu, jakim były organizacje finansowe i dostęp do stacji roboczych ich pracowników. Atak nie był zbyt zaawansowany, a zaszedł bardzo daleko. Pozostaje otwarte pytanie o skutki ataku – jak daleko mógłby on zajść, gdyby wykorzystywał znane z innych scenariuszy zaawansowane metody ukrywania się, komunikacji, czy pozyskiwania informacji.

W całym zdarzeniu ironią losu i przestrogą dla wszystkich specjalistów jest fakt, że nawet organizacja zajmująca się cyberbezpieczeństwem może doświadczyć skutecznego ataku przy użyciu jednej z najprostszych i powszechnie znanych metod.

Nikt nie jest bezpieczny

I dlatego warto swoich pracowników szkolić i uświadamiać.

Security Awareness - szkolenie dla personelu
Powrót

Komentarze

  • 2018.03.03 21:11 ukasz

    szacun za Potemów

    Odpowiedz
    • 2018.03.03 21:31 Kropek

      Tytuł zaczerpnięty z przesłania zawartego w utworze Umarł grabarz Kabaretu Potem. Są prawdy uniwersalne.

      Odpowiedz
  • 2018.03.04 17:10 Osiołek

    Co według Autora znaczy „szybko”… :-)
    W jakim czasie organizacja FS-ISAC zorientowała się, że został przeprowadzony phishing na jej pracowniku?
    W jakim czasie poinformowała swoich klientów o zaistniałej sytuacji? Czy jakiś klient zdążył się złapać i kliknął w link w pdf?

    Odpowiedz
    • 2018.03.04 21:05 Kropek

      Odpowiedzi na te pytania należy szukać bezpośrednio w FS-ISAC. Być może, jak zamkną incydent udostępnią raport z incydentu.

      Patrząc na pojawiające się informacje o atakach i wyciekach, gdzie przez miesiące sprawa jest trzymana w tajemnicy i zamiatana pod dywan, to działania FS-ISAC były szybkie.

      Odpowiedz
  • 2018.03.04 20:53 :)

    prawdziwe i ciekawe, dzieki za info , ciekawe ze oslawiona transparentnosc miala byc blokowana przez OFIARE, co DOPIERO budzi BRAK ZAUFANIA, a nie to ze padli ofiara ataku, proponuje rozwinac w detalach chec ukrycia tego faktu – bo tak sugeruje wstep do artykulu, chyba ze jestem w bledzie …

    Odpowiedz
  • 2018.03.05 21:42 sixpak

    Jesteście lata świetlne za najlepszymi. Nie wiecie, że teraz mówi się „studnie wody”? Kierownik CERT PSE wyznacza nowe trendy.

    Odpowiedz

Zostaw odpowiedź do Osiołek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pan grabarz fachowiec, a też umiera, czyli incydent w FS-ISAC

Komentarze