Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.04.2021

Lubelskie Dni Informatyki

Koło Naukowe Informatyków już po raz XIII zorganizuje Lubelskie Dni Informatyki.
07.04.2021

Bariery językowe przełamane

Cisco Webex
06.04.2021

Nowość w portfolio Bakotech

Progress Software
06.04.2021

Kontrola służbowych urządzeń

Hexnode MDM
02.04.2021

Red Hat Inc.

Firma Red Hat Inc. udostępniła Red Hat OpenShift 4.7 – najnowszą wersji czołowej...
02.04.2021

Rozpoznawanie twarzy

QNAP QVR
02.04.2021

Układy EPYC Serii 7003

Firma AMD zaprezentowała nowe wydajne procesory serwerowe, czyli układy EPYC Serii 7003,...
02.04.2021

Mobilna wydajność

Satellite Pro C50-G
01.04.2021

Nowa linia monitorów

AOC V4

Nowe cele cyberzagrożeń

Data publikacji: 01-04-2021 Autor: Maciej Olanicki

Panuje przekonanie, że większość cyberprzestępców obiera za cel najsłabsze ogniwa infrastruktury, np. stacje robocze pracowników niezwiązanych kompetencyjnie z bezpieczeństwem IT czy przeoczone przez administratora porty. Tymczasem mamy do czynienia z wysypem zuchwałych ataków na najbardziej zaawansowane maszyny oraz urządzenia należące do ekspertów.

 

Jak zimny prysznic były dla wielu ataki wykorzystujące przejęcie łańcucha dostaw firmy SolarWinds. Mowa przecież o jednym z najważniejszych dostawców oprogramowania wykorzystywanego do zarządzania siecią i monitorowania infrastruktury, ale nie tylko – dzięki narzędziom z Austin można w zasadzie wygodnie zarządzać całym stosem technologicznym w organizacji. Wtórnymi (czy raczej docelowymi, z góry założonymi) ofiarami ataku padły zaś korporacje IT, które kojarzymy z najbardziej zaawansowanymi usługami biznesowymi i spełnianiem najbardziej wyśrubowanych norm bezpieczeństwa, na czele z Microsoftem. Ofiar było jednak znacznie, znacznie więcej – zawiodły zabezpieczenia infrastruktury licznych amerykańskich i brytyjskich agencji rządowych, instytucji europejskich czy też firm FireEye oraz AstraZeneca. Przejęcie serwerów dystrybuujących Orion SolarWinds oraz następujące po nich zaawansowane ataki na zróżnicowane cele zostało określone przez Brada Smitha mianem „największego i najbardziej zaawansowanego ataku, jaki kiedykolwiek widział świat”.


Ofiarami ataków padają coraz częściej wysoko zaawansowane technicznie i doskonale świadome roli cyberbezpieczeństwa organizacje zatrudniające najlepiej wykwalifikowanych branżowych ekspertów. Przykładów tego typu celów jest coraz więcej.


HPC NA CELOWNIKU


Jednym z nich jest zidentyfikowane po raz pierwszy przez badaczy ESET w styczniu tego roku malware Kobalos. Jest to zagrożenie na wskroś ciekawe – w przeciwieństwie do innych szkodników tego typu jego autorzy nie chcą, by było ono zbyt powszechne. Ponadto z jednej strony wykorzystuje ono zaawansowane techniki maskowania, z drugiej zaś dość proste składniki, jak choćby oprogramowanie wykorzystywane do kradzieży danych uwierzytelniających do OpenSSH. Nie uświadczymy także wersji Kobalosa, który mógłby infekować maszyny z systemami operacyjnymi Microsoftu. Ta konfiguracja ma pozwolić na obranie za cel maszyn, które zazwyczaj były poza kręgiem zainteresowania napastników – szeroko pojętych komputerów wysokiej wydajności, superkomputerów oraz serwerowni wykorzystywanych przez uczelnie, instytuty i sieci naukowo-badawcze.


Mimo względnie niewielkiej liczby ofiar nie ma wątpliwości, że nie są to ofiary przypadkowe. Eksperci z ESET zidentyfikowali nawet różnice w kwestii doboru celów ze względu na kontynent. I tak w Azji atakowani byli przede wszystkim duzi dostawcy usług internetowych, w Europie Kobalos trafiał do sieci uniwersyteckich, HPC, dostawców usług hostingowych, a nawet agencji marketingowych. W Stanach Zjednoczonych natomiast atakowane były prywatne serwery, infrastruktura rządowa oraz – co znów dowodzi, że celami stają się coraz częściej firmy dalece wyspecjalizowane w kwestii cyberbezpieczeństwa – producenci oprogramowania klasy endpoint security. Odzwierciedla się to także w kompatybilności Kobalosa z konkretnymi środowiskami. Wspomniano już, że bezpieczne są maszyny z Windowsem (którego przecież próżno szukać na superkomputerach czy w ośrodkach R&D), Kobalos infekuje jednak nie tylko Linuksa, ale także FreeBSD, a nawet Solarisa.

 

JAK ATAKUJE KOBALOS


Wiele wskazuje jednak na to, że wektorem ataku mógł być klient OpenSSH zawierający złośliwy kod, który stanowił backdoor – w lokalizacji /usr/bin/ssh zainfekowanych maszyn odnalezione zostały zmodyfikowane binarki, które przechwytywały dane uwierzytelniające do SSH i zapisywały w postaci zaszyfrowanego pliku. Brany pod uwagę jest także wariant, w którym wykorzystywano załatane już luki bezpieczeństwa, gdyż część z zainfekowanych superkomputerów – choć może się to wydawać kuriozalne – wykorzystywała niezaktualizowane oprogramowanie. To jednak nie wyjaśnia, w jaki sposób udało się napastnikom nakierować Kobalosa na HPC.

 

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"