SolarWinds hack - zbog čega se moramo zabrinuti (nastavak)?

U prethodnom tekstu sam se opisao kontekst pojave SolarWinds hacka (SUNBURST prema FireEye ili Solarigate prema Microsoft) i njegov utjecaj na informacijsku sigurnost, a kako sam najavio, u ovom se tekstu bavim tehničkim detaljima.

Odmah za početak, ova analiza ne uključuje detalje o inicijalnom proboju u tvrtku SolarWinds, s obzirom da za sada nisu objavljeni konačni zaključci analize niti načini kompromitacije aplikacije Orion, no svakako možemo zaključiti da je napadač imao dobru poziciju u procesu razvoja i upravljanja promjenama ove aplikacije.

Moja analiza je bazirana na izvješćima koja su objavila tvrtke Microsoft, FireEye, PaloAlto Networks te agencija Cybersecurity and Infrastructure Security Agency (CISA) američke vlade.

Dakle, krećemo od točke kada je tvrtka korisnik sustava SolarWinds Orion (i buduća žrtva kompromitacije ovog softvera) preuzela nadogradnju objavljenu krajem ožujka ove godine. Nadogradnja, ekstenzije msp, bila je uredno potpisana certifikatom tvrtke SolarWinds i među  komprimiranim modulima je uključivala i modul SolarWinds.Orion.Core.BusinessLayer.dll.

Nakon instalacije nadogradnje, novi moduli, uključujući i prije spomenuti su bili pokrenuti u produkcijskom radu. 

Modul SolarWinds.Orion.Core.BusinessLayer.dll je .NET program koji je standardni dio aplikacije Orion, sa svojim redovitim funkcijama. No, unutar ove funkcije je lukavo smješten poziv za izvođenje backdoor modula: predviđeno je paralelno izvođenje s glavnim programskim modulom, ničim narušavajući očekivane funkcije, a za izvođenje je odabrana metoda koja se redovito pokreće, čime je osigurana persistencija, tj. kontinuirani rad nakon svakog pokretanja aplikacije.

Backdoor kod je u potpunosti sadržan u klasi OrionImprovementBusinessLayer. Tijekom inicijalizacije, maliciozni program provjerava je li istekao rok od 12 do 14 dana od inicijalnog pokretanja (provjerava vrijeme zadnjeg upisa) – dakle predviđene je dvotjedni period mirovanja od inicijalne kontaminacije te provjerava postoje li neki drugi unaprijed predviđeni uvjeti uslijed kojih planirano obustavlja rad (npr. malware prekida izvođenje ako se nalazi u domeni koja uključuje stringove „solarwinds“ odnosno „test“ ili se na sustavu izvode neki procesi karakteristični za sigurnosne programe).

Ukoliko je „zrak čist“, „backdoor“ započinje stvarni život. Namjera mu je povezati se kontrolnim (C2) serverom, prijaviti svoju dostupnost, preuzeti instrukcije sa C2 servera, izvesti ih na mreži žrtve i vratiti rezultate nazad na C2. Dakle, radi se o uobičajenom slijedu akcija kakve izvode „backdoor“ programi. No, vrag je u detaljima. 

Inicijalni C2 server je smješten unutar domene avsvmcloud[.]com, pri čemu je stvarni URL nadopunjen s pseudo-random i random nazivima generiranim iz jedinstvenih parametara vezanih za samu žrtvu. Također, prije povezivanja s C2 serverom, generira se i URI lokacija izborom unaprijed pre-definiranih vrijednosti na način koji neće izazvati sumnju ako bi netko pratio metapodatke o povezivanjima. 

Na koncu, generira se i šalje JSON dokument s parametrima relevantnim za ostvarivanje komunikacijskog kanala.

(Važno je napomenuti: Ova adresa je iskorištena i kao slabost SUNBURST malwarea, odnosno kao „kill-switch“ poluga. Nakon ovog otkrića, Microsoft je blokirao domenu avsvmcloud[.]com, no, ipak, 8 mjeseci prekasno)

Kada je komunikacijski kanal između „backdoor“ programa i C2 servera potvrđen, započinje kontinuirana komunikacija kroz koju operateri koji rade na C2 serveru dostavljaju „backdoor“ programu niz naloga za izvođenje karakterističnih aktivnosti – od prikupljanja osnovnih informacija o operativnom sustavu, mreži datotekama, registry podacima pa do izvođenja specifičnih naredbi.

No, treba naglasiti da je operacija bila sve samo ne rutinska i predvidljiva. U analiziranim slučajevima su otkrivene i mnoge specifičnosti – od dodatnih C2 servera putem kojih su dolazili nalozi za akcije, do iskorištavanja specifičnih ranjivosti ili pokretanja novih malicioznih programa prikladnijih za lateralno kretanje. Opisat će neke od ovih specifičnosti u nastavku. 

Novi C2 serveri: Kada SUNBURST/Solarigate backdoor program pokrene aktivnosti lateralnog kretanja i druge aktivnosti u naprednoj fazi napada, onda se otvara komunikacijski kanal prema alternativnim C2 serverima. Često puta, radi se o domenama koje su registrirane nekoliko godina ranije, u međuvremenu su istekle ali nisu brisane. Na taj način napadač želi ostaviti dojam komunikacije sa domenom pouzdane dugogodišnje reputacije. I korak dalje: zabilježeno je da su napadači komunicirali sa žrtvom preko lokalnog VPS servera, smještenog u istoj zemlji gdje je i žrtva, čime napadač dodatno nastoji pojačati reputaciju. 

TEARDROP dropper: Kako sam spomenuo, u drugoj fazi napada (koja se obično naziva „post-compromise“ aktivnost) su korišteni dodatni „payload“ moduli. SUNBURST uobičajeno koristi PowerShell skripte, no tvrtka FireEye je izdvojila i specifično kreirani „payload“ modul kojeg je nazvala TEARDROP. Radi se o inventivno importiranom programskom kodu (preko lažne  jpg datoteke nad kojom je primijenjena tehnika steganografije) koji su pokreće u radnoj memoriji kao „file-less malware“ a u suštini izvodi backdoor modul komercijalnog programa za penetracijska testiranja Cobalt Strike, naravno opremljenog tehnikama za osiguranje persistencije, prikupljana autentikacijskih podataka i lateralnog kretanja, ali i prilagođenog novom gazdi.

Privilegirane ovlasti: Polazeći od činjenice da sustav Orion ima nadzorne zadaće nad ključnim komponentama informatičke infrastrukture, napadači su zauzeli nekoliko uporišta za dohvat podataka o korisničkim računima, uključujući i mogućnost lateralnog kretanja s privilegiranim ovlastima i prijave na ključne resurse (npr. AD server) s visoko privilegiranim ovlastima. Takve privilegije su omogućile i praktičnu implementaciju tehnike napada poznatu pod imenom „Golden SAML“. Ova tehnika je poznata od 2017. godine ali je ovo prvi zabilježeni slučaj u stvarnom incidentu. U SUNBURST scenarijima, napadači su time ostvarili mogućnost pristupa resursima koji prihvaćaju SAML autentikaciju (tipično „cloud“ resursi), a koji se može naknadno iskorištavati i izvan  konteksta SUNBURST napada.

Svaka tema obuhvaćena ovim tekstom otvara nova područja, a osnovna tema - slučaj SUNBURST/Solarigate – daleko je od toga da je možemo smatrati apsolviranom, ni na tehničkoj niti na političkoj razini.

SolarWinds hack - zbog čega se moramo zabrinuti?

Tijekom mjeseca studenog ili samim početkom prosinca, jedan od zaposlenika američke tvrtke FireEye primio je automatsku dojavu da se nepoznata osoba pokušava prijaviti na VPN sustav tvrtke s nekog novog uređaja. Savjestan zaposlenik je alarmirao nadležnu službu svoje tvrtke, a sve što se dešavalo nakon toga polako je poprimilo razmjere najvećeg cyber napada svih vremena. Pogađate, tema ovog teksta je SolarWinds hack. 

Za početak, možemo li ovaj događaj zaista okarakterizirati kao najveći cyber napad svih vremena? Sjetimo se napada NotPetya iz 2017, koji je na koljena bacio jednu cijelu državu, ali i veliki broj kompanija, bolnica, ustanova različitih profila, uzrokujući gubitke, prema nekim procjenama, preko 10 milijardi dolara (usputna preporuka, svakako pročitajte odličnu knjigu Sandworm o ovom događaju). Zaista, za sada izgleda da SolarWinds hack neće imati takve posljedice kao NotPetya (iako zbog profila žrtava nikad nećemo ni doznati kakav je bio stvarni učinak), no ako bi ocjenjivali "umjetnički dojam" onda je cijela operacija oko SolarWind hacka izvedena na do sada nezabilježeni način, uz dugogodišnju pripremu i angažman velikog broja stručnjaka (da, mislim da je izraz "stručnjak" primjeren), pa zaista zaslužuje oznaku jednog od najvećih napada u povijesti, barem u kategoriji "Najveći doprinos razvoju informacijske sigurnosti". Jer, nedvojbeno, nakon ovog napada se mijenjaju mnoge stvari.

U ovom tekstu ću rezimirati glavne zaključke i pouke ovog slučaja, a u sljedećem ću tekstu opisati tehnički aspekt napada, odnosno ono što se zbivalo ispod površine. Novi detalji o tehnici napada pojavljuju se svakodnevno, tako da nije isključeno da ću o njima pisati i kasnije. 

Kao što znate, inicijalna vijest o napada, tada se još nije spominjao SolarWinds, došla je od tvrtke FireEye što je samo po sebi izazvalo veliku senzaciju, jer se tvrtka FireEye upravo bavi zaštitom od takvih napada u najužem mogućem smislu. Pri tome, priznali su da je napadač ukrao niz interno razvijenih alata koje ova tvrtka koristi za Red Team testiranja.

Nakon nekoliko dana i analize u kojoj je uključio svojih 100 zaposlenika,  FireEye  je objavio da je napad vezan za softver Orion tvrtke SolarWinds. Tvrtka SolarWinds je izuzetno ugledna tvrtka s fokusom na nadzor rada sustava i mreže, a softver Orion omogućuje krovni nadzor i upravljanje različitim komponentama informacijskog sustava. Korišten je u velikom broju svjetskih tvrtki, uključujući i brojne državne institucije, ministarstva i korporativni sektor (među njima i 425 od US Fortune 500). Daljnja istraga je pokazala da je jedan od modula koji se koristi u sustavu Orion (SolarWinds.Orion.Core.BusinessLayer.dll) bio kompromitiran i neovlašteno modificiran, tako da je pored svoje osnovne funkcije, ujedno imao ulogu Trojanca. Modifikacija ovog modula je napravljena u ožujku ove godine a od tada je oko 18.000 korisnika softvera Orion nadogradilo svoj sustav s kompromitiranom verzijom.

Trojanac, koji je dobio ime SUNBURST, mirovao je dva tjedna a nakon toga je ostvario vezu sa svojim komandnim centrom, evoluirao u novi malware koji je dobio ime TEARDROP pa započeo sofisticirano djelovanje, koje je uključivalo, među ostalim, različite tehnike proširenja privilegija, persistencije, lateralnog kretanja i prikrivene povratne veze s komandnim centrom. Zanimljivo, sve korištene tehnike nisu do sada bile registrirane u okviru MITRE ATT&CK koji se upravo ažurira kako bi obuhvatio i ovaj napad. 

Broj žrtava je za sada teško odrediti, spominje se stotinjak organizacija/tvrtki za koje potvrđena kompromitacije, a u opticaju je brojka i od nekoliko stotina žrtava. Većina žrtava je iz Sjedinjenih država, no ne zaostaju ni druga područja.

Pored broja žrtava, za sada nema ni službene potvrde o izvoru napada. Po mnogim indikatorima, radi se o ruskom rukopisu, najvjerojatnije agencije SVR, iako se do sada smatralo da je GRU - vojna obavještajna agencija - sposobnija provesti operaciju ovakvih razmjera.

Za potencijalne žrtve je posebno zabrinjavajuće da hitnom nadogradnjom softvera Orion na korigiranu verziju iz koje je izbačen trojanac, oni neće biti riješeni briga. Pored nadogradnje, moraju provesti forenzičku istragu kroz koju će nastojati dobiti potvrdu da nije bilo kompromisa, odnosno u lošijem scenariju, odrediti u kojem je opsegu i trajanju trojanac djelovao. 

Na ruku, pak,  žrtvama ide činjenica da SUNBURST/TEARDROP nisu osmišljeni tako da djeluju serijski i pandemijski poput "crva" (kao u slučaju NotPetya), već se radi o sofisticiranom napadu kojeg mora voditi uvježbani operater. A znamo da ni najorganiziranije cyber grupe nisu dovoljno ekipirane za operaciju nad svih 18.000 kandidata (nedostatak stručnog kadra pogađa i njih). Stoga se pokretač napada fokusirao samo na one od posebnog interesa. 

Ovo je možda definitivna potvrda da tradicionalni antivirsni sustavi ali ni napredni antimalware sustavi nove generacije kao ni EDR sustavi nisu rješenja kojima u potpunosti možete prepustiti brigu o sigurnosti svoje mreže. U slučaju SolarWinds hacka su primijenjene i neke antiforenzičke tehnike i tehnike izbjegavanja sustava detekcije, tako da ćemo svakako morati obogatiti i tehnike neposredne neautomatizirane ("ručne") detekcije.

Događaj je pokazao i potrebu za dosljednom primjenom procesa za odgovaranje na sigurnosne incidente u svakoj organizaciji/tvrtki. U ovom slučaju, već od pojave prvih izvještaja u javnom prostoru ili indikatora na svojim sustavima, korisnici kompromitiranog softvera su morali provesti inicijalnu istragu koja je trebala obuhvatiti cyber trijažu, analizu ključnih indikatora na postavkama operativnog sustava i pretragu radne memorije (TEARDROP je "fileless malware" tako da njegove tragove nećemo pronaći na čvrstim diskovima). U okviru incident management procesa svakako treba proraditi na mjerama forenzičke pripremljenosti za prikupljanje prije spomenutih podataka, za inicijalnu trijažu ovih podataka, ali i na uvođenju učinkovitih mjera nadzora, naročito nad aktivnostima računalne mreže.

Na koncu, na sve nas će posebno djelovati ključni uzrok ovog incidenta. 

Koliko god smo bili dosljedni na primjeni svih preventivnih mjera cyber higijene, ovom napadu nismo mogli izbjeći jer ključni sudionik, tvrtka SolarWinds, očigledno nije bila dosljedna u cyber higijeni (iako još ne znamo sve detalje kako je došlo do inicijalnog prodora u njihovu tvrtku). Podsjetimo se slučaja NotPetya: i tada je jedan od ključnih uzroka bio kompromitiran komercijalni softver, ipak ne takvo ime kao SolarWinds pa to, izgleda, nije izazvalo potrebnu pozornost.  Ovaj događaj svakako ukazuje da će lanac opskrbe ("supply chain") softverskih (ali i hardverskih) komponenti biti već od danas pod povećalom. A kompromitacija lanca opskrbe je i kompromitacija lanca povjerenja.

U sljedećem nastavku ću nešto više pisati o tehničkom aspektu ovog napada.

Prezentacije u travnju

Ovaj mjesec sudjelujem u radu dviju stručnih konferencija u Hrvatskoj, gdje ću i održati prezentacije.

Od 11. do 13.4.2019. sudjelujem na konferencije Hrvatskog instituta internih revizora u Lovranu. Tamo ću 12.4. održati prezentaciju "Kako nam analitički alati mogu pomoći u otkrivanju i sprečavanju prijevara?". Govoriti ću o analitičkim tehnikama koje se koriste u detekciji fraud-a, a prezentaciju ću ilustrirati primjerima korištenja alata CaseWare IDEA u takvim scenarijima.

Više o samoj konferenciji možete doznati na službenoj stranici.

U utorak, 30.4.2019. sudjelujem u radu konferencije DataFocus 2019, koju organizira tvrtka INSig2. Ova, sada već tradicionalna konferencija, bavi se računalnom forenzikom. Naslov moje prezentacije je  "Forenzička analiza cyber incidenata", a govoriti ću o metodologiji forenzičke istrage cyber/kibernetičkih incidenata, s osobitim naglaskom na napredne tehnike napada.

Više o samoj konferenciji možete doznati na stranici tvrtke INSig2.

Pozivam sve one koji još imaju otvorene termine u kalendaru neka se pridruže ovim konferencijama. Također, sudionici prezentacija se mogu javiti i nakon vremenskog okvira predviđenog za prezentaciju kako bi nastavili diskusiju o otvorenim temama. Oni koji nisu u mogućnosti sudjelovati na ovim konferencijama mogu zatražiti materijal mailom.

Radujem se našem susretu.

Sudjelovanje u emisiji Hrvatskog radija

U subotu, 24.10.2015. sudjelovao sam u emisiji Hrvatskog radija na temu kriminala i ratovanja u cyber prostoru. U emisiji je sudjelovao i Božo Kovačević, a emisiju je vodio Željko Ivanković.

U nastavku se nalazi link na kojem možete poslušati ovu emisiju.

Nestalo najmanje 300 milijuna dolara?

New York Times je jučer objavio vijest o operaciji cyber kriminalaca koja je trajala tijekom 2013. i 2014. godine u velikom broju banaka iz cijelog svijeta, a ponajviše ruskih. Trenutno se govori o 100 banaka u 30 zemalja. Operacija je rezultirala krađom najmanje 300 milijuna dolara, a procjenjuje se da bi šteta mogla biti i tri puta veća. New York Times se poziva na, za sada neobjavljeno, izvješće ruske tvrtke Kaspersky Lab koja je vodila istragu u jednom od registriranih slučajeva. Članak iz NYT približava nam glavne elemente same operacije. Scenarij je sličan svim scenarijima ciljanih napada koji se pojavljuju u zadnjih nekoliko godina, a o kojima smo pisali na ovim stranicama.

Zbog čega su male/srednje tvrtke atraktivne cyber napadačima?

Nedavni članak objavljen na portalu CSOonline bavi se kibernetičkim napadima na tržišni segment malih i srednjih tvrtki. Suprotno uobičajenoj percepciji, kibernetički napadi nisu rezervirani samo na velike multinacionalne tvrtke, financijske institucije ili sektor vladinih agencija. Napadači imaju niz motiva za usmjeravanje svojeg oružja na male i srednje tvrtke, a radi se o kombinaciji lakih  meta i bogatog ulova što ih očekuje u malim tvrtkama.

Ključ koji otvara sve brave

Sredinom siječnja su stručnjaci tvrtke Dell SecureWorks objavili informaciju o novom malicioznom programu kojeg su otkrili u istrazi jednog incidenta, između travnja i studenog prošle godine. Maliciozni program je nazvan “Skeleton Key”, što je uobičajeni naziv za sredstvo kojim se mogu otvoriti svaka vrata.

Pogled na 2014.godinu

Prošlo je jako puno vremena od zadnjeg teksta na ovom blogu, poslovne obaveze u protekloj godini su onemogućile moju intenzivniju prisutnost na ovim stranicama. Kroz svojevrsni pregled događaja iz 2014. ću pokušati nadoknaditi propušteno, uz obećanje da ću se u novoj godini na ovim stranicama pojavljivati češće i redovitije.

Lov na Crveni oktobar

Trebalo je tek desetak dana u 2013. godini kako bi informatički svijet obišla vijest o novom slučaju ciljanoga cyber napada. Kaspersky Lab je sredinom siječnja objavio rezultate više-mjesečne istrage napada usmjerene prema, uglavnom, državnim institucijama u zemljama bivšeg istočnog bloka ali i prema nekim zapadne Europe i drugih kontinenata. Red October - kako je nazvana ova cybercrime kampanja - započinjao je ciljanim napadima na birani krug korisnika informacijskih sustava žrtava, a potom je koristeći prisutne računalne ranjivosti na njihovim računalima izgradio složenu i izuzetno učinkovitu malicioznu aplikativnu infrastrukturu.

Kasperski Lab prati ovaj slučaj od listopada prošle godine. Utvrđeno je da, kada se jednom naseli na računala žrtava, Red October uspostavlja komunikacijsku vezu s Comand&Control centrima, te im dostavlja podatke od posebnog interesa otkrivene u mreži žrtava. Ova komunikacijska veza je uspostavljena putem nekoliko razina proxy servera smještenih u Njemačkoj i Rusiji, no krajnje destinacije su smještene u drugim državama.

Već površan pogled na Red October, podsjeća nad na slučajeve Stuxnet, Flame ili još ranije Aurora, a radi o sličnostima u modelu djelovanja ali ne i o podudarnostima ili dijeljenju programskog koda. Trenutno nema indikacija o porijeklu Red Octobera, a ne može se tvrditi niti da iza ovog programa stoje pokretači ranijih ciljanih napada.

Za razliku od Stuxneta i Flamea, Red Octobar  ne korisiti privilegiju upućenosti u inače nepozanati bug u Windowima, niti mu je za instalaciju potreban ukradeni digitalni certifikat. Žrtva je navučenana jednostavnim socijalnim inženjeringom - npr. nesmotreno otvara privitak koji sadrži maliciozno iskrojeni Word ili Excel dokument (iako to nije i jedini scenarij, npr. iskorištava se i Java ranjivost). Zanimljivo da je Red October koristi različite sigurnosne rupe za inicijalnu intoksikaciju, a scenariji se mijenjaju, birajući uvijek nove i relativno raširene manjkavosti.

Značajna inovacija ovog programa je i raznolikost programskih modula i funkcija koje se izvode na računalima žrtava - od bilježenja rada tipkovnice, preko krađe lozinki do krađe dokumenata i izvođenja drugih sofisticiranih modula. Sustav upravljanja iz središnjeg centra daje precizan nalog malicioznom programu, a rezultati se iskorištavaju za razvoj daljnjih scenarija.

Ukratko, može se reći da su Stuxnet i Flame bili inventivniji u mehanizmu inicijalnog pokretanja, no Red October ima raznolikije opcije za učinkovito djelovanje kada jednom osvoji žrtvu.

Njihovo zajedničko svojstvo je polagana propagacija, bez "pohlepnosti", pa su antivirusni programi propustili pet godina prepoznati djelovanje Red Octobera. 

Tipične žrtve crvenog oktobra bile su diplomatske misije, vladine ustanove, istraživački centri, institucije u naftnom ili nuklearnom poslovanju, vojni ciljevi... Kasperski Lab je detektirao, ali ne i identificirao, i šest žrtava iz Hrvatske. Veliko je pitanje jesu li ove organizacije uopće svjesne toga.

Flame: pogrešna dilema

Kao i u brojnim slučajevima u proteklim godinama, pojava "virusa" Flame popraćena je bombastičnim naslovima i katastrofičnim predviđanjima u javnim medijima. S druge strane, pojavljuju se i osporavatelji  koji smatraju da se radi samo o novom pretjeravanju industrije, medija i neobjektivnih stručnjaka. U sličnim situacijama javnost običava pojednostavljeno i kompromisno zaključiti da je istina negdje u sredini. No, slučaj Flame nije takav. Mi zaista svjedočimo moćnom malicioznom softveru koji nije prekretnica nego konačni dokaz trenda u razvoju i distribuciji malicioznih programa. Ipak, argumenti koji se u medijima koriste kako za naglašavanje opasnosti novog malicioznog programa tako i za njegovo minoriziranje nisu točni.

Tekstovi katastrofičara, a govorim o medijima okrenutim široj populaciji, ostavljaju dojam da se radi o virusu koji samo što nije poharao milijune bespomoćnih računala. Osporavatelji, s druge strane, iznose točan podatak da je program Flame osvojio tek oko tisuću računala te da je buka koja se stvorila potpuno nepotrebna.

Suprostavljene grupe koriste istu argumentaciju, no ona je u ovom slučaju potpuno pogrešna. Flame pripada kategoriji Advanced Persistant Threat malicioznih programa, a ovu kategoriju ne moraju odlikovati neki specifičan tehnološki mehanizam ili inovacija, koliko ciljevi i strategija njihovih  autora i operativnih skrbnika (je li možda neprimjereno nazvati ih  "korisnicima"?). Ciljevi koji stoje iza programa Flame, Stuxnet, te drugih sličnih događaja o kojima smo posali na ovim stranicama nije trčanje za pet minuta slave niti hranjenje ega njihovih autora. Njihovi autori nemaju namjeru bolno šokirati milijune korisnika, već, vođeni jasno postavljenim poslovnim ili političkim ciljevima, što je moguće diskretnije doći do traženih podataka. Zato Flame i slični programi izbjegavaju masovnu propagaciju koja je u pravilu nekontrolirana. Prve analize programa Flame okrenule su se i prema prošlosti, pa je tek danas utvrđeno da su se prve verzije ovog programa pojavile u 2010. godini, no cijelo ovo vrijeme ostale su neotkrivene od antivirusnih sustava (kako je navedeno neposredno po objavi prvih podataka, niti jedan od 43 antivirusnih programa nije prepoznao ovaj program - naravno, u međuvremenu su objavljeni uzorci pa danas to više nije slučaj). Kako sada izgleda, ovim programom je zaraženo oko tisuću (ili nekoliko tisuća) računala što je beznačajno ako govorimo o uobičajenom stupnju kontaminacije koju uzrokuju uobičajeni virusi. No, takav pristup je programu Flame osigurao i dugi život.

Od prvih analiza o programu Flame pa do trenutka pisanja ovog teksta, najznačajnijim momentom smatram objavu podataka o tehnici zaraze računala programom Flame. Prije nekoliko dana je objavljeno da je ovaj maliciozni program iskoristio jedan nedostatak u korištenju certifikata unutar Microsoft operativnih sustava, točnije njegove Terminal Services komponente. Uočena je slabost u konstrukciji ovog certifikata, te je otkriveno da se može koristiti ne samo za autentikaciju klijenata u Terminal Services komunikacijui nego i za potpisivanje programskog koda (što nikako nije bila namjera). Scenarij je upotpunjen krivotvorenjem Windows Update servisa kojim je računalo žrtve preuzelo update s pogrešne adrese. U kombinaciji s manipuliranim certifikatom, eto načina da sustav sa svim zakrpama (i ažurnim antivirusnim sustavom) postane zaražen malicioznim programom Flame.

Istraživači malicioznih programa su pružili osnovni profil ovog programa i prije objave uloge Microsoftovih certifikata.(za detaljnu analizu će trebati puno više vremena). Definitivno, radi se o kompleksnom i velikom programu, koji je modularno građen. Kao i kod drugih modernih i učinkovitih malicioznih programa, Flame komunicira sa komandnim sustavom (C&C). Modularana građa omogućuje primjenu različitih dodataka kojima se obogaćuje njegova funkcionalnost: Flame ima mogućnost krađe podataka, snimanja razgovora, kopiranja sadržaja ekrana, slanja svih podataka trećoj strani...

Dok se ne dozna više tehničkih detalja o funkcioniranju ovog programa, stručnu je javnost zainteresirala i njegova (politička) pozadina. Flame je otkriven na malom broju računala no zemljopisno ograničenih na područje bliskog istoka i njemu susjednih zemalja (Iran, dio Izraela pod palestinskom samoupravom, Sudan, Sirija, Egipat, Libanon...). Njegove instance u Mađarskoj i Austriji za sada se tumače kolateralnim slučajevima. Neizbježno, nameće se usporedba sa programom Stuxnet, iako sadržajno nemaju dodirnih točaka. Ipak, stručna javnost zaključuje da zbog njegove kompleksnosti (koja, pored visoke kompetencije, zahtjeva i znatnu materijalnu podršku), iza programa Flame stoje državne institucije. Po svemu sudeći, iste države (ili istih država) kao i u slučaju Stuxnet.

Sigurnosni pokazatelji o računalnom kriminalitetu

Svaka procjena sigurnosnih rizika u informacijskim sustavima dolazi na sklisko tlo kada se pokušavaju obuhvatiti podaci o računalnim incidentima iz prethodnog razdoblja. Pored podataka vezanih za samu organizaciju u kojoj se procjenjuju rizici, značajni su i statistički podaci o računalnom kriminalu za okruženje u kojem se organizacija nalazi, a osobito podaci o organizacijama sličnog profila.

Jedan članak iz subotnjeg Večernjeg lista uputio me na zanimljivu statistiku koju objavljuje MUP - godišnji izvještaj o temeljnim sigurnosnim pokazateljima za 2011. godinu (ovi su izvještaji dostupni još od 2006. godine). Izvještaj je veoma opsežan, a sadrži statističke pokazatelje za različite oblike kaznenih dijela koje je obrađivao MUP. Pokazatelji su kategorizirani prema odredbama Kaznenog zakona, a računalni kriminal je kategoriziran kao povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, računalno krivotvorenje i računalna prijevara. Treba napomenuti da je izmjenama Kaznenog zakona iz listopada 2011. računalni kriminal nešto drukčije kategoriziran pa iduće godine možemo očekivati modifikaciju kategorija pokazatelja u ovom izvještaju.

Pokazatelji o računalnom kriminalitetu su obuhvaćeni u grupi pokazatelja kaznenih djela u gospodarskom kriminalitetu. Kaznenih djela povrede tajnosti, cjelovitosti i dostupnosti računalnih podataka je u 2011. godini bilo 40 (u 2010. bilo ih je 9).  Nadalje, u prošloj godini je zabilježeno 89 kaznenih djela računalnog krivotvorenje (u 2010. bilo ih je 27). Najbrojnija su djela računalne prijevare, a u 2011. godini bilo ih je 684 (zanimljivo, u 2010. bilo ih je više - 903). Navedena kaznena djela predstavljaju oko 11% svih kaznenih djela gospodarskog kriminaliteta u 2011. godini.

Rekao bih da navedeni postotak nije beznačajan. Nadalje, iako bi se iz pokazatelja moglo zaključiti da je kaznenih djela računalnog kriminaliteta bilo manje u odnosu na 2010.  (zbog pada prijavljenih kaznenih djela računalne prijevare) mislim da bi to bio ipak preoptimističan zaključak. Naime, dobro nam je poznato da računalna kriminalna djela često ostaju neotkrivena ili su otkrivena tek nakon duljeg razdoblja. Isto tako, mnogi slučajevi se rješavaju diskretno, bez suvišnog publiciteta.  Postoji i jedan drugi pokazatelj, indirektan, koji osporava optimističan zaključak o eventualnom smanjenju kaznenih djela računalnog kriminala:  broj klasičnih razbojstava banaka je u 2011. porastao na 37 (od 9 takvih slučajeva u 2010). Naravno, ne radi se o istom profilu počinitelja niti o istom načinu djelovanja, no podatak govori o pojačanoj motivaciji napadača. Također, na istoj stranici, MUP nudi i pregled pokazatelja za razdoblje od 2002. do 2011. i analizirajući pokazatelje za iste kategorije kaznenih djela nedvojbeno se može prepoznati uzlazni trend.

Za nas bi bila posebno zanimljiva detaljna razrada ovih podataka: segment gospodarske djelatnosti u kojima su počinjena kaznena djela računalnog kriminaliteta, omjer "insiderskih" počinitelja u odnosu na vanjske napadače, procjena financijskih gubitaka uzrokovanih ovim kaznenim djelima, načini realizacije, načini otkrivanja, broj računalnih delikata usmjeren na državne institucije... Vjerujem da bi, pored ovih pokazatelja iz nadležnosti MUP-a, istraživanje napravljeno u direktnom kontaktu s gospodrastvom pokazalo podatke i  o onim događajama koji nisu prijavljeni odnosno koji su pravovremeno detektirani i otklonjeni, a konačna slika bila bi još nepovoljnija.

Tržišni principi cyber-napada

Eskalacija sigurnosnih incidenata u svijetu zasigurno je razlog da i naši mediji posvećuju sve veću pažnju ovoj tematici. Tako smo u proteklih desetak dana mogli pročitati ili vidjeti priloge o cyber prijetnjama u Večernjem listu (subotnji dodatak Obzor od 11.6.2011. - link nije dostupan), u Vjesniku od 15.6.2011. i u jednom od prošlotjednih dnevnika HRT-a.

Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.

Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.

Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.

Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.

S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.

Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.

Dva teksta

Unatrag godinu dana (i koj mjesec više) objavio sam dva teksta u časopisu Banka, o čemu sam vas i obavijestio na ovim stranicama. Evo, tek sada objavljujem pdf verzije ovih članaka.

Tekst "Što je privatno, a što javno" potražite na ovdje, a tekst "Zeus bog računalnih prijevara" ovdje.

Zeus - bog računalnih prijevara

U siječanjskom broju časopisa Banka izašao je moj članak o botnetu Zeus. Članak opisuje način funkcionaranja i "poslovnu" pozadinu koja stoji iza ovog malicioznog programa, ili, bolje rečeno malicioznog sustava.

Članak potražite ovdje.

Veoma nezgodna ranjivost

Proteklog tjedna je svijet obišla vijest o pojavi nove ranjivosti u svim verzijama Windows operativnog sustava od XP-a na dalje. Ranjivost je vezana za način kojim Windows obrađuje LNK datoteke. LNK datoteke se najčešće vezuju za ikonice prikazane na ekranu - popularno ih nazivamo shortcut - i u sebi sadržavaju link prema stvarnim objektima operativnog sustava do kojih se dolazi klikom na samu ikonicu. Najčešće se koriste za brz pristup programskom kodu. Do danas smo bili uvjereni da moramo kliknuti na ikonicu kako bi došli do nekog objekta ili pokrenuli program. No, ovog se tjedna pokazalo da to nije i jedini način pokretanja programa. Naime, Windowsi na nedovoljno oprezan - netko bi rekao nekontroliran - način obrađuje podatke ugrađene u LNK datoteke, tj. shortcute i pokazalo se da je dovoljno samo otvoriti mapu gdje se nalazi shortcut pa će program biti pokrenut. To će se desiti u slučaju da je podatak o linku formuliran na poseban način koji Windows krivo tumači. Korumpirani LNK file je samo vektor napada, a pravi napad eskalira ako program koji će se pokrenuti bez znanja i odobrenja korisnika ima maliciozni sadržaj.

Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.

O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.

Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.

Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.

Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.

Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.

Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.

Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.

Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.

Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.

Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.

Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.

LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.

Slučajevi Heartland i Hannaford, nastavak

Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.

Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.

Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.

Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Sve što se desilo nakon toga, saznati ćete iz medija.

Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:

• Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
• Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
• Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
• Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
• Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.