Hackeři se do systému dostali přes účet administrátora, který si neměnil přístupové heslo. Díky tomu infiltrovali systém, dostali se do několika pracovních stanic, vytvořili backdoory a nepozorovaně shromažďovali data.

Každá organizace, od malých podniků po velké korporace, je náchylná ke kybernetickým útokům. V tom, zda se firma stane obětí hackerů hraje částečně roli její technologická vyspělost nebo úroveň kvalifikace jejích kyberbezpečnostních odborníků, ale především lidský faktor. Tento nejnovější případ zdokumentovaný odborníky z Kaspersky opět dokazuje, že i sebemenší nezodpovědnost ze strany zaměstnance může vést k útoku, který organizaci způsobí velké škody.

Klient, velká nejmenovaná společnost, oslovil odborníky z Kaspersky poté, co detekovali podezřelé procesy ve své korporátní síti. Následná analýza odhalila, že byl systém napadnut prostřednictvím účtu lokálního administrátora (adm_Ivan), skrz nějž hackeři do sítě zanesli škodlivé dynamické knihovny. Později účet sloužil i ke krádežím dat ze systému. Ačkoliv není zcela jasné, jak došlo k prvotnímu prolomení administrátorského účtu, je naopak zcela zjevné, že jeho následná nečinnost umožnila dlouhé trvání útoku. Administrátor si totiž za celou dobu útoku ani jednou nezměnil heslo, i přes to, že by k jeho aktualizaci mělo dojít každé tři měsíce (jak udává bezpečnostní směrnice společnosti). To poskytlo útočníkům stálý přístup k systémům společnosti a vyústilo v únik tisíců citlivých souborů.

Napadená organizace a bezpečnostní tým Kaspersky se rozhodly monitorovat aktivity kyberzločinců, aby se dozvěděly více informací o útoku a minimalizovaly škody, které již útočníci způsobili. Nedošlo tak k okamžitému ukončení jejich škodlivých aktivit. Forenzní analýza tak pomohla určit, jaké systémy společnosti byly během dvou let napadeny.

Útočníci pronikly do systému prostřednictvím administrátorského účtu a škodlivé soubory nahráli přímo do sítě. Mezi soubory byly jak dynamické knihovny tak downloadery a backdoor. Tyto škodlivé objekty byly v systému skryty pomocí upravených zástupců na ploše, v nabídce Start a na hlavním panelu. Po kliknutí na zástupce se spustil škodlivý soubor a až následně došlo ke spuštění dané originální aplikace. Tímto způsobem se útočníkům podařilo skrýt podezřelou aktivitu před bezpečnostními systémy firmy.

Firmu i povolané odborníky nejvíce zajímalo, jakým způsobem útočníci využili nainstalovaný backdoor. Analýza ukázala, že backdoor spustil různé příkazy a pomocí klíčových slov a souborových přípon vyhledával soubory. Uchovával také metadata stahovaných souborů. Je také zajímavé, že tento backdoor byl speciálně vytvořen pro tento útok, vzhledem k tomu, že více než rok nebyl detekován v rámci jiného incidentu. Dodatečné monitorování také organizaci umožnilo zjistit, do jaké míry byl systém ohrožen a jak došlo k pozměnění zástupů na škodlivé soubory. Podařilo se tak vytvořit velký počet indikátorů napadení pro tento konkrétní útok.

Útočníci dlouhou dobu selektivně útočili na jednotlivé části systému, shromažďovali data a poté „opustili“ infikovaný systém – což se již dělo pod dohledem bezpečnostních odborníků. V určitém okamžiku se ale útočníci rozhodli infikovat všechny systémy v síti s cílem získat alternativní přístupový bod. V tu chvíli kyberbezpečnostní odborníci probíhající útok zastavili a celou operaci zlikvidovali.

„Tento útok ilustruje důležitost oborové spolupráce. Díky ní se totiž podařilo nashromáždit cenné informace, které mohou zabránit podobným útokům. S tím, jak jsou taktiky a techniky hackerů kreativnější, je důležité prohlubovat spolupráci, abychom mohli hrozby zavčas detekovat a chránit uživatele,“ komentuje Pavel Kargapoltsev, bezpečnostní odborník ze společnosti Kaspersky.

Větší detaily o tomto útoku se dozvíte na blogu Securelist.com