Gezielte Cyber-Angriffe unterscheiden sich von Massen-Hacker-Angriffen darin, dass sie auf ein bestimmtes Unternehmen oder eine bestimmte Organisation abzielen. Solche Angriffe sind am effektivsten, da sie anhand der über das Opfer gesammelten Informationen geplant und personalisiert werden. Alles beginnt mit der Sammlung von Informationen. Dies ist in der Regel der längste und mühsamste Teil der Operation. Und dann müssen Sie einen Angriff vorbereiten und durchführen. Von außen sieht alles ziemlich kompliziert aus und es scheint, dass dies nur Elite-Cracker können. Die Realität sieht jedoch anders aus.
Wenn
im Jahr 2017 der Anteil nicht zielgerichteter Angriffe 90% und das Ziel nur 9,9% betrug, gab es in den Jahren 2018 und 2019
einen stetigen Anstieg präziser gezielter Angriffe . Wenn sie so schwer durchzuführen sind, warum gibt es mehr von ihnen? Und wie werden moderne gezielte Angriffe ausgeführt, warum wechseln Hacker von Massenangriffen zu gezielten? Warum ist die Anzahl solcher Vorfälle im Zusammenhang mit bekannten Cybergruppen nicht so groß, wie es scheint? Lass es uns richtig machen.
Stellen Sie sich eine Gruppe von Hackern vor, die beschlossen haben, eine Fabrik anzugreifen, in der lockige Zahnstocher hergestellt werden, um das Geheimnis ihrer Produktion zu stehlen und es an Wettbewerber zu verkaufen. Überlegen Sie, aus welchen Phasen ein solcher Angriff bestehen kann und welche Tools dafür benötigt werden.
Stufe 1. Sammeln von Informationen
Hacker müssen so viele Informationen wie möglich über die Anlage, ihr Management und ihre Mitarbeiter, die Netzwerkinfrastruktur sowie über Lieferanten und Kunden sammeln. Zu diesem Zweck untersuchen Angreifer den Werksstandort und alle zum Unternehmen gehörenden IP-Adressen mithilfe eines Schwachstellenscanners. Laut öffentlichen Quellen wird eine Liste der Mitarbeiter erstellt, deren Profile in sozialen Netzwerken und die Websites, die sie ständig besuchen, untersucht. Basierend auf den gesammelten Informationen wird ein Angriffsplan erstellt und alle erforderlichen Dienstprogramme und Dienste ausgewählt.
Tools: Schwachstellenscanner, Website-Protokollierungsdienste, gestohlene E-Mails und Website-Anmeldeinformationen.
Stufe 2. Organisation der Einstiegspunkte
Mit den gesammelten Informationen bereiten sich Hacker darauf vor, in das Netzwerk des Unternehmens einzudringen. Am einfachsten ist es, E-Mails mit böswilligen Anhängen oder Links zu phishing.
Kriminelle müssen nicht über die Fähigkeiten des Social Engineering oder die Entwicklung von Web-Exploits für verschiedene Versionen des Browsers verfügen - alles, was Sie benötigen, ist in Form von Diensten in Hacker-Foren und im Darknet verfügbar. Gegen eine relativ geringe Gebühr erstellen diese Spezialisten Phishing-E-Mails auf der Grundlage der gesammelten Daten. Schädliche Inhalte für Websites können auch als Dienst zur Installation von bösartigem Code als Service erworben werden. In diesem Fall muss sich der Kunde nicht mit den Implementierungsdetails befassen. Das Skript erkennt automatisch den Browser und die Plattform des Opfers und nutzt das Gerät aus. Verwenden Sie die entsprechende Version des Exploits, um das Gerät einzuführen und in es einzudringen.
Tools: Dienst
"Bösartiger Code als Dienst" , ein Dienst zum Entwickeln bösartiger Phishing-E-Mails.
Schritt 3. Herstellen einer Verbindung zum Verwaltungsserver
Nach dem Betreten des Netzwerks der Anlage benötigen Hacker einen Brückenkopf, um weitere Aktionen abzusichern und auszuführen. Es kann sich um einen kompromittierten Computer mit installierter Hintertür handeln, der Befehle vom Verwaltungsserver auf einem dedizierten "kugelsicheren" Hosting akzeptiert (oder "beschwerdebeständig", es ist auch "kugelsicher" oder BPHS - kugelsicherer Hosting-Service). Eine andere Möglichkeit besteht darin, einen Verwaltungsserver direkt in der Unternehmensinfrastruktur zu organisieren, in unserem Fall in der Anlage. Gleichzeitig müssen Sie den Datenverkehr zwischen der im Netzwerk installierten Malware und dem Server nicht verbergen.
QUELLE: TREND MICROCybercrime-Märkte bieten verschiedene Optionen für solche Server an, die in Form von vollwertigen Softwareprodukten hergestellt werden, für die sogar technischer Support bereitgestellt wird.
Tools: "fehlertolerantes" (kugelsicheres) Hosting, C & C Server-as-a-Service.
Stufe 4. Seitliche Verschiebungen
Es ist weit davon entfernt, dass der Zugriff auf den ersten kompromittierten Computer in der Infrastruktur des Werks die Möglichkeit bietet, Informationen über die Herstellung von Zahnstochern zu erhalten. Um zu ihnen zu gelangen, müssen Sie herausfinden, wo das Hauptgeheimnis gespeichert ist und wie Sie dorthin gelangen.
Diese Phase wird als "seitliche Bewegung" (seitliche Bewegung) bezeichnet. In der Regel werden Skripte verwendet, um dies durchzuführen, das Scannen des Netzwerks zu automatisieren, Administratorrechte zu erhalten, Speicherauszüge aus Datenbanken zu entfernen und nach im Netzwerk gespeicherten Dokumenten zu suchen. Skripte können Betriebssystemdienstprogramme verwenden oder Originaldesigns herunterladen, die gegen eine zusätzliche Gebühr erhältlich sind.
Tools: Skripte zum Scannen des Netzwerks, zum Abrufen von Administratorrechten, zum Entleeren von Daten und zum Suchen nach Dokumenten.
Stufe 5. Angriffsunterstützung
Die Zeiten, in denen sich Hacker im Terminal vergraben mussten, um den Angriff zu begleiten und ständig auf die Tasten zu klopfen und verschiedene Befehle einzugeben, gehören der Vergangenheit an. Moderne Cyberkriminelle verwenden praktische Webschnittstellen, Bedienfelder und Dashboards, um ihre Arbeit zu koordinieren. Die Phasen des Angriffs werden in Form von visuellen Diagrammen angezeigt, der Bediener erhält Benachrichtigungen über auftretende Probleme und es können verschiedene Lösungen angeboten werden, um diese zu lösen.
Tools: Web Attack Control Panel
Stufe 6. Informationsdiebstahl
Sobald die erforderlichen Informationen gefunden wurden, müssen sie so schnell und leise wie möglich vom Werksnetzwerk an Hacker übertragen werden. Die Übertragung muss als legitimer Verkehr getarnt sein, damit das DLP-System nichts bemerkt. Hierfür können Hacker sichere Verbindungen, Verschlüsselung, Verpackung und Steganografie verwenden.
Tools: Kryptoren, Verschlüsseler, VPN-Tunnel, DNS-Tunnel.
Angriffsergebnis
Unsere hypothetischen Hacker drangen leicht in das Fabriknetzwerk ein, fanden die für den Kunden erforderlichen Informationen und stahlen sie. Dazu brauchten sie lediglich einen relativ geringen Betrag für die Vermietung von Hacker-Tools, den sie durch den Verkauf des Zahnstochergeheimnisses an Wettbewerber mehr als kompensierten.
Schlussfolgerungen
Alles, was Sie für gezielte Angriffe benötigen, ist im Darknet und in Hackerforen leicht verfügbar. Jeder kann Werkzeuge kaufen oder mieten, und das Angebot ist so hoch, dass Verkäufer technischen Support anbieten und die Preise ständig senken. In dieser Situation macht es keinen Sinn, Zeit damit zu verschwenden, Kolibris aus der Kanone zu schießen und groß angelegte böswillige Kampagnen durchzuführen. Deutlich höhere Renditen bringen mehrere gezielte Angriffe mit sich.
Elite-Hacker-Gruppen halten auch mit Trends Schritt und diversifizieren Risiken. Sie verstehen, dass das Durchführen von Angriffen eine gefährliche, wenn auch lukrative Sache ist. Während der Vorbereitung der Angriffe und in den Pausen zwischen ihnen möchte ich auch essen, was bedeutet, dass zusätzliches Einkommen nicht schadet. Warum also nicht andere ihre Designs für eine anständige Belohnung verwenden lassen? Dies führte zu einem massiven Angebot an Hacking-Diensten zur Miete und führte nach den Gesetzen des Marktes zu einem Rückgang ihrer Kosten.
QUELLE: TREND MICROInfolgedessen hat sich die Schwelle für den Eintritt in das Segment der gezielten Angriffe verringert, und die Zahl der Analyseunternehmen hat Jahr für Jahr zugenommen.
Eine weitere Folge der Verfügbarkeit von Tools auf Marktplätzen für Cyberkriminalität ist, dass Angriffe von APT-Gruppen jetzt viel schwieriger von Angriffen von Kriminellen zu unterscheiden sind, die ihre Tools mieten. Der Schutz vor APT und unorganisierten Cyberkriminellen erfordert daher fast die gleichen Maßnahmen, obwohl mehr Ressourcen erforderlich sind, um APT entgegenzuwirken.
Als empirisches Kriterium, anhand dessen die Aktionen von APT-Hackern identifiziert werden, gibt es nur die Komplexität und Originalität der Angriffe, die Verwendung einzigartiger Entwicklungen und Exploits, die auf unterirdischen Marktplätzen nicht verfügbar sind, und einen höheren Kenntnisstand der Tools.