Serangan cyber yang ditargetkan berbeda dari serangan peretas massal karena ditujukan pada perusahaan atau organisasi tertentu. Serangan semacam itu paling efektif karena direncanakan dan dipersonalisasi menggunakan informasi yang dikumpulkan tentang korban. Semuanya dimulai dengan pengumpulan informasi. Sebagai aturan, ini adalah bagian operasi yang paling lama dan paling melelahkan. Dan kemudian Anda perlu mempersiapkan dan melakukan serangan. Dari luar, semuanya terlihat cukup rumit dan sepertinya hanya cracker elit yang bisa melakukan ini. Namun, kenyataannya terlihat berbeda.
Jika
pada tahun 2017 pangsa serangan non-target adalah 90% , dan targetnya hanya 9,9%, pada 2018 dan 2019
ada peningkatan yang stabil dalam serangan tepat sasaran . Jika mereka sangat sulit untuk dilakukan, mengapa ada lebih banyak dari mereka? Dan bagaimana serangan bertarget modern dilakukan, mengapa peretas beralih dari serangan massal ke serangan yang ditargetkan? Mengapa jumlah insiden seperti itu terkait dengan kelompok cyber terkenal tidak begitu besar seperti kelihatannya? Mari kita perbaiki.
Bayangkan sekelompok peretas yang memutuskan untuk menyerang sebuah pabrik yang memproduksi tusuk gigi keriting untuk mencuri rahasia produksi mereka dan menjualnya kepada pesaing. Pertimbangkan tahapan apa yang bisa terdiri dari serangan itu dan alat apa yang dibutuhkan untuk ini.
Tahap 1. Pengumpulan informasi
Peretas perlu mengumpulkan sebanyak mungkin informasi tentang pabrik, manajemen dan karyawannya, infrastruktur jaringan, serta tentang pemasok dan pelanggan. Untuk melakukan ini, penyerang memeriksa situs pabrik dan semua alamat IP milik perusahaan menggunakan pemindai kerentanan. Menurut sumber publik, daftar karyawan dikompilasi, profil mereka di jejaring sosial dan situs yang selalu mereka kunjungi dipelajari. Berdasarkan informasi yang dikumpulkan, rencana serangan disiapkan dan semua utilitas dan layanan yang diperlukan dipilih.
Alat: pemindai kerentanan, layanan pencatatan situs web, email curian, dan kredensial situs web.
Tahap 2. Organisasi titik masuk
Menggunakan informasi yang dikumpulkan, peretas bersiap untuk menembus jaringan perusahaan. Cara termudah adalah phishing email dengan lampiran atau tautan jahat.
Penjahat tidak perlu memiliki keterampilan rekayasa sosial atau pengembangan eksploitasi web untuk berbagai versi browser - semua yang Anda butuhkan tersedia dalam bentuk layanan di forum peretas dan di darknet. Dengan biaya yang relatif kecil, spesialis ini akan menyiapkan email phishing berdasarkan data yang dikumpulkan. Konten berbahaya untuk situs web juga dapat dibeli sebagai layanan kode-pemasangan-as-layanan-berbahaya. Dalam hal ini, pelanggan tidak perlu mempelajari detail implementasi. Script akan secara otomatis mendeteksi browser dan platform korban dan akan mengeksploitasi, menggunakan versi eksploit yang sesuai untuk memperkenalkan dan menembus perangkat.
Alat: layanan
"kode berbahaya sebagai layanan" , layanan untuk mengembangkan surel phishing berbahaya.
Langkah 3. Menghubungkan ke server manajemen
Setelah memasuki jaringan pabrik, peretas perlu jembatan untuk mengamankan dan melakukan tindakan lebih lanjut. Ini bisa berupa komputer yang dikompromikan dengan backdoor diinstal, menerima perintah dari server manajemen pada hosting “antipeluru” khusus (atau “anti-keluhan”, juga merupakan “antipeluru” atau BPHS - layanan hosting antipeluru). Cara lain melibatkan pengorganisasian server manajemen langsung di dalam infrastruktur perusahaan, dalam kasus kami, pabrik. Pada saat yang sama, Anda tidak perlu menyembunyikan lalu lintas antara malware yang dipasang di jaringan dan server.
SUMBER: TREN MICROPasar Cybercrime menawarkan berbagai opsi untuk server seperti itu, dibuat dalam bentuk produk perangkat lunak lengkap, yang bahkan disediakan dukungan teknis.
Alat: hosting "toleran-toleran" (anti peluru), server C & C sebagai layanan.
Tahap 4. Pemindahan lateral
Jauh dari fakta bahwa akses ke komputer yang pertama kali dikompromikan dalam infrastruktur pabrik akan memberikan kesempatan untuk memperoleh informasi tentang produksi tusuk gigi keriting. Untuk sampai ke sana, Anda perlu mencari tahu di mana rahasia utama disimpan dan bagaimana cara mencapainya.
Tahap ini disebut "gerakan lateral" (gerakan lateral). Sebagai aturan, skrip digunakan untuk melakukan itu, mengotomatiskan pemindaian jaringan, mendapatkan hak administratif, menghapus dump dari basis data, dan mencari dokumen yang tersimpan di jaringan. Script dapat menggunakan utilitas sistem operasi atau mengunduh desain asli yang tersedia dengan biaya tambahan.
Alat: skrip untuk memindai jaringan, memperoleh hak administratif, menguras data, dan mencari dokumen.
Tahap 5. Dukungan Serangan
Saat-saat ketika para peretas harus duduk mengubur diri mereka sendiri di terminal untuk menemani serangan dan terus-menerus mengetuk kunci sambil mengetik berbagai perintah adalah hal di masa lalu. Penjahat cyber modern menggunakan antarmuka web, panel, dan dasbor yang nyaman untuk mengoordinasikan pekerjaan mereka. Tahap-tahap serangan ditampilkan dalam bentuk grafik visual, operator menerima pemberitahuan masalah yang muncul, dan berbagai solusi dapat ditawarkan untuk menyelesaikannya.
Alat: panel kontrol serangan web
Tahap 6. Pencurian informasi
Segera setelah informasi yang diperlukan ditemukan, perlu untuk mentransfernya dari jaringan pabrik ke peretas secepat mungkin. Transmisi harus disamarkan sebagai lalu lintas yang sah sehingga sistem DLP tidak melihat apa pun. Untuk ini, peretas dapat menggunakan koneksi, enkripsi, pengemasan dan steganografi yang aman.
Alat: cryptors, enkripsi, terowongan VPN, terowongan DNS.
Hasil serangan
Peretas hipotetis kami dengan mudah menembus jaringan pabrik, menemukan informasi yang diperlukan untuk pelanggan dan mencurinya. Yang mereka butuhkan untuk ini adalah jumlah yang relatif kecil untuk penyewaan alat peretas, yang mereka lebih dari kompensasi dengan menjual rahasia tusuk gigi kepada pesaing.
Kesimpulan
Semua yang Anda butuhkan untuk melakukan serangan bertarget mudah tersedia di darknet dan di forum peretas. Siapa pun dapat membeli atau menyewa alat, dan tingkat pasokan sangat tinggi sehingga penjual menawarkan dukungan teknis dan terus-menerus mengurangi harga. Dalam situasi ini, tidak ada gunanya membuang waktu menembak burung kolibri dari meriam dan melakukan kampanye jahat berskala besar. Pengembalian yang lebih besar secara signifikan akan membawa beberapa serangan yang ditargetkan.
Grup hacker elit juga mengikuti tren dan mendiversifikasi risiko. Mereka mengerti bahwa melakukan serangan adalah hal yang berbahaya, meskipun menguntungkan. Selama persiapan serangan dan jeda di antara mereka, saya juga ingin makan, yang berarti bahwa penghasilan tambahan tidak akan merugikan. Jadi mengapa tidak membiarkan orang lain menggunakan desain mereka untuk hadiah yang layak? Ini memunculkan tawaran besar-besaran dari layanan peretasan untuk disewakan dan, menurut undang-undang pasar, menyebabkan penurunan biaya mereka.
SUMBER: TREN MICROAkibatnya, ambang untuk memasuki segmen serangan yang ditargetkan telah menurun, dan perusahaan analitik telah melihat peningkatan jumlah mereka dari tahun ke tahun.
Konsekuensi lain dari ketersediaan alat di pasar cybercrime adalah bahwa sekarang serangan kelompok APT jauh lebih sulit dibedakan dari serangan yang dilakukan oleh penjahat yang menyewa alat mereka. Dengan demikian, perlindungan terhadap APT dan penjahat cyber yang tidak terorganisir membutuhkan tindakan yang hampir sama, meskipun lebih banyak sumber daya diperlukan untuk melawan APT.
Sebagai kriteria empiris yang digunakan untuk mengidentifikasi tindakan peretas APT, hanya ada kompleksitas dan orisinalitas serangan, penggunaan pengembangan dan eksploitasi unik yang tidak tersedia di pasar bawah tanah, dan tingkat pengetahuan yang lebih tinggi tentang alat tersebut.