Os ataques cibernéticos direcionados diferem dos ataques de hackers em massa, pois são direcionados a uma empresa ou organização específica. Esses ataques são mais eficazes porque são planejados e personalizados usando as informações coletadas sobre a vítima. Tudo começa com a coleta de informações. Como regra, essa é a parte mais longa e trabalhosa da operação. E então você precisa se preparar e conduzir um ataque. Do lado de fora, tudo parece bastante complicado e parece que apenas crackers de elite podem fazer isso. No entanto, a realidade parece diferente.
Se
em 2017 a parcela de ataques não direcionados era de 90% e a meta era de apenas 9,9%, em 2018 e 2019
houve um aumento constante de ataques direcionados com precisão . Se eles são tão difíceis de executar, por que existem mais deles? E como são realizados os ataques direcionados modernos, por que os hackers passam de ataques em massa para ataques direcionados? Por que o número de incidentes desse tipo relacionados a grupos cibernéticos conhecidos não é tão grande quanto parece? Vamos acertar.
Imagine um grupo de hackers que decidiram atacar uma fábrica que produz palitos de dentes encaracolados para roubar o segredo de sua produção e vendê-lo aos concorrentes. Considere em que estágios esse ataque pode consistir e quais ferramentas serão necessárias para isso.
Etapa 1. Coleta de informações
Os hackers precisam coletar o máximo de informações possível sobre a planta, seu gerenciamento e funcionários, infraestrutura de rede, bem como sobre fornecedores e clientes. Para fazer isso, os atacantes examinam o site de fábrica e todos os endereços IP pertencentes à empresa usando um scanner de vulnerabilidade. Segundo fontes públicas, é compilada uma lista de funcionários, estudados seus perfis nas redes sociais e os sites que visitam constantemente. Com base nas informações coletadas, um plano de ataque é preparado e todos os utilitários e serviços necessários são selecionados.
Ferramentas: verificador de vulnerabilidades, serviços de registro de sites, e-mail roubado e credenciais do site.
Etapa 2. Organização dos pontos de entrada
Usando as informações coletadas, os hackers estão preparando uma infiltração na rede da empresa. A maneira mais fácil é phishing e-mails com anexos ou links maliciosos.
Os criminosos não precisam ter as habilidades de engenharia social ou o desenvolvimento de explorações da Web para diferentes versões do navegador - tudo o que você precisa está disponível na forma de serviços nos fóruns de hackers e na darknet. Por uma taxa relativamente pequena, esses especialistas preparam e-mails de phishing com base nos dados coletados. Conteúdo malicioso para sites também pode ser adquirido como um serviço de instalação de código mal-intencionado como serviço. Nesse caso, o cliente não precisa se aprofundar nos detalhes da implementação. O script detectará automaticamente o navegador e a plataforma da vítima e explorará, usará a versão apropriada da exploração para introduzir e penetrar no dispositivo.
Ferramentas: serviço de
“código malicioso como serviço” , um serviço para o desenvolvimento de emails maliciosos de phishing.
Etapa 3. Conectando-se ao Servidor de Gerenciamento
Depois de entrar na rede da fábrica, os hackers precisam de uma ponte para proteger e realizar outras ações. Pode ser um computador comprometido com um backdoor instalado, aceitando comandos do servidor de gerenciamento em uma hospedagem dedicada "à prova de balas" (ou "resistente a reclamações", também é "à prova de balas" ou BPHS - serviço de hospedagem à prova de balas). Outra maneira envolve organizar um servidor de gerenciamento diretamente dentro da infraestrutura da empresa, no nosso caso, a planta. Ao mesmo tempo, você não precisa ocultar o tráfego entre o malware instalado na rede e o servidor.
FONTE: TREND MICROOs mercados de crimes cibernéticos oferecem várias opções para esses servidores, fabricados na forma de produtos de software completos, para os quais é fornecido suporte técnico.
Ferramentas: hospedagem "tolerante a falhas" (à prova de balas), servidor C & C como serviço.
Etapa 4. Deslocamentos laterais
Está longe de ser fato que o acesso ao primeiro computador comprometido na infraestrutura da fábrica proporcionará uma oportunidade de obter informações sobre a produção de palitos de dentes encaracolados. Para alcançá-los, você precisa descobrir onde o segredo principal está armazenado e como alcançá-lo.
Este estágio é chamado de "movimento lateral" (movimento lateral). Como regra, os scripts são usados para conduzi-lo, automatizando a varredura de rede, obtendo privilégios administrativos, removendo despejos de bancos de dados e pesquisando documentos armazenados na rede. Os scripts podem usar os utilitários do sistema operacional ou fazer o download dos designs originais disponíveis por um custo adicional.
Ferramentas: scripts para varrer a rede, obter privilégios administrativos, drenar dados e pesquisar documentos.
Etapa 5. Suporte de ataque
Os tempos em que os hackers tinham que ficar se enterrando no terminal para acompanhar o ataque e constantemente pressionavam as teclas enquanto digitavam vários comandos são coisa do passado. Os cibercriminosos modernos usam interfaces da web, painéis e painéis convenientes para coordenar seu trabalho. Os estágios do ataque são exibidos na forma de gráficos visuais, o operador recebe notificações de problemas que surgem e várias soluções podem ser oferecidas para resolvê-los.
Ferramentas: painel de controle de ataque na web
Etapa 6. Roubo de informações
Assim que as informações necessárias forem encontradas, é necessário transferi-las da rede da fábrica para hackers o mais rápido e silenciosamente possível. A transmissão deve ser disfarçada como tráfego legítimo, para que o sistema DLP não note nada. Para isso, os hackers podem usar conexões seguras, criptografia, empacotamento e esteganografia.
Ferramentas: criptografadores, criptografadores, túneis VPN, túneis DNS.
Resultado do ataque
Nossos hackers hipotéticos penetraram facilmente na rede da fábrica, encontraram as informações necessárias para o cliente e roubaram. Tudo o que eles precisavam era de uma quantia relativamente pequena para o aluguel de ferramentas de hackers, que mais do que compensavam com a venda do segredo dos palitos de dente aos concorrentes.
Conclusões
Tudo o que você precisa para realizar ataques direcionados está facilmente disponível no darknet e nos fóruns de hackers. Qualquer pessoa pode comprar ou alugar ferramentas, e o nível de fornecimento é tão alto que os vendedores oferecem suporte técnico e reduzem constantemente os preços. Nessa situação, não faz sentido perder tempo tirando beija-flores do canhão e fazendo campanhas maliciosas em larga escala. Retornos significativamente maiores trarão vários ataques direcionados.
Os grupos de hackers de elite também acompanham as tendências e diversificam os riscos. Eles entendem que conduzir ataques é uma coisa perigosa, embora lucrativa. Durante a preparação dos ataques e nas pausas entre eles, também quero comer, o que significa que uma renda adicional não será prejudicial. Então, por que não deixar que outras pessoas usem seus designs para obter uma recompensa decente? Isso deu origem a uma enorme oferta de serviços de hackers para aluguel e, de acordo com as leis do mercado, levou a uma diminuição de seus custos.
FONTE: TREND MICROComo resultado, o limiar de entrada no segmento de ataques direcionados diminuiu e as empresas analíticas têm visto um aumento no seu número ano após ano.
Outra conseqüência da disponibilidade de ferramentas nos mercados de crimes cibernéticos é que agora os ataques dos grupos APT são muito mais difíceis de distinguir dos ataques realizados por criminosos que alugam suas ferramentas. Assim, a proteção contra o APT e os cibercriminosos desorganizados requer quase as mesmas medidas, embora sejam necessários mais recursos para combater o APT.
Como critério empírico pelo qual as ações dos hackers da APT são identificadas, há apenas a complexidade e a originalidade dos ataques, o uso de desenvolvimentos e explorações exclusivos que não estão disponíveis nos mercados subterrâneos e um nível mais alto de conhecimento das ferramentas.