CyberArk. Η προνομιακή πρόσβαση, το κλειδί για τις Κινέζικες επιθέσεις ενάντια σε εταιρείες τηλεπικοινωνιών
Η πρόσφατη επίθεση της Κίνας σε παρόχους τηλεπικοινωνιών –που ονομάστηκε Επιχείρηση Soft Cell- αποτελεί μέρος μίας ευρύτερης εκστρατείας κατασκοπείας που εκμεταλλεύεται την προνομιακή πρόσβαση και τους προνομιούχους λογαριασμούς.
Η κλοπή ή παραβίαση διαπιστευτηρίων παραμένει το όπλο της επιλογής για τους περισσότερους επιτιθέμενους και ένα κλασικό μοτίβο κορυφαίας επίθεσης.
Πρωτοσυναντήσαμε αυτό το μοτίβο όταν ο Edward Snowden αποκάλυψε την Επιχείρηση Socialist, μία εκστρατεία της CIA και της Βρετανικής υπηρεσίας αντικατασκοπείας (Βρετανικό Επιτελείο Κυβερνητικών Επικοινωνιών, GCHQ) που σύμφωνα με αναφορές επιχείρησε να καταλάβει ένα από τα πιο διαδεδομένα τηλεπικοινωνιακά δίκτυα στη χώρα – την Βελγική εταιρεία τηλεπικοινωνιών Belgacom.
Η πρόσβαση στο δίκτυο της Belgacom, θα επέτρεπε στις υπηρεσίες πληροφοριών και αντικατασκοπείας να αποκτήσουν τα απαραίτητα μεταδεδομένα για την παρακολούθηση συγκεκριμένων ατόμων-στόχων. Εκτός από το γεγονός ότι η επίθεση προέρχεται από διαφορετική γωνιά του ρινγκ, την Κινέζικη APT 10 και όχι την GCHQ, οι δύο επιθέσεις μεταξύ τους είναι παρόμοιες.
Η Επιχείρηση Socialist, όπως και η πρόσφατη Επιχείρηση Soft Cell, εκμεταλλεύτηκαν προνομιούχα πρόσβαση και προνομιούχους λογαριασμούς για να αποκτηθεί ο έλεγχος συστημάτων τηλεπικοινωνιών και να παραμείνουν εντός των συστημάτων χωρίς να γίνουν αντιληπτές. Καμία από παραπάνω επιθέσεις δεν χρειάστηκε να εκμεταλλευτεί ευπάθειες ή να χρησιμοποιήσει εξελιγμένα ή επιθετικά εργαλεία που κοστίζουν αρκετά για να αναπτυχθούν. Και στις δύο περιπτώσεις, οι ομάδες επίθεσης παραβίασαν προνομιούχους λογαριασμούς των οργανισμών – δηλαδή λογαριασμούς διαχειριστών τομέα (domain admin accounts). Oi συγκεκριμένοι λογαριασμοί έχουν δικαιώματα διαχειριστή σε όλο το εύρος του τομέα, και επομένως είναι εξαιρετικά χρήσιμοι σε έναν εισβολέα ή επιτιθέμενο.
Οι λογαριασμοί domain admin καθώς και άλλοι γνωστοί προνομιούχοι ή προνομιακοί λογαριασμοί συνήθως ελέγχονται και παρακολουθούνται στενά. Ωστόσο εξακολουθούν να υπάρχουν τρωτά σημεία που μπορεί να εκμεταλλευτεί κάποιος. Οι επιτιθέμενοι ενδεχομένως να «έβαλαν στο μάτι» του λεγόμενους «shadow admin» λογαριασμούς, που είναι προνομιούχοι λογαριασμοί αλλά δεν είναι μέλη της προνομιούχας ομάδας του Active Directory, οπότε είχαν την δυνατότητα να μην γίνουν αντιληπτοί αφού πολλές φορές παραβλέπονται από τις ομάδες ασφαλείας IT.
Τέτοιοι τύποι λογαριασμών έχουν ειδικά προνόμια που επιτρέπουν σε έναν επιτιθέμενο να αποκτήσει τον πλήρη έλεγχο του δικτύου χωρίς να είναι μέλος κάποιας προνομιούχας ομάδας. Κατά συνέπεια, η επίθεση αφήνει ελάχιστα ίχνη, ενώ παρέχει στον επιτιθέμενο αρκετή ευελιξία. Στην Επιχείρηση Soft Cell οι επιτιθέμενοι χρησιμοποίησαν μία υπηρεσία VPN για να αποκτήσουν κρυφή πρόσβαση στο δίκτυο – ενδεχομένως βασιζόμενοι σε shadow admin λογαριασμούς.
Η χρήση λογαριασμών shadow admin για να αποκτήσουν πρόσβαση δεν είναι το μόνο «short cut» που ακολούθησαν οι επιτιθέμενοι στις Επιχειρήσεις Soft Cell και Socialist. Και στις δύο περιπτώσεις, οι επιθέσεις στις εταιρείες τηλεπικοινωνιών είχαν στόχο την αλυσίδα εφοδιασμού. Όπως και oi εγκαταστάσεις κατασκευής hardware, οι εταιρείες λογισμικού που παρέχουν αναβαθμίσεις προϊόντων ή backbone servers κίνησης Internet είναι ευάλωτες σε επιθέσεις στην αλυσίδα εφοδιασμού.
Αυτή η τακτική έγινε ιδιαίτερα συνηθισμένη, με πολλούς επιτιθέμενους να ανακατευθύνουν τις προσπάθειες τους από τις καλά φυλαγμένες εταιρείες στις λιγότερο ασφαλείς αλυσίδες εφοδιασμού. Οι επιτιθέμενοι που ήθελαν οικεία και επίμονη πρόσβαση στα δεδομένα μίας εταιρείας και στα περιουσιακά της στοιχεία –π.χ σε ευρεσιτεχνίες ή πνευματική ιδιοκτησία- μπορούν να αντικαταστήσουν την αποστολή μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing) σε τεράστιους αριθμούς υπαλλήλων παγιδεύοντας το hardware και προχωρώντας σε τηλεφωνικές υποκλοπές. Οι επιτιθέμενοι που επιθυμούν πρόσβαση σε μεταδεδομένα, τοποθεσία και κλήσεις ενός ατόμου για μεγαλύτερο χρονικό διάστημα, μπορούν αντί να προχωρήσουν στην έκθεση μίας δαπανηρής ευπάθειας του WhatsApp να προχωρήσουν στην παραβίαση του τηλεφώνου ενός συγκεκριμένου ατόμου.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.