Od wielu lat analizujemy wszelkie dostępne opisy ciekawych incydentów bezpieczeństwa i rzadko coś nas zaskakuje pomysłowością po stronie atakujących. Tak jest jednak tym razem – ich pomysł naprawdę jest ciekawy.

Firmy zajmujące się zawodowo bezpieczeństwem z zawodowego obowiązku musza być bardziej wyczulone na różnego rodzaju ataki – bo i na nie są częściej narażone. Nie wszyscy przyznają się do bycia ofiarami – czasem dowiadujemy się o tym z relacji włamywaczy (jak np. w przypadku Hacking Teamu), czasem poszkodowani stają na wysokości zadania, jak chociażby Kaspersky. Tym razem swoją historią postanowiła podzielić się firma Fox-IT, świadcząca wiele profesjonalnych usług z obszaru bezpieczeństwa – w tym także analiz powłamaniowych. Opis tego, co się im przydarzyło, jest ciekawą lekturą.

Mistrzowski MiTM

19 września 2017 tajemniczy atakujący przeprowadził bardzo sprytny atak na firmowy portal przeznaczony dla klientów Fox-IT. Atakującemu udało się przejąć kontrolę nad serwisem dla klientów firmy i to w taki sposób, że mógł podsłuchiwać hasła klientów i wykradać ich dokumenty – a to wszystko mimo dość rozwiniętego systemu firmowych zabezpieczeń. Wszystko zaczęło się od trzy dni wcześniej, kiedy to firma zaobserwowała serię skanów swojej infrastruktury. Nie uznała jednak tego wydarzenia za krytyczne – ot, kolejny dzień jak co dzień. Trzy dni później, krótko po północy, atakujący uzyskał dostęp do wpisów DNS głównej domeny Fox-IT.com, utrzymywanych przez firmę trzecią. Fox-IT przyznaje, że nie wie, w jaki sposób uzyskano dostęp do jego konta – hasło było skomplikowane, choć nie było zmieniane od roku 2013 a samo logowanie nie wymagało dwuskładnikowego uwierzytelnienia.

Atakujący zaczął od bardzo krótkiego przekierowania serwera obsługującego firmową pocztę elektroniczną. Ta faza ataku trwała zaledwie 10 minut, po których przywrócono oryginalne wpisy. W tym czasie jednak atakujący przechwycił korespondencję od firmy wystawiającej certyfikaty SSL, która pozwoliła mu podszyć się pod Fox-IT i uzyskać prawidłowy certyfikat dla jej portalu klienckiego. Kilka minut później portal dla klientów (clientportal.fox-it.com) został przejęty, także przez zmiany we wpisach serwera DNS, przekierowując ruch na zupełnie inny serwer. Maszyna przygotowana przez przestępców działała jako serwer proxy – wszystkie zapytania klientów podsłuchiwała i przesyłała do serwera właściwego. Atak zaczął się o 2:21, a o 7:25 został wykryty przez pracowników firmy. Prawidłowe rekordy DNS zostały przywrócone, jednak ze względu na ich propagację problem nie został natychmiastowo usunięty. By ograniczyć skalę naruszenia, o 12:25 firma wyłączyła mechanizmy dwuskładnikowego uwierzytelnienia klientów, by uniemożliwić im logowanie do serwisu przestępców.

Dzięki licznym sensorom w sieci firmowej i nagrywaniu sporych porcji ruchu Fox-IT mógł szybko określić skalę problemu. Przestępcy wykradli jedynie hasła kilku klientów (i na dokładkę bez dostępu do kodów jednorazowych nie mogli ich użyć). Weszli także w posiadanie trzech poufnych dokumentów, do których nie powinni mieć dostępu. Wykradli także nazwy uzytkowników portalu klienckiego oraz część ich adresów email.

Rekomendacje

Fox-IT podzielił się także swoimi wnioskami i zaleceniami po analizie incydentu. Obejmują one:

• Korzystanie z usług dostawcy DNS, który albo wymaga manualnego procesu zmiany wpisów (jeśli nie są te zmiany zbyt częste) abo obsługuje 2FA (jeśli zmiany są regularne)
• Monitoring logów certificate transparency by zauważyć, gdy komuś uda się uzyskać certyfikat do jednej z naszych domen
•  Wymuszenie okresowej zmiany haseł systemowych (choć trudno tutaj wskazać dlaczego ma ona poprawić bezpieczeństwo i nie do końca się z tym zgadzamy)
• Prowadzenie pełnego nagrywania ruchu w kluczowych punktach infrastruktury (np. DMZ i punkty styku)
• Przygotowanie kierownictwa na podjęcie decyzji o świadomym utrzymywaniu zagrożonych systemów w trakcie ataku, by lepiej móc zrozumieć działanie atakujących (natychmiastowe wyłączenie systemów ogranicza straty, ale często uniemożliwia pełne zrozumienie skali ataku i sposobu działania napastników)
• Współprace z organami ścigania od samego początku incydentu (tu nasza uwaga – o ile organy są na taką współpracę gotowe)

Podsumowanie

Fox-IT należy pogratulować ujawnienia szczegółów incydentu i przyznania się do popełnionych błędów. Dzięki takim publikacjom cała branża może nauczyć się czegoś nowego. Pozostaje nam mieć nadzieję, że inne ofiary podobnych incydentów pójdą w ich ślady. Firmom, które martwią się o bezpieczeństwo swoich rekordów DNS, polecamy ten wpis omawiający możliwe rozwiązania poprawiające komfort snu obrońców.