Судя по всему, а их, к сожалению, много, хакер — в взлом-и-вход в вашу сеть-незаконно смысле, не в решать-супер-жесткие-проблемы-кодирования-причудливым-способом смысла – взломала райдшеринговую компанию Uber.
В соответствии с отчету от BBC, хакеру, как говорят, всего 18 лет, и, похоже, он совершил атаку по той же причине, что и британский альпинист. Джордж Мэллори продолжать попытки (и, в конце концов, умереть в попытке) покорить Эверест в 1920-х годах…
...«потому что он там».
Понятно, что Uber пока ничего не сказал [2022-09-16T15:45Z], кроме анонсировать на Twitter:
В настоящее время мы реагируем на инцидент кибербезопасности. Мы поддерживаем связь с правоохранительными органами и будем публиковать здесь дополнительные обновления по мере их появления.
- Uber Comms (@Uber_Comms) 16 сентября, 2022
Как много мы знаем на данный момент?
Если масштаб вторжения настолько широк, как предположил предполагаемый хакер, основываясь на скриншотах, которые мы видели в Твиттере, мы не удивлены, что Uber еще не предоставил никакой конкретной информации, особенно учитывая, что правоохранительные органы участвует в расследовании.
Что касается судебной экспертизы киберинцидентов, дьявол действительно в деталях.
Тем не менее общедоступные данные, предположительно обнародованные самим хакером и широко распространенные, позволяют предположить, что этот взлом имел две основные причины, которые мы опишем с помощью средневековой аналогии.
Злоумышленник:
- Обманули инсайдера, чтобы он пустил их во двор, или двор замка. Это область внутри самой внешней стены замка, но отдельно от наиболее защищенной части.
- Найдены оставленные без присмотра детали, объясняющие, как получить доступ к крепости, или дерн. Как следует из названия, держать является центральным оборонительным оплотом традиционного средневекового европейского замка.
Первоначальный взлом
Жаргонный термин, обозначающий прокладывание пути в эквивалент двора замка в 21 веке, звучит так: социальная инженерия.
Как мы все знаем, существуют много способов что злоумышленники со временем, терпением и даром болтливости могут убедить даже хорошо информированного и благонамеренного пользователя помочь им обойти процессы безопасности, которые должны их удерживать.
Автоматизированные или полуавтоматические приемы социальной инженерии включают фишинг-мошенничество с использованием электронной почты и мгновенных сообщений.
Эти мошеннические действия заманивают пользователей вводом своих данных для входа, часто включая коды 2FA, на поддельных веб-сайтах, которые выглядят как настоящие, но на самом деле предоставляют злоумышленникам необходимые коды доступа.
Для пользователя, который уже вошел в систему и, таким образом, временно аутентифицирован для своего текущего сеанса, злоумышленники могут попытаться получить так называемые файлы cookie или токены доступа на компьютере пользователя.
Например, внедряя вредоносное ПО, которое перехватывает существующие сеансы, злоумышленники могут маскироваться под законного пользователя достаточно долго, чтобы полностью завладеть им, не требуя каких-либо обычных учетных данных, которые сам пользователь требовал для входа в систему с нуля:
И если ничего не помогает — или, возможно, даже вместо того, чтобы использовать механические методы, описанные выше, — злоумышленники могут просто вызвать пользователя и очаровать его, или уговорить, или умолять, или подкупить, или уговорить, или вместо этого угрожать ему, в зависимости от того, как разговор разворачивается.
Квалифицированные социальные инженеры часто могут убедить благонамеренных пользователей не только открыть дверь в первую очередь, но и держать ее открытой, чтобы злоумышленникам было еще легче проникнуть внутрь, и, возможно, даже нести сумки злоумышленника и показать им, куда идти дальше.
Именно так был осуществлен печально известный взлом Twitter в 2020 году, когда 45 учетных записей Twitter с голубым флагом, в том числе учетные записи Билла Гейтса, Илона Маска и Apple, были захвачены и использованы для продвижения мошенничества с криптовалютой.
Этот взлом был не столько техническим, сколько культурным, и осуществлялся через сотрудников службы поддержки, которые так старались поступать правильно, что в итоге сделали прямо противоположное:
Полный компромисс
Жаргонный термин, эквивалентный проникновению в замок со двора, звучит так: повышение привилегий.
Как правило, злоумышленники преднамеренно ищут и используют известные уязвимости безопасности внутри, даже если они не могут найти способ использовать их извне, потому что защитники позаботились о защите от них на сетевом периметре.
Например, в обзоре, который мы недавно опубликовали о вторжениях, которые Софос быстрого реагирования Команда провела расследование в 2021 году и обнаружила, что только в 15% первоначальных вторжений, когда злоумышленники преодолевают внешнюю стену и проникают в подъезд, преступники смогли проникнуть внутрь с помощью RDP.
(RDP — это сокращение от протокол удаленного рабочего стола, и это широко используемый компонент Windows, который позволяет пользователю X удаленно работать на компьютере Y, где Y часто является сервером, у которого нет собственного экрана и клавиатуры, и который действительно может находиться на трех этажах под землей в серверной комнате. или по всему миру в облачном центре обработки данных.)
Но в 80% атак злоумышленники использовали RDP, попав внутрь, чтобы почти по своему желанию бродить по сети:
Не менее тревожно и то, что когда программа-вымогатель не была задействована (поскольку атака программы-вымогателя делает очевидным, что вас взломали!), среднее среднее время, в течение которого преступники бродить по сети незаметно составил 34 дня – больше календарного месяца:
Инцидент с Убером
Мы еще не уверены, как осуществлялась первоначальная социальная инженерия (сокращенно до SE на хакерском жаргоне), но исследователь угроз Билл Демиркапи написал скриншот это, кажется, показывает (с отредактированными точными деталями), как было достигнуто повышение привилегий.
Судя по всему, даже несмотря на то, что хакер начинал как обычный пользователь, а потому имел доступ только к некоторым частям сети…
…небольшое блуждание и отслеживание незащищенных общих ресурсов в сети выявило открытый сетевой каталог, который содержал кучу сценариев PowerShell…
…который включал в себя жестко закодированные учетные данные безопасности для доступа администратора к продукту, известному на жаргоне как PAM, сокращение от Менеджер привилегированного доступа.
Как следует из названия, PAM — это система, используемая для управления учетными данными и контроля доступа ко всем (или, по крайней мере, многим) другим продуктам и услугам, используемым организацией.
Иронично говоря, злоумышленник, который, вероятно, начал со скромной и, возможно, очень ограниченной учетной записи пользователя, наткнулся на ueber-ueber-пароль, который разблокировал многие из ueber-паролей глобальных ИТ-операций Uber.
Мы не уверены, насколько далеко хакер смог проникнуть после того, как он взломал базу данных PAM, но сообщения в Твиттере из многочисленных источников предполагают, что злоумышленник смог проникнуть в большую часть ИТ-инфраструктуры Uber.
Хакер якобы сбросил данные, чтобы показать, что он получил доступ как минимум к следующим бизнес-системам: рабочие пространства Slack; Программное обеспечение Uber для защиты от угроз (которое до сих пор небрежно называют антивирусное); консоль AWS; информация о командировках и расходах компании (включая имена сотрудников); консоль виртуального сервера vSphere; список рабочих мест Google; и даже собственная служба поиска ошибок Uber.
(Очевидно, и по иронии судьбы, служба по поиску ошибок была местом, где хакер громко хвастался заглавными буквами, как показано в заголовке, что UBER БЫЛ ВЗЛОМАН.)
Что делать?
В этом случае легко указать пальцем на Uber и намекнуть, что это нарушение следует считать гораздо более серьезным, чем большинство, просто из-за громкого и очень публичного характера всего этого.
Но, к сожалению, правда заключается в том, что многие, если не большинство, современных кибератак, как оказалось, были связаны с получением злоумышленниками именно такой степени доступа…
…или, по крайней мере, иметь такой уровень доступа, даже если они в конечном счете не шарили везде, где только могли.
В конце концов, многие атаки программ-вымогателей в наши дни представляют собой не начало, а конец вторжения, которое, вероятно, длилось несколько дней или недель, а могло длиться и месяцы, за это время злоумышленники, вероятно, успели зарекомендовать себя как равный статус с самым старшим сисадмином в компании, которую они взломали.
Вот почему атаки программ-вымогателей часто бывают такими разрушительными: к моменту атаки остается несколько ноутбуков, серверов или служб, к которым преступники не смогли получить доступ, поэтому они почти буквально могут зашифровать все.
Другими словами, то, что, похоже, произошло с Uber в этом случае, не является новой или уникальной историей утечки данных.
Итак, вот несколько наводящих на размышления советов, которые вы можете использовать в качестве отправной точки для повышения общей безопасности в вашей собственной сети:
- Менеджеры паролей и двухфакторная аутентификация — не панацея. Использование хорошо подобранных паролей не позволяет мошенникам проникнуть внутрь, а безопасность 2FA, основанная на одноразовых кодах или аппаратных токенах доступа (обычно это небольшие USB- или NFC-ключи, которые пользователь должен носить с собой), усложняет, а часто и значительно усложняет задачу. злоумышленники. Но против сегодняшнего т.н. атаки людей, когда «активные злоумышленники» лично и непосредственно участвуют во вторжении, вам необходимо помочь своим пользователям изменить свое общее онлайн-поведение, чтобы с меньшей вероятностью их уговорили уклониться от процедур, независимо от того, насколько всеобъемлющими и сложными могут быть эти процедуры.
- Безопасность должна быть везде в сети, а не только на границе. В наши дни очень многим пользователям нужен доступ хотя бы к какой-то части вашей сети — сотрудникам, подрядчикам, временному персоналу, охранникам, поставщикам, партнерам, уборщикам, клиентам и многим другим. Если параметр безопасности стоит ужесточить на том, что похоже на периметр вашей сети, то его почти наверняка нужно ужесточить и «внутри». Особенно это касается патчей. Как мы любим говорить о Naked Security, «Исправляйте рано, исправляйте часто, исправляйте везде».
- Регулярно измеряйте и тестируйте свою кибербезопасность. Никогда не думайте, что меры предосторожности, которые, как вы думали, вы применяете, действительно работают. Не предполагайте; всегда проверяй. Кроме того, помните, что, поскольку постоянно появляются новые инструменты, методы и процедуры кибератак, ваши меры предосторожности необходимо регулярно пересматривать. Простыми словами, «Кибербезопасность — это путешествие, а не пункт назначения».
- Подумайте о том, чтобы получить помощь специалиста. Подписка на Управляемое обнаружение и ответ (MDR) не является признанием неудачи или признаком того, что вы сами не разбираетесь в кибербезопасности. MDR не снимает с вас ответственности — это просто способ иметь под рукой специальных экспертов, когда они вам действительно нужны. MDR также означает, что в случае атаки вашим сотрудникам не придется бросать все, что они делают в данный момент (включая регулярные задачи, жизненно важные для непрерывности вашего бизнеса), и, таким образом, потенциально оставлять открытыми другие дыры в безопасности.
- Используйте подход с нулевым доверием. Нулевое доверие буквально не означает, что вы никогда никому не доверяете что-либо делать. Это метафора для «не делать предположений» и «никогда не разрешать никому делать больше, чем ему строго необходимо». Доступ к сети с нулевым доверием (ZTNA) не работают как традиционные инструменты сетевой безопасности, такие как VPN. VPN обычно обеспечивает безопасный способ для кого-то снаружи получить общий доступ к сети, после чего они часто пользуются гораздо большей свободой, чем им действительно нужно, позволяя им бродить, шпионить и ковыряться в поисках ключей к остальной части замка. Доступ с нулевым доверием использует гораздо более детализированный подход, поэтому, если все, что вам действительно нужно сделать, это просмотреть последний внутренний прайс-лист, вы получите именно этот доступ. Вы также не получите права бродить по форумам поддержки, просматривать отчеты о продажах или совать свой нос в базу данных исходного кода.
- Настройте горячую линию по кибербезопасности для сотрудников, если у вас ее еще нет. Сделайте так, чтобы всем было легко сообщать о проблемах кибербезопасности. Будь то подозрительный телефонный звонок, маловероятное вложение электронной почты или даже просто файл, который, вероятно, не должен находиться в сети, должен иметь единую точку контакта (например,
securityreport@yourbiz.example), что позволяет вашим коллегам быстро и легко вызвать его. - Никогда не отказывайтесь от людей. Одни только технологии не могут решить все ваши проблемы с кибербезопасностью. Если вы относитесь к своим сотрудникам с уважением и придерживаетесь подхода к кибербезопасности, «Не бывает глупых вопросов, есть глупый ответ», то вы сможете превратить всех в организации в глаза и уши для вашей службы безопасности.
Почему бы не присоединиться к нам с 26 по 29 сентября 2022 г. на выставке этого года? Неделя безопасности Sophos SOS:
Четыре коротких, но увлекательных беседы с мировыми экспертами.
Узнайте о защите, обнаружении и реагировании,
и как создать собственную успешную команду SecOps:
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Данные нарушения
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- взлом
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- политикой конфиденциальности.
- Uber
- VPN
- безопасности веб-сайтов
- зефирнет
