Μια τεράστια αλυσιδωτή αντίδραση, που έλαβε χώρα την Παρασκευή, μόλυνε εκατοντάδες και πιθανόν χιλιάδες επιχειρήσεις παγκοσμίως με κακόβουλο λογισμικό, στις οποίες συμπεριλαμβάνεται ένας σιδηροδρομικός οργανισμός, μια αλυσίδα φαρμακείων και εκατοντάδες καταστήματα, σούπερ μάρκετ της Σουηδικής εταιρείας, CoopΜια τεράστια αλυσιδωτή αντίδραση, που έλαβε χώρα την Παρασκευή, μόλυνε εκατοντάδες και πιθανόν χιλιάδες επιχειρήσεις παγκοσμίως με κακόβουλο λογισμικό, στις οποίες συμπεριλαμβάνεται ένας σιδηροδρομικός οργανισμός, μια αλυσίδα φαρμακείων και εκατοντάδες καταστήματα, σούπερ μάρκετ της Σουηδικής εταιρείας, Coop. Υπεύθυνη για αυτή την επίθεση – ορόσημο είναι η διαβόητη ρώσικη εγκληματική οργάνωση REvil, η οποία χρησιμοποίησε έναν συνδυασμό κακόβουλου λογισμικού και μια επονομαζόμενης επίθεσης στην εφοδιαστική αλυσίδα. Τώρα, γίνεται περισσότερο σαφές πώς ακριβώς το κατάφεραν.

Τα πρώτα στοιχεία για την επίθεση έγιναν γνωστά το απόγευμα της Παρασκευής. Οι επιτεθέντες βρήκαν ένα τρωτό σημείο στον εκσυγχρονισμένο μηχανισμό, που χρησιμοποιείται από τις τεχνολογικές πληροφοριακές υπηρεσίες της εταιρίας Kaseya, και έτσι κατάφεραν να εξαπλώσουν το κακόβουλο λογισμικό σε αναρίθμητο αριθμό πελατών της. Η εταιρία Kaseya αναπτύσσει λογισμικά που χρησιμοποιούνται στην διαχείριση επιχειρησιακών δικτύων και συσκευών και πουλάει αυτά τα εργαλεία σε άλλες επιχειρήσεις, οι οποίες ονομάζονται διαχειριζόμενοι πάροχοι υπηρεσιών. Οι ΔΠΥ, με τη σειρά τους, συνάπτουν συμβάσεις με μικρές και μεσαίες επιχειρήσεις ή οποιοδήποτε ίδρυμα που δεν θέλει να διαχειριστεί την υποδομή πληροφορικής του. Με τη διασπορά του κακόβουλου λογισμικού, χρησιμοποιώντας τον αξιόπιστο μηχανισμό διανομής της Kaseya, οι εισβολείς μπόρεσαν να μολύνουν την υποδομή Διαχειριζόμενων Παροχών Υπηρεσιών της Kaseya και στη συνέχεια παρακολουθήσουν ένα ντόμινο επιθέσεων, καθώς οι συγκεκριμένοι ΔΠΥ διένειμαν ακούσια κακόβουλο λογισμικό στους πελάτες τους.

Οι ερευνητές που είναι υπεύθυνοι για την ασφάλεια της Kaseya, συνέλεξαν την Κυριακή κρίσιμα στοιχεία για το πως η REvil απέκτησε πρόσβαση και παράλληλα εκμεταλλεύτηκε την αρχική της βάση.

«Αυτό που είναι ενδιαφέρον και παράλληλα ανησυχητικό είναι ότι, η REvil χρησιμοποίησε αξιόπιστες εφαρμογές σε κάθε περίπτωση για να έχει πρόσβαση στους στόχους. Συνήθως οι φορείς κακόβουλου λογισμικού χρειάζονται πολλαπλά τρωτά σημεία σε διαφορετικά στάδια για να το καταφέρουν ή χρόνο στο δίκτυο για να ανακαλύψουν τους κωδικούς πρόσβασης του διαχειριστή », λέει ο ανώτερος ερευνητής απειλών της Sophos Sean Gallagher. Η Sophos δημοσίευσε νέα ευρήματα σχετικά με την επίθεση την Κυριακή. “Αυτό είναι ένα βήμα παραπέρα για να δούμε πώς μοιάζουν συνήθως οι επιθέσεις κακόβουλου λογισμικού.”

Άσκηση εμπιστοσύνης

Η επίθεση βασίστηκε στην εκμετάλλευση ενός αρχικού τρωτού σημείου στο σύστημα αυτόματης ενημέρωσης της Kaseya για το σύστημα απομακρυσμένης παρακολούθησης και διαχείρισης τους, γνωστό ως VSA. Δεν είναι ακόμη σαφές εάν οι εισβολείς εκμεταλλεύτηκαν την ευπάθεια σε όλη την αλυσίδα φτάνοντας μέχρι τα κεντρικά συστήματα της Kaseya. Αυτό που φαίνεται πιο πιθανό είναι ότι εκμεταλλεύτηκαν μεμονωμένους διακομιστές VSA που διαχειρίζονται οι ΔΠΥ και προώθησαν τις κακόβουλες «ενημερώσεις» από εκεί στους πελάτες των ΔΠΥ. Η REvil φαίνεται ότι έχει προσαρμόσει τις απαιτήσεις των λύτρων – και ακόμη και μερικές από τις τεχνικές επίθεσης – βάσει του στόχου, αντί να ακολουθεί μια μεμονωμένη προσέγγιση.

Ο χρόνος της επίθεσης ήταν ιδιαίτερα ατυχής επειδή οι ερευνητές ασφαλείας είχαν ήδη εντοπίσει την υποκείμενη ευπάθεια στο σύστημα ενημέρωσης της Kaseya. Ο Wietse Boonstra του Ολλανδικού Ινστιτούτου για την Αποκάλυψη Ευπάθειας συνεργάστηκε με την Kaseya για να αναπτύξει και να δοκιμάσει διορθώσεις για το ελάττωμα. Οι διορθώσεις ήταν σχεδόν έτοιμες να κυκλοφορήσουν, αλλά δεν είχαν ακόμη αναπτυχθεί, μέχρι τη στιγμή που η REvil χτύπησε.

«Κάναμε ότι καλύτερο μπορούσαμε όπως και η Kaseya έκανε το καλύτερο δυνατό», λέει ο Victor Gevers, ερευνητής στο Ολλανδικό Ινστιτούτο για την Αποκάλυψη Ευπάθειας. Νομίζω ότι είναι ένα ελάττωμα, το οποίο είναι αρκετά εύκολο να εντοπιστεί. Αυτός είναι πιθανότατα ο λόγος για τον οποίο οι επιτιθέμενοι κέρδισαν το τελικό σπριντ.’’

“Οι εισβολείς εκμεταλλεύτηκαν την ευπάθεια για να διανείμουν κακόβουλο φορτίο σε ευάλωτους διακομιστές VSA. Αλλά αυτό σημαίνει ότι έπληξαν επίσης, κατ’ επέκταση, τις εφαρμογές VSA που εκτελούνται στις συσκευές Windows των πελατών αυτών των ΔΠΥ. Οι «φάκελοι εργασίας» της VSA λειτουργούν συνήθως ως ένας αξιόπιστος περιφραγμένος κήπος μέσα σε αυτά τα μηχανήματα, πράγμα που σημαίνει ότι οι σαρωτές κακόβουλου λογισμικού και άλλα εργαλεία ασφαλείας είχαν οδηγίες να αγνοήσουν ό,τι κάνουν — παρέχοντας πολύτιμη κάλυψη στους χάκερ που τα είχαν θέσει σε κίνδυνο.

Μόλις τοποθετήθηκε, το κακόβουλο λογισμικό έδωσε μια σειρά εντολών για να μπορέσει να κρύψει την κακόβουλη δραστηριότητα από το Microsoft Defender, το εργαλείο σάρωσης κακόβουλου λογισμικού που είναι ενσωματωμένο στα Windows. Τέλος, το κακόβουλο λογισμικό ανέθεσε στη διαδικασία ενημέρωσης της Kesaya να εκτελεί μια νόμιμη αλλά ξεπερασμένη και ληγμένη έκδοση της Υπηρεσίας της Microsoft ενάντια σε κακόβουλα λογισμικά, που είναι ένα στοιχείο των Windows Defender. Οι επιτιθέμενοι μπορούν να χειριστούν αυτήν την παρωχημένη έκδοση για να φορτώσουν με πλάγιο τρόπο, κακόβουλο κώδικα. Από εκεί, το κακόβουλο λογισμικό άρχισε να κρυπτογραφεί αρχεία στον υπολογιστή του θύματος. Προχώρησε τη διαδικασία παρακάτω δυσκολεύοντας την ανάκτηση των αντιγράφων ασφαλείας των θυμάτων.

Ο Gevers λέει ότι τις τελευταίες δύο ημέρες ο αριθμός των διακομιστών VSA που είναι προσβάσιμοι στο ανοιχτό Διαδίκτυο έχει μειωθεί από 2.200 σε λιγότερους από 140, καθώς οι ΔΠΥ προσπαθούν να ακολουθήσουν τις συμβουλές της Kesaya και να τους βγάλουν εκτός σύνδεσης.

«Αν και ο βαθμός του συγκεκριμένου περιστατικού καθιστά δύσκολη την ανταπόκριση σε κάθε θύμα ξεχωριστά, όλες οι πληροφορίες που λαμβάνουμε θα είναι χρήσιμες για την αντιμετώπιση αυτής της απειλής», δήλωσε το FBI σε ανακοίνωση του την Κυριακή.

Χωρίς τέλος

Η Kaseya κυκλοφορεί τακτικά ενημερώσεις. «Οι προσπάθειές μας έχουν μετατοπιστεί από την ανάλυση των βασικών αιτιών και τον μετριασμό της ευπάθειας στην έναρξη της εκτέλεσης του σχεδίου αποκατάστασης των υπηρεσιών», δήλωσε η εταιρεία το απόγευμα της Κυριακής. Η εταιρεία δεν έχει ακόμη επαναφέρει την υπηρεσία της που βασίζεται στο cloud – φαινομενικά ανεπηρέαστη από την επίθεση – από το απόγευμα της Κυριακής.

Οι οργανισμοί συχνά συνάπτουν συμβάσεις με ΔΠΥ, επειδή γνωρίζουν ότι δεν διαθέτουν την πείρα ή τους πόρους για να επιβλέπουν τα δικά τους δίκτυα και τις υποδομές. Ο κίνδυνος, ωστόσο, είναι ότι οι ίδιοι οι αξιόπιστοι πάροχοι υπηρεσιών θα μπορούσαν τότε να στοχευθούν και να θέσουν σε κίνδυνο όλους τους πελάτες τους μελλοντικά.

«Για μικρότερους ή οργανισμούς με ανεπαρκείς πόρους, μερικές φορές έχει νόημα να φορτώνεται το βαρύ φορτίο στους ειδικούς», λέει ο Kenneth White, ιδρυτής του Open Crypto Audit Project. “Αλλά αυτή η εμπιστοσύνη συνεπάγεται την υποχρέωση να έχεις την πιο αυστηρή άμυνα και ανίχνευση από τον πάροχο υπηρεσιών, επειδή ελέγχουν τα κοσμήματα του στέμματος, κυριολεκτικά τα κλειδιά του βασιλείου. Είναι μαγευτικό, πραγματικά.”

Ως προς το γιατί οι επιτιθέμενοι της REvil συνέχιζαν να αυξάνουν την τακτική τους με τόσο δραματικό τρόπο αφού έριξαν τα φώτα πάνω τους με τα πρόσφατα επεισόδια υψηλού προφίλ όπως η επίθεση της παγκόσμιας αλυσίδας προμήθειας κρέατος JBS, οι ερευνητές λένε ότι είναι σημαντικό να θυμόμαστε το επιχειρηματικό μοντέλο της REvil. Οι φορείς δεν δουλεύουν μόνοι τους, αλλά αδειοδοτούν το κακόβουλο λογισμικό τους σε ένα δίκτυο συνεργατών που εκτελούν τις δικές τους επιχειρήσεις και, στη συνέχεια, δίνουν στη REvil μια περικοπή.

«Είναι λάθος να το σκεφτόμαστε μόνο από την μεριά της REvil – είναι ένας συνεργάτης με τον οποίο η βασική ομάδα της REvil θα έχει περιορισμένο έλεγχο», λέει ο Brett Callow, αναλυτής απειλών στην εταιρεία προστασίας από ιούς Emsisoft. Δεν είναι αισιόδοξος ότι οι κλιμακώσεις θα σταματήσουν σύντομα. “Πόσα χρήματα είναι αρκετά για να πεις φτάνει;”

Πηγή: https://www.csii.gr/apati-pos-i-revil-chtypise-chiliades-epicheiriseis-taytochrona-me-kakovoylo-logismiko/