Jak hackeři napadají firmy skrze jejich IT dodavatele
IT outsourcingové firmy, dodavatelé informačních systémů, poskytovatelé cloudových služeb či externí konzultanti běžně mívají vzdálený a neomezený přístup ke všem svým zákazníkům. Každý takový dodavatel má často desítky až tisíce zákazníků. Pokud jej hackeři prolomí, dostanou se skrze něj ke všem jeho zákazníkům. Proto jsou útoky skrze dodavatele pro hackery výhodné.
Hackeři jsou chytří a tohle všechno dávno vědí. Je pro ně snazší hacknout jednoho dodavatel a tím se dostat ke stovkám jeho zákazníků, než hackovat každého zákazníka zvlášť. Hacknutí dodavatele nebývá zpravidla stokrát těžší než hacknout běžnou firmu. Občas je to paradoxně lehčí, protože u některých dodavatelů platí rčení „kovářova kobyla chodí bosa“.
Útoky skrze dodavatele nejsou novinkou (obecně se jim říká „útoky v rámci/na dodavatelské řetězce“), avšak za poslední rok nabraly na popularitě. Nejspíše za to může zvětšující se „byznys“ s ransomware a větší zkušenost „kyberkriminálníků“.
Útoky skrze dodavatele končívají nasazením ransomware do sítí jejich zákazníků. Avšak proti běžnému ransomware útoku, který zasáhne běžnou firmu, mají zajímavá a nemilá specifika:
- Hackeři napadají všechny zákazníky dodavatele současně. Dodavatelé tak v danou chvíli nemají kapacitu zachraňovat všechny zákazníky najednou a musí si vybírat, kterým pomohou hned a kteří budou muset počkat.
- Chtějí vyjednávat pouze s dodavatelem (napadenou firmou, nikoliv s jejich zákazníky). Pokud to dodavatel zabalí a zákazníci přijdou zároveň o zálohy, je pravděpodobné, že se již k datům nedostanou.
- I když bude mít dodavatel veškeré zálohy svých dat i dat zákazníků, zabere mu týdny, než vše obnoví. Což všem postiženým stranám způsobí obrovské ztráty (jednotky až stovky milionů korun). Vznikne tedy obrovský tlak zaplatit „pouhých“ pár milionů/stovek tisíc výkupného. Což ovšem celý „byznys“ s ransomware přiživí. 😒
Koho všeho se týkají útoky v rámci dodavatelského řetězce?
Jednoduše všech, protože každá firma má nějakého svého IT dodavatele. Nejtypičtějším příkladem firmy, která má přístup k jiným firmám, jsou dodavatelé IT služeb. To je například i naše firma PATRON-IT. My máme téměř neomezený přístup k více jak stovce našich zákazníků. Nicméně je i řada dalších dodavatelů, kteří mají vliv na bezpečnost odběratelů, např.:
- Dodavatelé informačních systémů, kteří se k zákazníkovi připojují na server, kde spravují dodávaný systém.
- Poskytovatelé internetového připojení, skrze které tečou data a umožňují útočníkům odposlechnout data nebo provést MITM (Man in the middle).
- Vývojáři programů/cloudových služeb, kteří distribuují svým zákazníkům automatické aktualizace desktopových/mobilních programů.
- Účetní firmy, které se připojují k zákazníkům, aby jim spravovali účetnictví.
- Nezávislí poradci, kteří pomáhají externě více zákazníkům s nějakou úzkou oblastí (např. sítě, zálohy, web).
Pokud někdo z nich bude na bezpečnost kašlat, je jedno, že vy jste za své zabezpečení utratili statisíce/milióny. Otázka proto zní: „Jak dobře znáte své dodavatele?“
Jak dobře znáte své dodavatele?
IT není vázaná živnost. Tudíž IT (správu sítě, programování, webhosting, bezpečnostní konzultace, penetrační testování…) může dělat každý, kdo si to zvládne napsat na vizitku. 🤔 A jako v jiných oborech, i v IT často platí, že „kovářova kobyla chodí bosa“. Řada firem radí svým zákazníkům X a prodává produkty Y, aniž by to samé používala u sebe.
Jako odběratelé bychom si měli dát alespoň trochu práce s poznáním svých dodavatelů, zejména při jejich výběru. Ano. Vím, že v současné době máme všichni práce nad hlavu. Často ani nemáme dostatečné znalosti k tomu, abychom mohli dodavatele posoudit. Nicméně alespoň u těch, kterým povolujeme neomezený vzdálený přístup do sítě, je to potřeba.
Jak poznat, že dodavatel bezpečnost nefláká?
Občas na mě padne dotaz, jak může laik posoudit, že IT dodavatel dělá svou práci pořádně. Napadlo mě následující:
- Zeptejte se, jak spravují hesla (svá i pro přístup k zákazníkům). Nebo ještě lépe – nechte si to ukázat (přeci jenom – říct lze všechno)! Pokud vám neukážou nástroj, ve kterém hesla evidují a mezi sebou sdílí, je to podezřelé. My máme přes 4.000 hesel, bez nástroje bychom to nezvládli. 😊
- Zjistěte, zdali zálohy přežijí útok ransomware/hackerů a jak dlouho potrvá obnova serveru/služby. Nejspíše nedostanete jeden čas, protože záleží, co a jak bude nakaženo. Nicméně požadujte, ať vám vypočítají časy obnovy pro nejčastější scénáře (např. jeden zašifrovaný server, více zašifrovaných serverů, poškozený HW, nepovedená aktualizace). Je to pro vás důležitá informace, abyste věděli, s čím jako manažeři můžete v případě poruchy/bezpečnostního incidentu počítat. Dodané informace si můžete nechat podepsat nebo vložit do smlouvy o správě. Podle toho, jak se na to budou tvářit, uvidíte, jak si jsou svou prací jistí. 😉
- Nechte si to u nich ukázat a koukejte se, že:
- neuvidíte staré operační systémy (např. Windows 7),
- nemají plochu plnou zástupců na programy/hry (počítače, ze kterých se spravují data zákazníků, by neměly sloužit k experimentování/hraní),
- na svých počítačích mají nainstalovaný antivirus,
- na mobilech mají nainstalované aplikace pro dvoufaktorové ověřování,
- v serverovně mají věci uspořádané a mají tam stejné produkty, které prodávají i vám.
Myslím, že jako zákazníci máte nárok na odpovědi. Jste to vy, kdo svěřuje svá data do péče někoho jiného a budete vůči svému dodavateli „zranitelní“. Třeba u nás bychom systémy rádi ukázali, protože jsme hrdí na to, jak to děláme. Bohužel se nás za téměř 9 let nikdo nezeptal.😢
Vím, že výčet výše není dokonalý a vztahuje se hlavně k IT outsourcingovým firmám (nebo MSP) – přeci jenom je to můj obor a mám v něm přehled. Pokud vás napadne další dobrý způsob, budu rád, když se podělíte.
Jak probíhají útoky skrze dodavatele
Prvně potřebují hackeři kompromitovat nějakého dodavatele. Toho si buď dopředu vytipují a hacknou. Nebo při hacknutí náhodné firmy zjistí, že daná firma má přístup i k jiným firmám. Většinou to poznají podle nainstalovaného SW, uložených hesel, nebo názvu domény.
Síť hacknutého dodavatele nejprve „prošmejdí“ a udělají si přehled o tom, jaké systémy používá a kdo jsou jeho zákazníci. Primárně se koukají po centrálních systémech, skrze které by mohli jednoduše rozšířit ransomware na všechny zákazníky. Zpravidla to bývá centrální konzole antiviru, systém pro automatizaci, monitorovací systém, patch management, webový server, správce hesel/spojení. Bohužel platí, že systém, který dodavatelům nejvíce usnadňuje práci, ji nejvíce usnadní i hackerům.
Když nenajdou cestu, jak ransomware nasadit centrálně na všechny zákazníky, postupují ručně. K zákazníkům se budou připojovat stejně jako to dělá daný dodavatel. Totéž platí v případě, pokud zjistí, že někteří zákazníci dodavatele jsou cíle zasluhující více pozornosti.
Nicméně cílem bývá nasadit ransomware do sítí všech zákazníků a nakonec i do sítě samotného dodavatele. Cílem je dodavatele i zákazníky paralyzovat a dotlačit k zaplacení výkupného. O tom, jak se dokáží hackeři v síti pohybovat a čeho všeho jsou schopni jsem psal v článku „Co dokáží hackeři s ransomware ve vaší firemní síti“.
Konkrétní případy hackerských útoků skrze dodavatele
Vybral jsem vám několik případů z roku 2019, kdy hackeři napadli firmy právě skrze dodavatele – paradoxně toho, kdo je měl před ransomware bránit. Jedná se o zahraniční společnosti.
- Společnost Evelis, jedna z největších španělských MSP, byla v listopadu napadena a její data byla zašifrována. Požadované výkupné 750.000 €. Spekuluje se, že skrze ni byla napadena i největší španělská rozhlasová síť Cadena SER. (viz Ransomware Attacks Hit Everis and Spain’s Largest Radio Network)
- V červenci jiná skupina hackerů zneužila zranitelnost v jednom pluginu k monitorovacímu systému a zasáhla tak skrze jednoho MSP mezi 1.500 – 2.000 stanic s cenou výkupného 2.600.000 $. Přitom stačilo, aby si MSP daný plugin aktualizoval, patch na chybu existoval již 18 měsíců. (viz Ransomware Attack Via MSP Locks Customers Out of Systems)
- Firma PM Consultants Inc., která se specializovala na zubní ordinace, byla v červenci napadena a skrze ni i její zákazníci. Minulý čas jsem použil záměrně, protože firma „zavřela“ krám a nechala své zákazníky ve štychu a bez dat. (viz The New Target That Enables Ransomware Hackers to Paralyze Dozens of Towns and Businesses at Once)
- Hackeři se nevyhýbají ani obrovským společnostem. V dubnu se začalo mluvit o tom, že byla prolomena bezpečnost indické společnosti Wipro, která se zabývá IT službami a zaměstnává okolo 170 tisíc lidí na 6 kontinentech. Firma se snažila útok bagatelizovat a celkové škody tak nejsou známy. (viz How Not to Acknowledge a Data Breach)
Útoky skrze dodavatele v ČR?
Český příklad zatím k dispozici nemám (podle mě je to otázka času). V prosinci k tomu byla blízko společnost HAVIT s.r.o., která vyvíjí aplikace na zakázku. O napadení ransomware psali na svém blogu „Dvě návštěvy ransomware (cryptoviru) v HAVITu, jak se to k nám dostalo a ponaučení z toho všeho“. Útočníci tehdy nevyužili skutečnosti, že prolomili síť IT dodavatele. S největší pravděpodobností si toho nevšimli. A takových případů bude většina. Nicméně do budoucna, jak se hackeři zlepšují, začne dodavatele „štěstí“ opouštět.
Z minulosti stojí za zmínku útok ransomware NotPetya. Kdy útočníci napadli servery společnosti M.E. Doc a nahráli na ně infikovanou aktualizaci stejně jmenného účetního systému. Infekce se pak skrze automatické aktualizace účetního systému rozšířila na všechny jejich zákazníky. Podobný problém měl i Avast se svým programem Ccleaner (viz „Avast jako kovářova kobyla: V aplikaci CCleaner od výrobce antiviru byl škodlivý software“).
Závěr
Všichni máme jednoho či více dodavatelů služeb, kteří používají vzdálený přístup k naším datům nebo zařízením. Měli bychom se snažit, alespoň na začátku vztahu, poznat je a ověřit si, že svou práci dělají, jak slibují. Vím, že ne vždy máme dostatek času a prostoru. Nicméně často se jedná o spolupráci, která potrvá roky. Co je proti tomu pár hodin či den času věnovaný poznání svého dodavatele – když jeho pochybení nás může stát celé podnikání.
Pokud si chcete o ransomware přečíst více, na blogu jsem již psal:
- Hackeři nasazují ransomware ručně. Jsou schopni prošmejdit celou síť, vypnout antivirus, smazat zálohy a ransomware spustit z více míst současně (viz „Co dokáží hackeři s ransomware ve vaší firemní síti“).
- I když se obětem podaří data obnovit ze záloh, hackeři je stejně vydírají. Vyhrožují, že pokud nezaplatí, zveřejní ukradená data (ta, která se jim podařilo během útoku stáhnout k sobě) a informaci o prolomení firmy (viz „Hackeři mají nový trik. Naučili se s ransomware lépe vydírat“).
- Prvním zákazníkům jsme s ransomware začali pomáhám začátkem jara 2017. Napsal jsem o tom 2 články (takové mini příběhy – co se stalo, jak se stalo a jak jsme to řešili). Od té doby se věci posunuly, ale věřím, že stále mohou být články zajímavé:
Nechť jsou vaše sítě bezpečné.
Martin
Diskuze k článku
Aleš Blinka
12. 01. 2020 v 11:37
No potěš. Martine, máte nějaké informace o tom, že by nastavení Secure Boot v Biosu bylo dostatečnou ochranou proti tomu, aby se do boot sectoru disku zakousnul ransomware? Nebo už se to nějakému ransomware podařilo prolomit?
Odpovědět
Martin Haller
12. 01. 2020 v 18:46
Já bych řekl, že ransomware o bootloader nejde – to je spíše záležitost rootkitů/persistence. Vím, že tam měl jednou MS nějaký problém (viz https://arstechnica.com/information-technology/2016/08/microsoft-secure-boot-firmware-snafu-leaks-golden-key/), který umožňoval SecureBoot obejít. Detailněji jsem to ale nesledoval.
Odpovědět
Aleš Blinka
12. 01. 2020 v 19:05
Zažil jsem Notpetya. Podle mě to zašifroval, vlezl do MRB, převzal velení a proto se po startu PC objevila místo Windows výzva k zaplacení. Anebo to tak není?
Odpovědět
Martin Haller
12. 01. 2020 v 19:51
Pravda, tohle byl vlastně i případ toho ransomware co jsem popisoval v https://martinhaller.cz/z-praxe/ransomware-2-zaplatit-vykupne-data-nemit/ :). Obojí ale podle mne bylo čistě MBR – BIOS režím. SecureBoot se používá s UEFI.
Teď už se setkávám pouze s ransomware co šifruje data v rámci Windows a na zavaděč systému nesahá (až na vypínání recovery režimu).
Odpovědět
lgrundel
13. 01. 2020 v 04:27
Njn, opět to neštastné erdépéčko,
Odpovědět
Martin Haller
13. 01. 2020 v 08:24
Jj, je z něj teď otloukánek. Nicméně vždycky se najde nějaká technologie co se bude zneužívat – VPN, webové servery, mailové servery, kamerové systémy, „uživatelé“ :).
Odpovědět