Attacks/Breaches

Finančně motivovaní útočníci by mohli zneužít ukradený zdrojový kód k širším útokům

Na první pohled rozsáhlé narušení společnosti Adobe, které bylo odhaleno minulý týden, neodpovídá profilu čistě kybernetického zločinu:

Stále není jasné, jak útočníci získali údaje o zákaznících společnosti Adobe a její zdrojový kód a co případně udělali, aby se zdrojovým kódem manipulovali za účelem podvodu. Jisté však je, že útočníci buď záměrně, nebo neúmyslně získali přístup jak k cenným finančním údajům zákazníků společnosti Adobe, tak k jejímu duševnímu vlastnictví – a získali tak několik možností, jak vydělat peníze.

„Tito lidé byli finančně orientovaní,“ říká Alex Holden, CISO společnosti Hold Security, který spolu s Brianem Krebsem ze serveru KrebsOnSecurity objevil 40 gigabajtů zdrojového kódu Adobe na stejném serveru jako ukradená data společností LexisNexis, Dun & Bradstreet, Kroll a dalších. „Zda měli přístup ke zdrojovému kódu jako první … to se teprve uvidí.“

Adobe ve čtvrtek pozdě večer zveřejnila, že utrpěla masivní „sofistikované útoky“ na svou síť, které vyústily v krádež citlivých informací, včetně informací o platebních kartách 2,9 milionu zákazníků, a také zdrojového kódu několika softwarových produktů Adobe, včetně Adobe Acrobat, ColdFusion, ColdFusion Builder a dalšího softwaru Adobe. Brad Arkin, šéf bezpečnosti společnosti Adobe, uvedl, že útoky spolu mohou souviset.

Hold Security tvrdí, že útočníci měli ukradená data zřejmě k dispozici nejméně dva měsíce. Říká, že jednou z jeho největších obav je, že proti aplikacím Adobe může probíhat útok nultého dne, který dosud nebyl odhalen. „Mohli zaútočit na cíle na vysoké úrovni. To je nesmírně znepokojivá a děsivá myšlenka,“ říká Holden.

Kyberzločinci se obvykle snaží rychle zpeněžit ukradené informace o platebních kartách nebo přihlašovací údaje uživatelů. Podle společnosti Adobe byly ukradené údaje o platebních kartách zákazníků společnosti Adobe sice zašifrované, ale podle bezpečnostních expertů je možné, že útočníci dokázali získat šifrovací klíče nebo prolomit šifru v závislosti na její síle a implementaci.

Útočníci mohli zdrojový kód zpeněžit například nalezením a prodejem exploitů pro aplikace Adobe, tvrdí experti. Nebo by si mohli exploity prostě nechat pro sebe a použít je při rozsáhlejších budoucích útocích.

„Pokud jdete po Adobe nebo jiné společnosti, půjdete po informacích, které můžete rychle zpeněžit, ale také pokud najdete nějaké opravdu dobré zero-days v Adobe Readeru nebo ColdFusion, může to prostě vést k budoucím útokům na několik zákazníků,“ říká Benjamin Johnson, technický ředitel společnosti Carbon Black. „Každý má Adobe … je to tak obrovská plocha, na kterou se lze zaměřit.“

Prodej exploitů je lukrativní, například u aplikace Adobe se jedná o desítky tisíc dolarů. „Zdrojový kód je věc, která vydělává peníze – pomáhá najít zranitelnosti v produktech Adobe. Například jeden zero-day exploit pro Adobe Reader může mít na černém trhu hodnotu 50 000 dolarů,“ říká Timo Hirvonen, senior výzkumník společnosti F-Secure.

Zneužití zdrojového kódu Adobe by útočníkům poskytlo efektivnější způsob krádeže informací. „V minulosti bylo tak snadné provádět plošné útoky – pomocí phishingu a keyloggerů jste mohli získat miliony lidí,“ říká Dan Hubbard, technický ředitel společnosti OpenDNS. „Nyní to ale vypadá sofistikovaněji a dělají věci, které jsou plánovanější, takže místo toho, aby šli po klientovi a lidském prvku, jdou po některých slabinách v infrastruktuře a stahují data zpět a vymýšlejí, co dělat … Je to rozhodně zajímavá změna v operacích.“

Pokud se nejhorší scénář stane skutečností a útočníci skutečně otrávili zdrojový kód společnosti Adobe a poté jej distribuovali zákazníkům společnosti Adobe, pak byla softwarová firma pro útočníky spíše prostředkem k dosažení cíle. „Pokud se ukradený zdrojový kód skutečně týká aplikací ColdFusion a Acrobat, mohly by se tím tisíce webových serverů stát otevřenými pro kompromitaci podle libosti a usnadnit kompromitaci systémů koncových uživatelů. Toto narušení je mrazivou připomínkou, že všechny softwarové společnosti by se měly mít na pozoru, protože i ony mohou být odrazovým můstkem k dalším cílům,“ říká Chris Petersen, technický ředitel a spoluzakladatel společnosti LogRhythm.

Možná ještě nějakou dobu potrvá, než se objeví úplný obraz útoku na Adobe – pokud se tak vůbec stane. Bezpečnostní experti tvrdí, že pokud společnosti Adobe skutečně trvalo až šest týdnů, než si útoku všimla, je softwarová společnost od počátku v nevýhodě. „To je náskok, který zlí hoši měli,“ říká Johnson. Klíčem je vždy rychlé odhalení, aby se zmírnily škody, říkají odborníci.

Bala Venkat, marketingový ředitel společnosti Cenzic, která se zabývá zabezpečením aplikací, souhlasí. „Z probíhajících vyšetřování vyplývá, že toto narušení ve společnosti Adobe ve skutečnosti začalo někdy v srpnu a pokračovalo až do konce září. Takto opožděné odhalení a mechanismus reakce jsou obzvláště alarmující. Organizace musí zajistit nepřetržitý proces monitorování zabezpečení všech svých produkčních aplikací, aby bylo možné odhalit a nahlásit zranitelnosti v reálném čase, když dojde k narušení. Pokud by tato politika byla důsledně prosazována, mohla být taková narušení omezena a škody minimalizovány mnohem rychleji a účinněji. „

Další obavou je, zda útočníci již pronikli mezi zákazníky společnosti Adobe. „Jednou z mých obav je boční pohyb v rámci zákaznické základny,“ říká Johnson ze společnosti Carbon Black, kdy útočníci již vylákali informace od zákazníků společnosti Adobe.

„Bude chvíli trvat, než se dozvíme všechny důsledky,“ říká.“

A společnost Adobe není poslední obětí tohoto gangu kyberzločinců:

Máte k této zprávě nějaký komentář? Klikněte na tlačítko „Přidat komentář“ níže. Pokud chcete kontaktovat redakci Dark Readingu přímo, pošlete nám zprávu.

Kelly Jackson Higginsová je výkonnou redaktorkou časopisu Dark Reading. Je oceňovanou veteránkou technologické a obchodní žurnalistiky s více než dvacetiletou praxí ve zpravodajství a redakční práci pro různé publikace, včetně Network Computing, Secure Enterprise … Zobrazit celé bio