Attacks/Breaches

Finansielt motiverede angribere kan misbruge stjålen kildekode til bredere angreb

Det massive brud på Adobe, der blev afsløret i sidste uge, passer ved første øjekast ikke ligefrem ind i profilen for et rent cyberkriminalitetsangreb: Ikke alene stjal skurkene kundedata og betalingskortoplysninger fra softwarefirmaet, men de snuppede også kildekoden til Adobes ColdFusion-, Acrobat- og Reader-software.

Det er stadig uklart, hvordan angriberne fik Adobes kundedata og kildekode, og hvad de i givet fald har gjort for at manipulere kildekoden med henblik på svindel. Men det står klart, at angriberne enten med vilje eller uforvarende har fået adgang til både Adobes værdifulde finansielle kundedata og intellektuelle ejendom – og dermed har de fået flere muligheder for at tjene penge.

“Disse fyre var økonomisk orienterede”, siger Alex Holden, CISO hos Hold Security, som sammen med Brian Krebs fra KrebsOnSecurity opdagede de 40 gigabyte Adobe-kildekode på den samme server som de stjålne data fra LexisNexis, Dun & Bradstreet, Kroll og andre. “Om de havde adgang til kildekoden først … det er endnu uvist.”

Adobe afslørede sent torsdag, at selskabet havde været udsat for massive “sofistikerede angreb” på sit netværk, der resulterede i tyveri af følsomme oplysninger, herunder betalingskortoplysninger om 2,9 millioner kunder, samt af kildekoden til flere Adobe-softwareprodukter, herunder Adobe Acrobat, ColdFusion, ColdFusion Builder og andre Adobe-programmer. Brad Arkin, Chief Security Officer hos Adobe, sagde, at angrebene kan være relateret.

Hold Securitys Holden siger, at angriberne ser ud til at have haft de stjålne data i deres besiddelse i mindst to måneder. Han siger, at en af hans største bekymringer er, at der kan være et zero-day-angreb i gang mod Adobe-applikationer, som endnu ikke er blevet opdaget. “De kan have angrebet mål på højt niveau. Det er en ekstremt foruroligende og skræmmende tanke,” siger Holden.

Cyberkriminelle forsøger typisk hurtigt at tjene penge på stjålne betalingskortoplysninger eller brugeroplysninger. Selv om de stjålne betalingskortdata fra Adobe-kunder ifølge Adobe var krypteret, er det muligt, at angriberne var i stand til at få fat i krypteringsnøglerne eller knække krypteringen, afhængigt af dens styrke og implementering, siger sikkerhedseksperter.

Angrebsmændene kunne tjene penge på kildekoden ved at finde og sælge udnyttelsesmuligheder for Adobe-apps, siger eksperterne. Eller de kunne også bare beholde udnyttelserne for sig selv og bruge dem i mere udbredte fremtidige angreb.

“Hvis du går efter Adobe eller en anden virksomhed, vil du gå efter oplysninger, som du hurtigt kan tjene penge på, men hvis du finder nogle rigtig gode zero-days i Adobe Reader eller ColdFusion, kan det også føre til fremtidige angreb på tværs af flere kunder,” siger Benjamin Johnson, CTO hos Carbon Black. “Alle har Adobe … det er et enormt område at angribe.”

Salget af exploits er lukrativt, f.eks. titusindvis af dollars for en Adobe-app. “Kildekoden er det, der tjener penge – den hjælper dig med at finde sårbarhederne i Adobe-produkter. For eksempel kan en enkelt zero-day exploit til Adobe Reader være 50.000 dollars værd på det sorte marked,” siger Timo Hirvonen, seniorforsker hos F-Secure.

Den måde at udnytte Adobes kildekode på ville give angriberne en mere effektiv måde at stjæle oplysninger på. “Tidligere var det så nemt at lave spree-angreb – man kunne få fat i millioner af mennesker via phishing og keyloggers,” siger Dan Hubbard, CTO for OpenDNS. “Men nu ser det mere sofistikeret ud, og de gør ting, der er mere planlagte, så i stedet for at gå efter klienten og det menneskelige element, går de efter nogle af svaghederne i infrastrukturen og trækker data tilbage og regner ud, hvad de skal gøre … Det er helt klart en interessant ændring i operationerne.”

Hvis det værst tænkelige scenarie bliver virkelighed, og angriberne rent faktisk forgiftede Adobes kildekode og derefter distribuerede den til Adobes kunder, så var softwarefirmaet mere et middel til at nå et mål for angriberne. “Hvis den stjålne kildekode rent faktisk vedrører ColdFusion og Acrobat, kan dette efterlade tusindvis af webservere åbne for kompromittering efter behag og gøre det lettere at kompromittere slutbrugernes systemer. Dette brud er en skræmmende påmindelse om, at alle softwarevirksomheder bør være på vagt, da de også kan være et springbræt til andre mål,” siger Chris Petersen, teknisk direktør og medstifter af LogRhythm.

Det kan vare et stykke tid, før det fulde billede af Adobe-angrebet kommer frem – hvis det overhovedet kommer frem. Sikkerhedseksperter siger, at hvis det faktisk tog Adobe op til seks uger at opdage angrebet, så er softwarefirmaet i en ulempe fra starten. “Det er et forspring, som de slemme fyre havde,” siger Johnson. Nøglen er altid hurtig opdagelse for at begrænse skaden, siger eksperterne.

Bala Venkat, marketingchef for leverandøren af applikationssikkerhed Cenzic, er enig. “Ud fra de igangværende undersøgelser ser det ud til, at dette brud på Adobe faktisk startede engang i august og fortsatte ind i slutningen af september. En sådan forsinket detekterings- og reaktionsmekanisme er særlig alarmerende. Organisationer skal sikre, at der er en kontinuerlig sikkerhedsovervågningsproces på tværs af alle deres produktionsapplikationer for at opdage og rapportere om sårbarheder i realtid, når der sker et brud. Hvis denne politik håndhæves strengt, kunne sådanne brud være blevet inddæmmet og skaderne minimeret meget hurtigere og mere effektivt. “

En anden bekymring er, om angriberne allerede har gjort indhug i målgruppen for Adobes kunder. “En af mine bekymringer er den laterale bevægelse inden for kundebasen,” siger Johnson fra Carbon Black, hvor angriberne allerede har phished Adobe-kunder for at stjæle oplysninger.

“Det kommer til at tage et stykke tid, før vi kender de fulde konsekvenser af dette,” siger han.

Og Adobe er ikke det sidste offer for denne cyberkriminelle bande: Sikkerhedseksperter siger, at de skal forvente yderligere afsløringer af andre organisationer, der blev ramt.

Har du en kommentar til denne historie? Klik venligst på “Tilføj din kommentar” nedenfor. Hvis du ønsker at kontakte Dark Readings redaktører direkte, kan du sende os en besked.

Kelly Jackson Higgins er chefredaktør for Dark Reading. Hun er en prisbelønnet veteran inden for teknologi og erhvervsjournalistik med mere end to årtiers erfaring med rapportering og redigering for forskellige publikationer, herunder Network Computing, Secure Enterprise … Se hele biografien