Hyökkäykset/tietomurrot
Taloudellisesti motivoituneet hyökkääjät voivat käyttää varastettua lähdekoodia hyväkseen laajempiin hyökkäyksiin
Ensimmäisellä silmäyksellä Adoben viime viikolla paljastunut massiivinen tietomurto ei sovi siististi pelkän tietoverkkorikollisuuden hyökkäyksen profiiliin: Sen lisäksi, että pahikset varastivat ohjelmistoyritykseltä asiakastietoja ja maksukorttitietoja, he nappasivat myös Adoben ColdFusion-, Acrobat- ja Reader-ohjelmistojen lähdekoodin.
On edelleen epäselvää, miten hyökkääjät saivat Adoben asiakastiedot ja lähdekoodin, ja mitä he ovat tehneet, jos ovat tehneet mitään, peukaloidakseen lähdekoodia huijaustarkoituksessa. Selvää kuitenkin on, että hyökkääjät ovat joko tahallaan tai tahattomasti päässeet käsiksi sekä Adoben arvokkaisiin asiakastietoihin että sen henkiseen omaisuuteen – saaden näin itselleen useita väyliä rahan ansaitsemiseen.
”Nämä tyypit olivat taloudellisesti suuntautuneita”, sanoo Hold Securityn CISO Alex Holden, joka löysi yhdessä KrebsOnSecurityn Brian Krebsin kanssa Adoben 40 gigatavun lähdekoodin samalta palvelimelta kuin LexisNexisiltä, Dun & Bradstreetiltä, Krollilta ja muilta yrityksiltä varastetut tiedot. ”Oliko heillä pääsy lähdekoodiin ensin … se jää nähtäväksi.”
Adobe paljasti myöhään torstaina, että se oli kärsinyt massiivisista ”hienostuneista hyökkäyksistä” verkkoonsa, joiden tuloksena oli varastettu arkaluonteisia tietoja, mukaan lukien 2,9 miljoonan asiakkaan maksukorttitietoja, sekä lähdekoodia useista Adoben ohjelmistotuotteista, mukaan lukien Adobe Acrobat, ColdFusion, ColdFusion Builder ja muut Adoben ohjelmistot. Adoben turvallisuuspäällikkö Brad Arkin sanoi, että hyökkäykset saattavat liittyä toisiinsa.
Hold Securityn Holdenin mukaan hyökkääjillä näyttää olleen varastetut tiedot hallussaan ainakin kaksi kuukautta. Hän sanoo, että yksi hänen suurimmista huolenaiheistaan on, että Adoben sovelluksia vastaan saattaa olla käynnissä nollapäivähyökkäys, jota ei ole vielä havaittu. ”He ovat saattaneet hyökätä korkean tason kohteisiin. Se on erittäin huolestuttava ja pelottava ajatus”, Holden sanoo.
Verkkorikolliset yrittävät tyypillisesti saada nopeasti rahaa varastetuilla maksukorttitiedoilla tai käyttäjätunnuksilla. Vaikka varastetut Adoben asiakkaiden maksukorttitiedot oli Adoben mukaan salattu, on mahdollista, että hyökkääjät pystyivät saamaan salausavaimet tai murtamaan salauksen, riippuen sen vahvuudesta ja toteutuksesta, tietoturva-asiantuntijat sanovat.
Hyökkääjät voisivat asiantuntijoiden mukaan ansaita rahaa lähdekoodista esimerkiksi etsimällä ja myymällä hyväksikäyttökohteita Adoben sovelluksiin. Tai he voisivat vain pitää hyväksikäytöt itsellään ja käyttää niitä laajemmissa tulevissa hyökkäyksissä.
”Jos Adoben tai minkä tahansa yrityksen kimppuun hyökätään, etsitään tietoa, josta voidaan saada nopeasti rahaa, mutta jos löydetään todella hyviä nollapäiviä Adoben Readerista tai ColdFusionista, se voi johtaa tuleviin hyökkäyksiin useilla asiakkailla”, sanoo Carbon Blackin teknologiajohtaja Benjamin Johnson. ”Kaikilla on Adobe … se on niin valtava kohdealue.”
Hyökkäysten myynti on tuottoisaa, esimerkiksi Adoben sovelluksesta voi saada kymmeniä tuhansia dollareita. ”Lähdekoodi on rahaa tuottavaa tavaraa – se auttaa löytämään haavoittuvuuksia Adoben tuotteista. Esimerkiksi yksittäinen nollapäivähyökkäys Adobe Readeriin voi olla mustassa pörssissä 50 000 dollarin arvoinen”, sanoo F-Securen vanhempi tutkija Timo Hirvonen.
Adoben lähdekoodin hyödyntäminen tarjoaisi hyökkääjille tehokkaamman tavan varastaa tietoa. ”Aiemmin oli niin helppoa tehdä spree-hyökkäyksiä – phishingin ja keyloggerien avulla saattoi saada miljoonia ihmisiä”, sanoo OpenDNS:n teknologiajohtaja Dan Hubbard. ”Mutta nyt näyttää siltä, että ne ovat kehittyneempiä, ja ne tekevät asioita suunnitelmallisemmin, joten sen sijaan, että ne pyrkisivät asiakkaan ja ihmisen kimppuun, ne pyrkivät infrastruktuurin heikkouksiin ja keräävät tietoja ja miettivät, mitä tehdä … Se on ehdottomasti mielenkiintoinen muutos toiminnassa.”
Jos pahin mahdollinen skenaario toteutuu ja hyökkääjät todella myrkyttivät Adoben lähdekoodin ja jakoivat sen sitten Adoben asiakkaille, ohjelmistoyritys oli hyökkääjille pikemminkin keino päämäärän saavuttamiseksi. ”Jos varastettu lähdekoodi todellakin koskee ColdFusionia ja Acrobatia, tämä voi jättää tuhansia web-palvelimia alttiiksi tahdonalaisille hyökkäyksille ja tehdä loppukäyttäjien järjestelmien vaarantamisesta helpompaa. Tämä tietoturvaloukkaus on kylmäävä muistutus siitä, että kaikkien ohjelmistoyritysten pitäisi olla varuillaan, sillä nekin voivat olla ponnahduslauta muihin kohteisiin”, sanoo Chris Petersen, LogRhythmin teknologiajohtaja ja toinen perustaja.
Voi kestää jonkin aikaa, ennen kuin Adoben hyökkäyksen kokonaiskuva selviää – jos selviää ollenkaan. Tietoturva-asiantuntijat sanovat, että jos Adobella todellakin kesti jopa kuusi viikkoa huomata hyökkäys, ohjelmistoyritys on alusta alkaen epäedullisessa asemassa. ”Se on etumatka, joka pahiksilla oli”, Johnson sanoo. Avainasemassa on aina nopea havaitseminen, jotta vahinkoa voidaan lieventää, asiantuntijat sanovat.
Bala Venkat, sovellusturvatoimittaja Cenzicin markkinointijohtaja, on samaa mieltä. ”Käynnissä olevien tutkimusten perusteella näyttää siltä, että Adoben tietoturvaloukkaus alkoi joskus elokuussa ja jatkui syyskuun lopulla. Tällainen viivästynyt havaitsemis- ja reagointimekanismi on erityisen hälyttävää. Organisaatioiden on varmistettava, että niiden kaikissa tuotantosovelluksissa on käytössä jatkuva tietoturvaseurantaprosessi, joka havaitsee haavoittuvuudet ja raportoi niistä reaaliaikaisesti, kun tietoturvaloukkaus tapahtuu. Jos tätä käytäntöä noudatetaan tiukasti, tällaiset tietoturvaloukkaukset olisi voitu estää ja vahingot minimoida paljon nopeammin ja tehokkaammin. ”
Toinen huolenaihe on, ovatko hyökkääjät jo päässeet Adoben asiakkaiden kohteeksi. ”Yksi huolenaiheistani on sivuttaisliike asiakaskunnan sisällä”, Carbon Blackin Johnson sanoo, jossa hyökkääjät ovat jo kalastelleet Adoben asiakkaita varastamaan tietoja.”
”Kestää vielä jonkin aikaa, ennen kuin tiedämme tämän kaikki seuraukset”, hän sanoo.”
Eikä Adobe ole tämän tietoverkkorikollisjengin viimeinen uhri. Tietoturva-asiantuntijoiden mukaan on odotettavissa lisää paljastuksia muista organisaatioista, joihin iskettiin.
Kommentoitko tätä juttua? Klikkaa ”Lisää kommenttisi” alla. Jos haluat ottaa suoraan yhteyttä Dark Readingin toimitukseen, lähetä meille viesti.
Kelly Jackson Higgins on Dark Readingin päätoimittaja. Hän on palkittu veteraani teknologia- ja yritystoimittaja, jolla on yli kahden vuosikymmenen kokemus raportoinnista ja toimituksesta eri julkaisuissa, kuten Network Computing, Secure Enterprise … Näytä koko elämäkerta