Attacchi/Breaches

Attaccanti motivati finanziariamente potrebbero abusare del codice sorgente rubato per attacchi più ampi

A prima vista, la massiccia violazione di Adobe che è stata rivelata la scorsa settimana non si adatta perfettamente al profilo di un puro attacco di cybercrimine: Non solo i cattivi hanno rubato i dati dei clienti e le informazioni delle carte di pagamento dalla società di software, ma hanno anche rubato il codice sorgente per il software ColdFusion, Acrobat e Reader di Adobe.

Non è ancora chiaro come gli aggressori abbiano ottenuto i dati dei clienti di Adobe e il suo codice sorgente, e cosa, se qualcosa, hanno fatto per manomettere il codice sorgente a scopo di frode. Ma ciò che è chiaro è che gli aggressori hanno volutamente o inavvertitamente acceduto sia ai preziosi dati finanziari dei clienti di Adobe che alla sua proprietà intellettuale – ricavando più strade per fare soldi.

“Questi ragazzi erano finanziariamente orientati”, dice Alex Holden, CISO di Hold Security, che, insieme a Brian Krebs di KrebsOnSecurity, ha scoperto i 40 gigabyte di codice sorgente Adobe sullo stesso server come i dati rubati da LexisNexis, Dun & Bradstreet, Kroll e altri. “Che abbiano avuto accesso al codice sorgente prima … resta da vedere.”

Adobe ha rivelato giovedì scorso di aver subito massicci “attacchi sofisticati” sulla sua rete che hanno portato al furto di informazioni sensibili, comprese le informazioni sulle carte di pagamento di 2,9 milioni di clienti, così come del codice sorgente per più prodotti software Adobe, tra cui Adobe Acrobat, ColdFusion, ColdFusion Builder, e altri software Adobe. Brad Arkin, chief security officer di Adobe, ha detto che gli attacchi possono essere collegati.

Hold Security’s Holden dice che gli aggressori sembrano avere avuto i dati rubati in loro possesso per almeno due mesi. Dice che una delle sue maggiori preoccupazioni è che un attacco zero-day potrebbe essere in corso contro le applicazioni Adobe che non è stato ancora individuato. “Potrebbero aver attaccato obiettivi di alto livello. Questo è un pensiero estremamente inquietante e spaventoso”, dice Holden.

I criminali informatici in genere cercano di incassare rapidamente le informazioni delle carte di pagamento rubate o le credenziali degli utenti. Mentre i dati rubati della carta di pagamento dei clienti Adobe erano crittografati, secondo Adobe, è possibile che gli aggressori sono stati in grado di ottenere le chiavi di crittografia o rompere il crypto, a seconda della sua forza e implementazione, dicono gli esperti di sicurezza.

Gli aggressori potrebbero monetizzare il codice sorgente trovando e vendendo exploit per Adobe apps, per esempio, dicono gli esperti. O potrebbero semplicemente tenere gli exploit per se stessi da utilizzare in attacchi futuri più diffusi.

“Se stai andando dopo Adobe o qualsiasi azienda, stai andando a cercare informazioni che puoi monetizzare rapidamente, ma anche se trovi alcuni zero-days davvero buoni in Adobe Reader o ColdFusion, che potrebbero solo portare a futuri attacchi attraverso diversi clienti”, dice Benjamin Johnson, CTO di Carbon Black. “Tutti hanno Adobe … è una superficie enorme da prendere di mira”.

Le vendite di exploit sono redditizie, al ritmo di decine di migliaia di dollari per un’applicazione Adobe, per esempio. “Il codice sorgente è la roba per fare soldi – ti aiuta a trovare le vulnerabilità nei prodotti Adobe. Per esempio, un singolo exploit zero-day per Adobe Reader può valere 50.000 dollari nel mercato nero”, dice Timo Hirvonen, ricercatore senior di F-Secure.

Sfruttare il codice sorgente di Adobe fornirebbe agli attaccanti un modo più efficiente per rubare informazioni. “In passato, era così facile fare attacchi a raffica – si potevano prendere milioni di persone attraverso il phishing e i keylogger”, dice Dan Hubbard, CTO di OpenDNS. “Ma ora sembra più sofisticato, e stanno facendo cose che sono più pianificate, quindi invece di andare dopo il cliente e l’elemento umano, stanno andando verso alcune delle debolezze dell’infrastruttura e tirando indietro i dati e capire cosa fare … È sicuramente un cambiamento interessante nelle operazioni.”

Se lo scenario peggiore diventa realtà e gli aggressori hanno effettivamente avvelenato il codice sorgente di Adobe e poi distribuito ai clienti Adobe, allora la società di software era più di un mezzo per un fine per gli attaccanti. “Se effettivamente il codice sorgente rubato riguarda ColdFusion e Acrobat, questo potrebbe lasciare migliaia di server Web aperti alla compromissione at-will e rendere più facile compromettere i sistemi degli utenti finali. Questa violazione è un agghiacciante promemoria che tutte le aziende di software dovrebbero stare in guardia, poiché anch’esse potrebbero essere un trampolino di lancio per altri obiettivi”, dice Chris Petersen, CTO e co-fondatore di LogRhythm.

Potrebbe passare del tempo prima che il quadro completo dell’attacco Adobe emerga — se lo fa del tutto. Gli esperti di sicurezza dicono che se davvero Adobe ha impiegato fino a sei settimane per notare l’attacco, la società di software è in svantaggio fin dall’inizio. “Questo è un vantaggio che i cattivi hanno avuto”, dice Johnson. La chiave è sempre il rilevamento rapido per mitigare il danno, dicono gli esperti.

Bala Venkat, chief marketing officer del fornitore di sicurezza delle applicazioni Cenzic, è d’accordo. “Dalle indagini in corso, sembra che questa violazione di Adobe sia iniziata in qualche momento di agosto e sia continuata alla fine di settembre. Tale meccanismo di rilevazione e risposta ritardata è particolarmente allarmante. Le organizzazioni devono garantire un processo di monitoraggio continuo della sicurezza in tutte le loro applicazioni di produzione per rilevare e segnalare le vulnerabilità in tempo reale quando si verifica una violazione. Se questa politica è applicata con rigore, tali violazioni potrebbero essere contenute e il danno minimizzato molto più velocemente e più efficacemente. “

Un’altra preoccupazione è se gli aggressori hanno già fatto breccia nel bersaglio dei clienti di Adobe. “Una delle mie preoccupazioni è il movimento laterale all’interno della base di clienti”, dice Johnson di Carbon Black, dove gli aggressori hanno già effettuato il phishing dei clienti Adobe per rubare informazioni.

“Ci vorrà un po’ prima di conoscere tutte le ramificazioni di questo”, dice.

E Adobe non è l’ultima vittima di questa banda del crimine informatico: Gli esperti di sicurezza dicono di aspettarsi ulteriori rivelazioni di altre organizzazioni che sono state colpite.

Hai un commento su questa storia? Clicca su “Aggiungi il tuo commento” qui sotto. Se vuoi contattare direttamente i redattori di Dark Reading, inviaci un messaggio.

Kelly Jackson Higgins è l’editore esecutivo di Dark Reading. È una premiata giornalista veterana di tecnologia e business con più di due decenni di esperienza nel reporting e nell’editing per varie pubblicazioni, tra cui Network Computing, Secure Enterprise … Visualizza la bio completa