Ataki/wykrycia

Atakujący z motywacją finansową mogą wykorzystać skradziony kod źródłowy do szerszych ataków

Na pierwszy rzut oka ogromne naruszenie w firmie Adobe, które zostało ujawnione w zeszłym tygodniu, nie pasuje do profilu czystego ataku cyberprzestępczego: Złoczyńcy nie tylko ukradli dane klientów i informacje o kartach płatniczych firmy Adobe, ale również zdobyli kod źródłowy programów ColdFusion, Acrobat i Reader firmy Adobe.

Nadal nie jest jasne, w jaki sposób napastnicy zdobyli dane klientów firmy Adobe oraz jej kod źródłowy, a także co, jeśli w ogóle, zrobili, aby zmanipulować kod źródłowy w celu dokonania oszustwa. Wiadomo jednak, że napastnicy celowo lub nieumyślnie uzyskali dostęp zarówno do cennych danych finansowych klientów Adobe, jak i do jej własności intelektualnej, dzięki czemu zyskali wiele możliwości zarabiania pieniędzy. „Czy mieli oni dostęp do kodu źródłowego jako pierwsi… to się dopiero okaże.”

Adobe późnym czwartkiem ujawniło, że doświadczyło masowych „wyrafinowanych ataków” na swoją sieć, które doprowadziły do kradzieży poufnych informacji, w tym informacji o kartach płatniczych 2,9 miliona klientów, a także kodu źródłowego wielu produktów oprogramowania Adobe, w tym Adobe Acrobat, ColdFusion, ColdFusion Builder i innego oprogramowania Adobe. Brad Arkin, główny specjalista ds. bezpieczeństwa w Adobe, powiedział, że ataki mogą być powiązane.

Hold Security’s Holden mówi, że napastnicy wydają się mieć skradzione dane w ich posiadaniu przez co najmniej dwa miesiące. Mówi, że jednym z jego największych zmartwień jest to, że przeciwko aplikacjom Adobe może być przeprowadzany atak typu zero-day, który nie został jeszcze zauważony. „Mogli zaatakować wysoko postawione cele. To bardzo niepokojąca i przerażająca myśl” – mówi Holden.

Cyberprzestępcy zazwyczaj próbują szybko spieniężyć skradzione informacje o kartach płatniczych lub dane uwierzytelniające użytkowników. Według firmy Adobe skradzione dane kart płatniczych klientów Adobe były zaszyfrowane, ale możliwe, że napastnicy byli w stanie zdobyć klucze szyfrujące lub złamać kryptografię, w zależności od jej siły i sposobu wdrożenia, twierdzą eksperci ds. bezpieczeństwa.

Atakujący mogliby spieniężyć kod źródłowy, na przykład znajdując i sprzedając exploity dla aplikacji Adobe, twierdzą eksperci. Mogą też zachować exploity dla siebie, aby wykorzystać je w przyszłych atakach na szerszą skalę.

„Jeśli atakujesz Adobe lub jakąkolwiek inną firmę, będziesz szukał informacji, na których możesz szybko zarobić, ale jeśli znajdziesz naprawdę dobre zero-days w Adobe Reader lub ColdFusion, może to doprowadzić do przyszłych ataków na kilku klientów” – mówi Benjamin Johnson, CTO firmy Carbon Black. „Każdy ma Adobe … to ogromna powierzchnia do zaatakowania.”

Sprzedaż exploitów jest lukratywna, na przykład dziesiątki tysięcy dolarów za aplikację Adobe. „Kod źródłowy jest źródłem pieniędzy – pomaga znaleźć luki w produktach Adobe. Na przykład, pojedynczy exploit zero-day dla Adobe Reader może być wart 50 000 dolarów na czarnym rynku” – mówi Timo Hirvonen, starszy badacz w firmie F-Secure.

Wykorzystanie kodu źródłowego Adobe zapewniłoby atakującym bardziej efektywny sposób wykradania informacji. „W przeszłości łatwo było przeprowadzać ataki typu spree – można było pozyskać miliony ludzi poprzez phishing i keyloggery” – mówi Dan Hubbard, CTO z OpenDNS. „Ale teraz wygląda to bardziej wyrafinowanie, a ataki są bardziej zaplanowane, więc zamiast atakować klienta i element ludzki, atakują słabe punkty infrastruktury, wyciągają dane i zastanawiają się, co zrobić … To zdecydowanie interesująca zmiana w operacjach.”

Jeśli najgorszy scenariusz stanie się rzeczywistością i atakujący rzeczywiście zatruli kod źródłowy Adobe, a następnie rozprowadzili go wśród klientów Adobe, to firma programistyczna była bardziej środkiem do celu dla atakujących. „Jeśli rzeczywiście skradziony kod źródłowy dotyczy ColdFusion i Acrobata, może to spowodować, że tysiące serwerów WWW będą podatne na ataki z własnej woli, a także ułatwić atakowanie systemów użytkowników końcowych. To naruszenie jest mrożącym krew w żyłach przypomnieniem, że wszystkie firmy produkujące oprogramowanie powinny mieć się na baczności, ponieważ one również mogą być krokiem do innych celów”, mówi Chris Petersen, CTO i współzałożyciel LogRhythm.

Może minąć trochę czasu, zanim pojawi się pełny obraz ataku Adobe — jeśli w ogóle się pojawi. Eksperci ds. bezpieczeństwa twierdzą, że jeśli Adobe rzeczywiście potrzebowało aż sześciu tygodni, aby zauważyć atak, firma programistyczna jest w niekorzystnej sytuacji od samego początku. „Źli ludzie mieli przewagę” – mówi Johnson. Kluczem jest zawsze szybkie wykrycie, aby ograniczyć szkody, mówią eksperci.

Bala Venkat, dyrektor ds. marketingu w firmie Cenzic, zajmującej się bezpieczeństwem aplikacji, zgadza się z tym. „Z trwających dochodzeń wynika, że naruszenie w Adobe rozpoczęło się w sierpniu i trwało do końca września. Takie opóźnienie mechanizmu wykrywania i reagowania jest szczególnie niepokojące”. Organizacje muszą zapewnić ciągły proces monitorowania bezpieczeństwa we wszystkich swoich aplikacjach produkcyjnych, aby wykrywać i informować o lukach w zabezpieczeniach w czasie rzeczywistym, gdy dochodzi do naruszenia. Jeśli ta polityka jest egzekwowana z rygorem, takie naruszenia mogłyby zostać opanowane, a szkody zminimalizowane znacznie szybciej i skuteczniej. „

Innym zmartwieniem jest to, czy atakujący już poczynili postępy w namierzaniu klientów Adobe. „Jedną z moich obaw jest ruch boczny w bazie klientów”, Carbon Black’s Johnson mówi, gdzie napastnicy już phished klientów Adobe do kradzieży informacji.

„To będzie trochę czasu, aż wiemy, pełne konsekwencje tego,” mówi.

A Adobe nie jest ostatnią ofiarą tego gangu cyberprzestępców: Eksperci ds. bezpieczeństwa mówią, aby oczekiwać dalszych rewelacji o innych organizacjach, które zostały dotknięte.

Masz komentarz do tej historii? Proszę kliknąć „Dodaj swój komentarz” poniżej. Jeśli chcesz się skontaktować bezpośrednio z redakcją Dark Reading, wyślij nam wiadomość.

Kelly Jackson Higgins jest redaktorem wykonawczym Dark Reading. Jest wielokrotnie nagradzanym weteranem technologii i dziennikarzem biznesowym z ponad dwudziestoletnim doświadczeniem w raportowaniu i redagowaniu dla różnych publikacji, w tym Network Computing, Secure Enterprise … View Full Bio