Attacks/Breaches

Atacatorii motivați financiar ar putea abuza de codul sursă furat pentru atacuri mai ample

La prima vedere, breșa masivă de la Adobe care a fost dezvăluită săptămâna trecută nu se potrivește perfect profilului unui atac pur de criminalitate informatică: Băieții răi nu numai că au furat datele clienților și informațiile despre cardurile de plată de la compania de software, dar au pus mâna și pe codul sursă al programelor ColdFusion, Acrobat și Reader de la Adobe.

Este încă neclar cum au obținut atacatorii datele clienților Adobe și codul sursă și ce au făcut, dacă au făcut ceva, pentru a manipula codul sursă în scopuri frauduloase. Dar ceea ce este clar este că atacatorii au accesat, fie intenționat, fie din greșeală, atât datele financiare valoroase ale clienților Adobe, cât și proprietatea intelectuală a acesteia – obținând astfel mai multe căi de a face bani.

„Acești indivizi erau orientați spre finanțe”, spune Alex Holden, CISO la Hold Security, care, împreună cu Brian Krebs de la KrebsOnSecurity, a descoperit cei 40 de gigabytes de cod sursă Adobe pe același server ca și datele furate de la LexisNexis, Dun & Bradstreet, Kroll și alții. „Dacă au avut acces mai întâi la codul sursă… rămâne de văzut.”

Adobe a dezvăluit joi târziu că a suferit masive „atacuri sofisticate” asupra rețelei sale care au dus la furtul de informații sensibile, inclusiv informații despre cardurile de plată a 2,9 milioane de clienți, precum și a codului sursă pentru mai multe produse software Adobe, inclusiv Adobe Acrobat, ColdFusion, ColdFusion Builder și alte programe Adobe. Brad Arkin, directorul de securitate al Adobe, a declarat că atacurile ar putea fi legate.

Hold Security’s Holden spune că atacatorii par să fi avut datele furate în posesia lor timp de cel puțin două luni. El spune că una dintre cele mai mari îngrijorări ale sale este că ar putea fi în curs de desfășurare un atac de tip „zero-day” împotriva aplicațiilor Adobe care nu a fost încă detectat. „S-ar putea să fi atacat ținte de nivel înalt. Acesta este un gând extrem de îngrijorător și înfricoșător”, spune Holden.

De obicei, infractorii cibernetici încearcă să încaseze rapid bani pe baza informațiilor furate de pe cardurile de plată sau a credențialelor de utilizator. În timp ce datele furate ale cardurilor de plată ale clienților Adobe au fost criptate, potrivit Adobe, este posibil ca atacatorii să fi reușit să culeagă cheile de criptare sau să spargă criptografia, în funcție de puterea și implementarea acesteia, spun experții în securitate.

Atacatorii ar putea monetiza codul sursă prin găsirea și vânzarea de exploit-uri pentru aplicațiile Adobe, de exemplu, spun experții. Sau ar putea pur și simplu să păstreze exploit-urile pentru ei înșiși pentru a le folosi în viitoare atacuri mai ample.

„Dacă te duci după Adobe sau după orice altă companie, te vei duce după informații pe care le poți monetiza rapid, dar, de asemenea, dacă găsești niște zero-days foarte bune în Adobe Reader sau ColdFusion, acest lucru ar putea duce pur și simplu la atacuri viitoare la mai mulți clienți”, spune Benjamin Johnson, CTO al Carbon Black. „Toată lumea are Adobe … este o suprafață atât de mare pe care o poți viza.”

Vânzările de exploit sunt profitabile, de ordinul a zeci de mii de dolari pentru o aplicație Adobe, de exemplu. „Codul-sursă este ceea ce face bani – te ajută să găsești vulnerabilitățile în produsele Adobe. De exemplu, un singur exploit de tip zero-day pentru Adobe Reader poate valora 50.000 de dolari pe piața neagră”, spune Timo Hirvonen, cercetător senior la F-Secure.

Livrarea codului sursă al Adobe ar oferi atacatorilor o modalitate mai eficientă de a fura informații. „În trecut, era atât de ușor pentru a face atacuri în masă – puteai obține milioane de oameni prin phishing și keyloggeri”, spune Dan Hubbard, CTO al OpenDNS. „Dar acum pare mai sofisticat, iar ei fac lucruri mai planificate, astfel încât, în loc să atace clientul și elementul uman, ei atacă unele dintre punctele slabe ale infrastructurii și extrag datele și își dau seama ce să facă … Este cu siguranță o schimbare interesantă în operațiuni.”

Dacă cel mai rău scenariu devine realitate și atacatorii au otrăvit de fapt codul sursă Adobe și apoi l-au distribuit clienților Adobe, atunci firma de software a fost mai mult un mijloc pentru un scop pentru atacatori. „Dacă, într-adevăr, codul sursă furat aparține ColdFusion și Acrobat, acest lucru ar putea lăsa mii de servere web deschise la compromiterea la voință și ar facilita compromiterea sistemelor utilizatorilor finali. Această breșă este un memento înfricoșător care ne reamintește că toate companiile de software ar trebui să fie în gardă, deoarece și ele ar putea fi o treaptă spre alte ținte”, spune Chris Petersen, CTO și cofondator al LogRhythm.

S-ar putea să mai treacă ceva timp până când imaginea completă a atacului Adobe va ieși la iveală – dacă o va face. Experții în securitate spun că, dacă într-adevăr Adobe a avut nevoie de până la șase săptămâni pentru a observa atacul, compania de software este dezavantajată de la început. „Ăsta este un avans pe care l-au avut băieții răi”, spune Johnson. Cheia este întotdeauna detectarea rapidă pentru a atenua pagubele, spun experții.

Bala Venkat, director de marketing al furnizorului de securitate a aplicațiilor Cenzic, este de acord. „Din investigațiile în curs de desfășurare, se pare că această încălcare la Adobe a început de fapt cândva în august și a continuat până la sfârșitul lunii septembrie. Un astfel de mecanism de detectare și răspuns întârziat este deosebit de alarmant. Organizațiile trebuie să se asigure că există un proces de monitorizare continuă a securității în toate aplicațiile lor de producție pentru a detecta și raporta în timp real vulnerabilitățile atunci când are loc o încălcare. Dacă această politică este aplicată cu rigurozitate, astfel de breșe ar fi putut fi ținute sub control și pagubele ar fi putut fi minimizate mult mai rapid și mai eficient. „

O altă preocupare este dacă atacatorii au făcut deja progrese în a viza clienții Adobe. „Una dintre preocupările mele este mișcarea laterală în cadrul bazei de clienți”, spune Johnson de la Carbon Black, unde atacatorii au făcut deja phishing cu clienții Adobe pentru a fura informații.

„Va trece ceva timp până când vom cunoaște toate ramificațiile acestui lucru”, spune el.

Și Adobe nu este ultima victimă a acestei bande de infractori cibernetici: Experții în securitate spun să ne așteptăm la noi dezvăluiri despre alte organizații care au fost lovite.

Aveți un comentariu la această știre? Vă rugăm să faceți clic pe „Adaugă-ți comentariul” de mai jos. Dacă doriți să contactați direct editorii de la Dark Reading, trimiteți-ne un mesaj.

Kelly Jackson Higgins este editorul executiv al Dark Reading. Este o jurnalistă veterană premiată în domeniul tehnologiei și al afacerilor, cu o experiență de peste două decenii în reportaje și editare pentru diverse publicații, printre care Network Computing, Secure Enterprise … Vezi biografia completă

.