Attacks/Breaches
Finansiellt motiverade angripare kan missbruka stulen källkod för bredare attacker
Om man ser det massiva intrånget hos Adobe som avslöjades förra veckan passar inte riktigt in i profilen för en renodlad cyberbrottsattack: De har inte bara stulit kunduppgifter och information om betalkort från programvaruföretaget, utan de har också tagit källkoden till Adobes programvaror ColdFusion, Acrobat och Reader.
Det är fortfarande oklart hur angriparna fick tag på Adobes kunduppgifter och källkod, och vad de har gjort för att manipulera källkoden i bedrägerisyfte, om det nu är så att de har gjort något. Men vad som står klart är att angriparna antingen avsiktligt eller oavsiktligt fick tillgång till både Adobes värdefulla finansiella kunddata och dess immateriella egendom – vilket ger dem flera möjligheter att tjäna pengar.
”De här killarna var finansiellt inriktade”, säger Alex Holden, CISO på Hold Security, som tillsammans med Brian Krebs från KrebsOnSecurity upptäckte de 40 gigabyte av Adobes källkod på samma server som stulna data från LexisNexis, Dun & Bradstreet, Kroll och andra. ”Om de hade tillgång till källkoden först … det återstår att se.”
Adobe avslöjade sent på torsdagen att man hade utsatts för massiva ”sofistikerade attacker” på sitt nätverk som resulterade i stöld av känslig information, inklusive betalkortsinformation om 2,9 miljoner kunder, samt av källkod för flera Adobe-programvaror, inklusive Adobe Acrobat, ColdFusion, ColdFusion Builder och andra Adobe-programvaror. Brad Arkin, Chief Security Officer på Adobe, sade att attackerna kan vara relaterade.
Hold Securitys Holden säger att angriparna verkar ha haft de stulna uppgifterna i sin ägo i minst två månader. Han säger att en av hans största farhågor är att en zero-day-attack kan vara på gång mot Adobe-applikationer som ännu inte har upptäckts. ”De kan ha angripit mål på hög nivå. Det är en extremt oroande och skrämmande tanke”, säger Holden.
Cyberbrottslingar försöker vanligtvis snabbt tjäna pengar på stulna betalkortsuppgifter eller användaruppgifter. Även om de stulna betalkortsuppgifterna från Adobes kunder var krypterade, enligt Adobe, är det möjligt att angriparna kunde få fram krypteringsnycklarna eller knäcka kryptot, beroende på dess styrka och implementering, säger säkerhetsexperter.
Angrepparna skulle kunna tjäna pengar på källkoden genom att hitta och sälja exploateringar för Adobes appar, till exempel, säger experterna. Eller så kan de bara behålla exploateringarna för sig själva för att använda dem i mer omfattande framtida attacker.
”Om du ger dig på Adobe eller något annat företag kommer du att gå efter information som du snabbt kan tjäna pengar på, men om du hittar några riktigt bra zero-days i Adobe Reader eller ColdFusion kan det leda till framtida attacker hos flera kunder”, säger Benjamin Johnson, teknikchef på Carbon Black. ”Alla har Adobe … det är en så stor yta att angripa.”
Exploitförsäljning är lukrativ, till exempel tiotusentals dollar för en Adobe-app. ”Källkoden är det som ger pengar – den hjälper dig att hitta sårbarheterna i Adobes produkter. Till exempel kan en enda zero-day exploit för Adobe Reader vara värd 50 000 dollar på den svarta marknaden”, säger Timo Hirvonen, senior forskare på F-Secure.
Att utnyttja Adobes källkod skulle ge angriparna ett effektivare sätt att stjäla information. ”Förr i tiden var det så lätt att göra omfattande attacker – man kunde få tag på miljontals människor genom phishing och keyloggers”, säger Dan Hubbard, teknisk direktör på OpenDNS. ”Men nu ser det mer sofistikerat ut, och de gör saker som är mer planerade, så i stället för att gå efter klienten och den mänskliga faktorn går de efter några av svagheterna i infrastrukturen och drar tillbaka data och räknar ut vad de ska göra …”. Det är definitivt en intressant förändring i verksamheten.”
Om det värsta scenariot blir verklighet och angriparna faktiskt förgiftade Adobes källkod och sedan distribuerade den till Adobes kunder, så var programvaruföretaget mer ett medel för angriparna. ”Om den stulna källkoden verkligen gäller ColdFusion och Acrobat, kan detta lämna tusentals webbservrar öppna för att komprometteras på eget bevåg och göra det lättare att kompromettera slutanvändarsystem. Detta intrång är en skrämmande påminnelse om att alla programvaruföretag bör vara på sin vakt, eftersom även de kan vara en språngbräda till andra mål”, säger Chris Petersen, teknisk direktör och medgrundare av LogRhythm.
Det kan dröja innan den fullständiga bilden av Adobe-attacken framträder – om den nu framträder överhuvudtaget. Säkerhetsexperter säger att om det verkligen tog Adobe upp till sex veckor att märka attacken, är programvaruföretaget i underläge från början. ”Det är ett försprång som skurkarna hade”, säger Johnson. Nyckeln är alltid snabb upptäckt för att begränsa skadan, säger experterna.
Bala Venkat, marknadschef för leverantören av programsäkerhet Cenzic, håller med. ”Av de pågående undersökningarna framgår det att detta intrång hos Adobe faktiskt började någon gång i augusti och fortsatte i slutet av september. En sådan fördröjd upptäckt och reaktionsmekanism är särskilt alarmerande. Organisationer måste se till att det finns en process för kontinuerlig säkerhetsövervakning i alla deras produktionsapplikationer för att upptäcka och rapportera om sårbarheter i realtid när ett intrång inträffar. Om denna policy tillämpas strikt skulle sådana överträdelser ha kunnat begränsas och skadan minimeras mycket snabbare och mer effektivt. ”
En annan fråga är om angriparna redan har gjort inbrytningar för att rikta in sig på Adobes kunder. ”En av mina farhågor är den laterala rörelsen inom kundbasen”, säger Johnson från Carbon Black, där angriparna redan har phishat Adobes kunder för att stjäla information.
”Det kommer att dröja ett tag innan vi känner till de fullständiga konsekvenserna av detta”, säger han.
Och Adobe är inte det sista offret för det här cyberbrottsligan: Säkerhetsexperter säger att de kan förvänta sig ytterligare avslöjanden om andra organisationer som drabbats.
Har du en kommentar till den här historien? Klicka på ”Lägg till din kommentar” nedan. Om du vill kontakta Dark Readings redaktörer direkt kan du skicka ett meddelande till oss.
Kelly Jackson Higgins är chefredaktör för Dark Reading. Hon är en prisbelönt veteran inom teknik- och affärsjournalistik med mer än två decennier av erfarenhet av rapportering och redigering för olika publikationer, bland annat Network Computing, Secure Enterprise … Visa fullständig bio