Niezamierzone szkody wyrządzane przez ataki APT

W jaki sposób ataki APT naruszają prywatność i bezpieczeństwo przeciętnych obywateli, którzy nie są ich bezpośrednim celem.

Zwykle ludzie myślą o atakach APT jak o szpiegowaniu: z pewnością nie jest to przyjemne, jednak nas, zwykłych śmiertelników, ta sprawa nie dotyczy. Większość z nas nie zna żadnych poważnych tajemnic przemysłowych ani rządowych, a na komputerze nie przechowuje żadnych tajnych informacji. Dlaczego więc mielibyśmy kogoś interesować?

W tym kontekście mamy rację. Jest mało prawdopodobne, aby zwykła osoba padła ofiarą sponsorowanego przez kraj ataku, ale nadal możemy stać się nią niejako przy okazji. Daniel Creus z Globalnego Zespołu ds. Badań i Rozwoju (GReAT) w firmie Kaspersky opowiedział o tym niedawno w Barcelonie. W dzisiejszym poście znajdziecie podsumowanie jego wystąpienia oraz trzy sytuacje, w których zwykli ludzie mogą zostać ofiarami ataku APT.

Scenariusz szkód ubocznych nr 1. Niewłaściwa strona internetowa w niewłaściwym czasie

W porównaniu z mniejszymi podmiotami osoby stojące za atakami APT mają wystarczająco dużo pieniędzy, aby zorganizować exploity dnia zerowego, w tym takie, które umożliwiają zdalne ataki „u wodopoju„. Badania przeprowadzone przez Google Project Zero w 2019 r.  wykazały, że jeden z aktorów wykorzystał aż 14 różnych luk w zabezpieczeniach w 5 różnych łańcuchach exploitów, aby zainfekować swoje cele oprogramowaniem szpiegującym.

Część z tych luk została wykorzystana do zdalnego zainfekowania użytkowników systemu iOS, którzy odwiedzili określone strony internetowe związane z polityką. W efekcie na ich telefonach znalazło się oprogramowanie szpiegowskie. Wśród odwiedzających stronę atakujący nie zdefiniował ofiar, a więc infekcja dotykała wszystkich użytkowników systemu iOS, którzy odwiedzili tę witrynę.

Nie był to jedyny atak APT tego rodzaju. Na przykład jeden z wektorów ataku niesławnego NotPetya (znanego również jako ExPetr) infekował najpierw strony internetowe rządu. Gdy użytkownicy odwiedzali witrynę, złośliwe oprogramowanie było pobierane i uruchamiane na ich komputerach. Warto przypomnieć, że NotPetya wywołał ogromne szkody uboczne.

W związku z tym jednym z problemów, jakie towarzyszą atakom APT, jest to, że jeśli odwiedzisz niewłaściwą stronę internetową lub pobierzesz feralną aplikację, złapiesz infekcję (mimo że nie będziesz pierwotnym celem), a prywatne informacje z urządzenia będą narażone na ujawnienie — lub zostaną zniszczone, gdy w trafisz na ransomware, np. NotPetya.

Scenariusz szkód ubocznych nr 2. Poważne zabawki w rękach cyberprzestępców

Ugrupowania APT często szukają tajemnic innych ugrupowań APT. Mają tendencję do hakowania się nawzajem, a czasami udaje im się zdobyć narzędzia przeciwnika. Wówczas inne, mniejsze i mniej zaawansowane ugrupowania mogą ich używać do tworzenia złośliwego oprogramowania, które czasami wymyka się spod kontroli. Na przykład niesławny program WannaCry został stworzony przy użyciu EternalBlue, czyli jednego z exploitów, które wyciekły za sprawą ugrupowania ShadowBrokers, które zdecydowało się opublikować arsenał cyberbroni innego ugrupowania, Equation Group.

Inne zagrożenia, takie jak NotPetya/ExPetr, Bad Rabbit czy EternalRocks, również wykorzystywały exploita EternalBlue. Wyciek jednego exploita spowodował serię kilku ogromnych epidemii i wielu mniejszych wydarzeń, które łącznie dotknęły setki tysięcy komputerów i zakłóciły pracę wielu firm i agencji rządowych na całym świecie.

Podsumowując, drugim problemem, na jaki mogą trafić zwykli ludzie, jeśli chodzi o APT, jest to, że podmioty stwarzające zagrożenie tworzą naprawdę niebezpieczne narzędzia, ale nie są w stanie ich upilnować. W rezultacie mogą one trafić w ręce cyberprzestępców o różnym stopniu kompetencji, którzy nie wahają się z nich korzystać, czasami wyrządzając szkody wielu niewinnym ludziom.

Scenariusz szkód ubocznych nr 3. Wyciek zebranych danych

Jak już wspomnieliśmy, ugrupowania stojące za atakami APT mają tendencję do hakowania się nawzajem. Czasami publikują nie tylko zdobyte narzędzia, ale także wszelkie informacje, które zostały zebrane przez ich wrogów za pomocą tych narzędzi. Na przykład w ten sposób upubliczniono dane zebrane przez niesławne narzędzie cyberszpiegowskie ZooPark.

W ciągu ostatnich 2 lat aż 13 dostawców oprogramowania stalkerware zostało zhakowanych lub udostępniło w internecie zebrane informacje na niechronionym, publicznie dostępnym serwerze internetowym. Jednak takie włamania dotykają również poważniejszych ugrupowań; zhakowani zostali nawet twórcy znanego zagrożenia FinFisher, a nawet jeszcze bardziej znany zespół Hacking Team, który opracowywał narzędzia śledzące.

Mamy więc trzeci problem: nawet jeśli ugrupowania APT nie atakują przeciętnych użytkowników, lecz zwyczajnie gromadzą informacje na ich  temat, informacje te są chętnie wykorzystywane przez mniejsze podmioty do wyłudzania lub wyszukiwania prywatnych danych — od numerów kart kredytowych i skanów dokumentów po informacje kontaktowe i kompromitujące zdjęcia.

Jak zapewnić sobie bezpieczeństwo przed atakami APT

Chociaż długotrwałe zaawansowane ataki są znacznie gorsze niż przeciętne złośliwe oprogramowanie, ochronić się przed nimi można dzięki stosowaniu tych samych technik, których używamy w walce z powszechnymi zagrożeniami:

  1. Na telefonie z systemem Android wyłącz możliwość instalacji aplikacji ze źródeł innych firm. Jeśli naprawdę musisz zainstalować jakąś zaufaną aplikację spoza sklepu Google Play, zrób to jednorazowo i nie zapomnij zmienić ustawienia po zakończeniu.
  2. Regularnie sprawdzaj uprawnienia aplikacji zainstalowanych na urządzeniu i unieważnij te, które Twoim zdaniem są zbędne do działania określonej aplikacji. Przed zainstalowaniem aplikacji warto również sprawdzić, z jakich uprawnień ona korzysta. Listę tę znajdziesz w sklepie Google Play.
  3. Nie otwieraj szemranych stron internetowych i nie klikaj linków ze źródeł, do których nie masz do zaufania. Jeśli osoba obca wysyła Ci link czy aplikację, raczej nie ma dobrych intencji. Niektóre ugrupowania APT potrafią zainfekować legalne strony internetowe, jednak wiele polega na starym, dobrym phishingu.
  4. Używaj niezawodnego rozwiązania zabezpieczającego, które skanuje wszystko, co ma zostać zainstalowane lub pobrane na urządzenie, a także sprawdza każde łącze i każdą paczkę. Nawet jeśli ktoś użyje sztuczki lub exploita, aby przedostać się na Twoje urządzenie, takie rozwiązanie zapewni Ci ochronę.
Porady