Mézesbödön a számítógépes bűnözők leleplezésére

Egy kiberbiztonsági cég kutatói kutatási céllal alakítottak ki egy mézesbödön-hálózatot, melynek célja épp az volt, hogy tanulmányozzák, miként dolgoznak a kiberbűnözők. A hálózat három napig maradt fenn.

A vállalati hálózatok azért kiemelt célpontjai a kibertámadásoknak, mert egy cégnek az átlagosnál sokkal több a veszíteni valója, és sokkal komplexebb hálózatokat tart fenn, melyekben nagyobb a hibalehetőség is. Ráadásul a vállalatoknak ellenére sokkal egyszerűbb kifizetniük a zsarolópénzt az adataikért, mint nulláról kezdeni mindent.

A biztonsággal foglalkozó Cybereason egy olyan mézesbödön-hálózatot épített ki, mely a külső szemlélőnek egy európai és amerikai érdekeltségekkel rendelkező áramszolgáltató vállalatnak látszik. A szakemberek minden tudásukat beleadták, hogy a támadók azt higgyék: valódi, élő vállalati hálózatot támadnak meg. Egy teljes IT- és napi működést szimuláló hálózatot építettek fel, amelyet mintha emberek működtetnének. A hálózat felépítése közben a vállalati hálózatok jellegzetes biztonsági sérülékenységeit csempészték be, átlagos jelszavakat használtak, de például a hálózati szegmentációra odafigyeltek – mintha csak adnának a biztonságra.

A mézesbödön-hálózatot az idén üzemelték be; három nap múltán a hálózatot felfedezték a kiberbűnözők és sikerült is beférkőzniük abba. A támadók távoli adminisztrációs eszközök segítségével behatoltak, és zsarolóvírust helyeztek el a gépeken, megfejtették a rendszergazda jelszavát, majd így távolról ellenőrizhették a gépeket.

Ezután egy hátsó ajtót helyeztek el egy kompromittált szerveren, és PowerShell eszközökkel (a népszerű Mimikatz is közöttük volt) segítségével további jelszavakat loptak el, ezzel tovább tudtak terjeszkedni a hálózatban, még több gépet tudtak megfertőzni.

Közben szkennelték a hálózatot, felfedték a végpontokat és további jelszavakat gyűjtöttek be terjeszkedésük közben. Ez azt is jelentette, hogy ha például a megtámadott vállalat nem hajlandó zsarolási pénzt fizetni, akkor azzal is fenyegetőzhetnek, hogy közzéteszik a megszerzett jelszavakat.

A zsarolóvírusos támadást csak azután indították el, miután a teljes hálózatot felfedezték – egyszerre, minden gépen, hogy a hatás sokkal drámaibb legyen. A mézesbödön-hálózatot azután más támadók is felfedezték maguknak, többségük ugyancsak zsarolóvírust helyezett el a kompromittált gépeken. Érdekes, hogy voltak olyan támadók is, akik csak begyűjtötték az adatokat, körbenéztek a hálózaton, majd távoztak – ők valószínűleg az ellenőrzés megszerzésére törekedtek csupán, ami egy áramszolgáltatónál esetében ütőkártya.

A mézesbödön-kísérlet fő tanulsága az volt, hogy a támadók zsarolóvírusok segítségével próbálnak anyagi haszonhoz jutni. Az is fontos következtetés, hogy egy olyan alapvető biztonsági intézkedés, mint a jelszavak erősségének növelése is látványosan növeli a vállalat biztonsági szintjét.