Το βασικό γνώρισμα των επιθέσεων APT είναι η επιμονή του επιτιθέμενου στο να αποκτήσει πρόσβαση στο δίκτυο του θύματος και ταυτόχρονα η επιμονή στο να διατηρήσει αυτή την πρόσβαση μελλοντικά.
Η εξέλιξη του Cyber Crime
Έχει παρατηρηθεί ότι οι κυβερνοεπιθέσεις και γενικά το κυβερνοέγκλημα έχει αλλάξει άρδην την τελευταία δεκαετία. Οι κυβερνοεπιθέσεις είναι μία πραγματικότητα της σύγχρονης ζωής, που έχει προκαλέσει το ενδιαφέρον των μέσων μαζικής ενημέρωσης, των κυβερνήσεων και γενικά του πληθυσμό του “ανεπτυγμένου” κόσμου.
Οι σύγχρονοι εγκληματίες του κυβερνοχώρου, δεν επικεντρώνονται πια σε επιθέσεις της εξωτερικής περιμέτρου, καθώς το μοντέλο της παραδοσιακής ασφάλειας είναι πιο ώριμο από ποτέ. Αντιθέτως, χρησιμοποιούν ένα συνονθύλευμα από τεχνικές, με απώτερο σκοπό τη διείσδυσή τους σε ένα εσωτερικό δίκτυο που θα έχει σαν αποτέλεσμα τη διεξαγωγή απάτης, βιομηχανικής κατασκοπείας, δολιοφθοράς κλπ. Αυτό μπορεί να επιτευχθεί χρησιμοποιώντας εξελιγμένες τεχνικές και λογισμικά εισόδου/ παραμονής απομακρυσμένης πρόσβασης (Remote Access Tools), εκμεταλλευόμενοι πρωτόκολλα εξερχόμενης επικοινωνίας (inside-out), πρωτόκολλα όπως http/https, DNS κ.λπ.
Τα τελευταία 5 με 6 χρόνια οι επιθέσεις στο διαδίκτυο μοιάζουν να είναι πολύ πιο οργανωμένες και επαγγελματικές. Η τάση αυτή έγκειται στο γεγονός ότι οι επιτιθέμενοι δεν είναι πια ερασιτέχνες που αναζητούν δημοσιότητα, αλλά πολύ καλά πληρωμένοι και εκπαιδευμένοι επαγγελματίες, με έναν και μόνο στόχο: την εισβολή στο δίκτυο του θύματος και την εξαγωγή πολύτιμων δεδομένων.
Η αγορά του ηλεκτρονικού εγκλήματος γιγαντώνεται χρόνο με το χρόνο, σε σημείο όπου το 2009 τα κέρδη που απέφερε έφτασαν να είναι περισσότερα από τα κέρδη του εμπορίου ναρκωτικών παγκοσμίως (1 τρισεκατομμύριο δολάρια). Επίσης σύμφωνα με έρευνες, το 2008 το 80% των εταιρειών ανά τον κόσμο έπεσαν θύματα επίθεσης μέσω του διαδικτύου. Σε αυτήν την κατάσταση συνετέλεσε βέβαια και η ανικανότητα των παραδοσιακών αντιμέτρων και της περιμετρικής άμυνας γενικότερα, να αντιμετωπίσουν τόσο καλά οργανωμένες διαδικτυακές επιθέσεις. Συνεπώς, η security κοινότητα προσπαθεί να επικεντρωθεί σε ένα πιο δεδομένο, κεντρικό μοντέλο προστασίας. Αυτή την ανικανότητα τείνουν να εκμεταλλεύονται τα τελευταία χρόνια εξαιρετικά καταρτισμένοι διαδικτυακοί εγκληματίες, οι οποίοι είναι επίμονοι (persistent), τα μέσα που χρησιμοποιούν είναι εξελιγμένα (advanced) και η αποτελεσματικότητά τους μοιάζει να είναι τρομακτική (threatening).
Στο άρθρο αυτό θα προσδιορίσουμε και θα αναλύσουμε τον όρο Advanced Persistent Threat (APT), ο οποίος χρησιμοποιείται για να χαρακτηρίσει επιθέσεις πολύ μεγάλου εύρους, ενώ παράλληλα θα παρουσιάσουμε τη μεθοδολογία που χρησιμοποιούν οι επιτιθέμενοι βήμα-βήμα. Στο δεύτερο μέρος αυτού του άρθρου, το οποίο θα δημοσιευτεί στο επόμενος τεύχος, θα αναφέρουμε τους λόγους για τους οποίους τα συμβατικά αντίμετρα αδυνατούν να αντιμετωπίσουν αυτό το είδος των επιθέσεων και θα παρουσιάσουμε μια συγκεκριμένη μεθοδολογία ασφάλειας, ικανή να αντιμετωπίσει σε ένα αποδεκτό επίπεδο τις APT επιθέσεις.
The Advanced Persistent Threat
Ο όρος Advanced Persistent Threat χρησιμοποιήθηκε για πρώτη φορά το 2006 από το σώμα αεροπορίας των Ηνωμένων Πολιτειών Αμερικής, με σκοπό να περιγράψει διαδικτυακές επιθέσεις με πολύ συγκεκριμένα κοινά χαρακτηριστικά. Το βασικό γνώρισμα αυτών των επιθέσεων είναι η επιμονή, όπου εκδηλώνεται με 2 τρόπους. Επιμονή του επιτιθέμενου στο να αποκτήσει πρόσβαση στο δίκτυο του θύματος και ταυτόχρονα επιμονή στο να διατηρήσει αυτήν την πρόσβαση μελλοντικά. Εκτός από επιμονή, οι συγκεκριμένοι διαδικτυακοί εγκληματίες επιδεικνύουν εξαιρετικό ταλέντο και τεχνικές γνώσεις – ενώ ταυτόχρονα χρησιμοποιούν τα πιο εξελιγμένα hacking tools, εάν αυτό βέβαια κριθεί απαραίτητο. Το γεγονός αυτό κάνει πολλούς να πιστεύουν ότι οι επιθέσεις αυτές χρηματοδοτούνται κυρίως από κρατικές υπηρεσίες με μεγάλους προϋπολογισμούς. Ουσιαστικά, ο όρος APT χρησιμοποιείται για να περιγράψει πολύ καλά οργανωμένες και χρηματοδοτούμενες επιθέσεις εναντίον μεγάλων εταιρειών, με σκοπό να αποκτήσουν πρόσβαση στο δίκτυο του θύματος, να διατηρήσουν αυτήν την πρόσβαση και τελικά να αποσπάσουν ή να αλλοιώσουν πολύτιμα αρχεία.
Για να αντιληφθεί κανείς καλύτερα την τροπή που έχουν πάρει τα πράγματα, πρέπει να τονίσουμε ότι το 79% των διαδικτυακών επιθέσεων κατά τη διάρκεια του 2009 ήταν πλήρως ή μερικώς στοχοποιημένες, πράγμα το οποίο σημαίνει οτι οι επιτιθέμενοι δεν νοιάζονται πλέον για το βαθμό δυσκολίας της επίθεσης, αλλά για την αξία των πόρων του θύματος. Είναι επίσης πολύ σημαντικό ότι οι περισσότερες από τις διαδικτυακές επιθέσεις που πραγματοποιήθηκαν τα τελευταία 5 χρόνια και εμπεριείχαν APT χαρακτηριστικά, συσχετίστηκαν με την Κίνα. Αυτό είχε σαν αποτέλεσμα το 2007 η υπηρεσία αντικατασκοπείας του Ηνωμένου Βασιλείου, επίσημα πλέον, να προτρέψει την πλειονότητα των βρετανικών εταιρειών να προστατευθούν από κινεζικές διαδικτυακές επιθέσεις. Βέβαια, το Η.Β. δεν ήταν η πρώτη χώρα που κατηγόρησε ανοιχτά την Κίνα εκείνη την εποχή. Γαλλία, Αυστραλία, Γερμανία και Ν. Ζηλανδία έχουν επίσης καταδείξει την Κίνα ως υπαίτια για την κατακόρυφη αύξηση του διαδικτυακού εγκλήματος παγκοσμίως.
Μία από τις πιο πρόσφατες και χαρακτηριστικές APT επιθέσεις ήταν η επιχείρηση Aurora, όπως έτσι ονομάστηκε από τη McAfee. Η συγκεκριμένη επιχείρηση η οποία είδε τα φώτα της δημοσιότητας στις αρχές του 2010, ανάγκασε εταιρείες όπως οι Google, Adobe, Yahoo, Juniper και πολλές άλλες, να παραδεχθούν ότι έπεσαν θύματα πολύ καλά οργανωμένων και ικανών εγκληματιών – οι οποίοι είχαν σαν στόχο την υποκλοπή πηγαίου κώδικα αλλά και τεχνικών διαγραμμάτων. Βασικό χαρακτηριστικό των επιθέσεων αυτών ήταν η χρήση συγκεκριμένου Trojan (Remote Access Trojan) με το οποίο οι επιτιθέμενοι μπορούσαν να ελέγξουν από απόσταση τα μολυσμένα μηχανήματα, θέμα για το οποίο θα μιλήσουμε πιο αναλυτικά στη συνέχεια.
Παρότι κατά τη διάρκεια μιας APT επίθεσης χρησιμοποιούνται πολύ απλές και ήδη γνωστές τεχνικές διείσδυσης, ο τρόπος με τον οποίο αυτές είναι δομημένες καθιστά τον εντοπισμό τους πολύ δύσκολο και στις περισσότερες των περιπτώσεων ανέφικτο από τα συμβατικά αντίμετρα ασφαλείας. Σύμφωνα με τη Mandiant, η μεθοδολογία των APT επιθέσεων χωρίζεται σε 7 διακριτά βήματα, ενώ ο Michael Cloppert (security analyst του Υπουργείου Αμύνης των Η.Π.Α.) υποστηρίζει ότι τα βήματα αυτά είναι 6. Βασιζόμενοι στις παραπάνω αναφορές αλλά και σε περαιτέρω έρευνα καταλήξαμε στην ύπαρξη 5 διαδοχικών βημάτων. (εικόνα 1)
Reconnaissance
Στο πρώτο βήμα μιας APT επίθεσης, ο κύριος στόχος του επιτιθέμενου είναι να μαζέψει όσο το δυνατόν περισσότερες πληροφορίες για το μελλοντικό θύμα, οι οποίες θα φανούν χρήσιμες στην εξέλιξη του όλου εγχειρήματος. Μέσα από αυτό το στάδιο ο δράστης της επίθεσης μπορεί να σχηματίσει ένα ολοκληρωμένο προφίλ του στόχου του, εντοπίζοντας hostnames, domains, usernames, DNS καταχωρήσεις κτλ. Οι μέθοδοι συλλογής πληροφοριών που χρησιμοποιούνται, διαχωρίζονται σε παθητικές και ενεργητικές. Οι πρώτες αναφέρονται σε μεθόδους που χρησιμοποιούν οι επιτιθέμενοι για να συλλέξουν πληροφορίες που ήδη υπάρχουν ελεύθερα στο διαδίκτυο, όπως e-mails συγκεκριμένων χρηστών και usernames, που είναι για παράδειγμα διαθέσιμα μέσα από PGP servers δημόσιων κλειδιών. Αντίθετα, οι ενεργητικές μέθοδοι συλλογής πληροφοριών ουσιαστικά είναι αυτές όπου ο επιτιθέμενος πρέπει να αλληλεπιδράσει με το θύμα της επίθεσης για να πετύχει το στόχο του και όπως είναι φυσικό οι πληροφορίες που εκτίθενται σε αυτή την περίπτωση είναι πολύ πιο χρήσιμες. Ένα τέτοιο παράδειγμα είναι η διενέργεια μιας DNS brute force επίθεσης για τον εντοπισμό έγκυρων hostnames.
Για την επίτευξη του αρχικού τους στόχου λοιπόν, οι επιτιθέμενοι χρησιμοποιούν μηχανές αναζήτησης, social networks, PGP και DNS servers, metadata και πολλές άλλες πηγές, σε ένα ευρύ φάσμα χρόνου το οποίο κυμαίνεται από μήνες έως χρόνια (ανάλογα την πολυπλοκότητα του στόχου) έτσι ώστε να δημιουργηθεί ένα όσο το δυνατόν πιο ολοκληρωμένο προφίλ του θύματος.
Perimeter Network Intrusion and Backdoor Establishment
Το επόμενο βήμα μιας τέτοιας επίθεσης είναι η αρχική διείσδυση του επιτιθέμενου στο δίκτυο του θύματος και η μόλυνσή του με το κατάλληλο malware. Ως malware ορίζεται συνήθως κακόβουλο λογισμικό το οποίο μπορεί να είναι ιός, worm, Trojan ή οτιδήποτε παραπλήσιο. Η αρχική αυτή διείσδυση λοιπόν, επιτυγχάνεται μέσα απο μία πληθώρα μεθόδων, όπου βέβαια η πιο διαδεδομένη είναι η χρήση spear-phishing e-mails. (εικόνα 2) Αυτά είναι mails τα οποία μοιάζουν να έχουν σταλεί από μια αξιόπιστη πηγή και συνήθως έχουν ως στόχο άτομα με μεγάλη επιρροή μέσα σε μια εταιρεία. Η συγκεκριμένη πρακτική χρησιμοποιήθηκε και από τους δράστες της επιχείρησης Aurora που αναφέραμε παραπάνω. Τα mails αυτά έχουν σαν στόχο να πείσουν τον παραλήπτη να επισκεφθεί κάποιο κακόβουλο site μέσω ενός link ή να ανοίξει ένα κατάλληλα τροποποιημένο αρχείο ή ακόμα και να παίξει κάποιο Flash παιχνίδι. Όταν συμβεί αυτό, ο κώδικας του malware εκμεταλλεύεται κάποια συγκεκριμένη ευπάθεια του λογισμικού και καταφέρνει να δημιουργήσει το αρχικό backdoor στο δίκτυο του θύματος. Οι δράστες της επιχείρησης Aurora εκμεταλλεύτηκαν μία ευπάθεια στον Internet Explorer 6 – που όπως αποδείχθηκε αργότερα υπήρχε από τότε που πρωτοκυκλοφόρησε η συγκεκριμένη έκδοση του browser (περίπου 10 χρόνια!). Σύμφωνα με την F-Secure τα πιο δημοφιλή αρχεία που χρησιμοποιήθηκαν κατά τη διάρκεια στοχοποιημένων επιθέσεων το 2009 ήταν PDFs ενώ παράλληλα, σύμφωνα με τη Symantec, το πρώτο τρίμηνο του 2010 η πλειοψηφία των διαδικτυακών επιθέσεων βασίστηκε σε PDF αρχεία, σε ένα ποσοστό που έφτασε το 57% παγκοσμίως.
Εν συνεχεία, αφού εκτελεστεί ο αρχικός κώδικας του malware – που συνήθως ονομάζεται dropper – και δημιουργηθεί το πρώτο backdoor στο σύστημα “κατεβαίνει’ και ο υπόλοιπος κώδικας, που ως επί το πλείστον είναι ένα Remote Access Trojan (RAT). Ένα τέτοιο εργαλείο δίνει τη δυνατότητα στον επιτιθέμενο να μπορεί να ελέγχει το μολυσμένο τερματικό ποικιλοτρόπως και εξ αποστάσεως, μέσα από ένα πολύ φιλικό προς τον επιτιθέμενο GUI (εικόνα 3).
Βέβαια, το αρχικό APT malware πρέπει να παραμείνει στο μολυσμένο υπολογιστή ακόμα και μετά από μία πιθανή επανεκκίνηση, για αυτό και οι επιτιθέμενοι χρησιμοποιούν πολλές τεχνικές με σκοπό να κρύψουν το κακόβουλο λογισμικό τους σε “κοινή θέα”. Μερικές από αυτές τις τεχνικές είναι η παρεμβολή κώδικα σε διεργασίες του συστήματος, η προσθήκη του malware στο start-up φάκελο των Windows, η φόρτωση του malware σαν Windows Service ή ακόμα και η προσθήκη αρχείων σε συγκεκριμένα κλειδιά της registry. Στην υπόθεση Aurora για παράδειγμα, οι δράστες φόρτωσαν το malware στο system32 directory των Windows με τη μορφή ενός dll αρχείου. Σύμφωνα με τη Mandiant, στο 76% των APT επιθέσεων έγινε χρήση της Windows Service μεθοδολογίας.
Command and Control
Αφού το malware εγκατασταθεί στο μολυσμένο τερματικό, το αμέσως επόμενο βήμα είναι να επικοινωνήσει με servers που ελέγχονται από τους επιτιθέμενους και βρίσκονται εκτός του δικτύου του θύματος. Σύμφωνα με τη Mandiant, κάθε APT malware πραγματοποίησε μόνο εξερχόμενες συνδέσεις με τους servers και κανένα δεν περίμενε για κάποια εισερχόμενη. Το malware επικοινωνεί με τους servers τους οποίους διαχειρίζεται ο επιτιθέμενος, με σκοπό να δεχθεί εντολές για το πώς πρέπει να δράσει και κυρίως για να κατεβάσει επιπρόσθετο κακόβουλο λογισμικό με περαιτέρω δυνατότητες, όπως η υποκλοπή πληκτρολόγησης του χρήστη, η απομακρυσμένη διαχείριση του συστήματος, η καταγραφή φωνής κτλ. Η επικοινωνία αυτή επιτυγχάνεται μέσα από http και DNS πρωτόκολλα, έτσι ώστε να μη μπορεί να γίνει αντιληπτή από τα συμβατικά τείχη προστασίας (firewalls). Οι δράστες της επιχείρησης Aurora χρησιμοποιούσαν την πόρτα TCP 443 (https) για την επικοινωνία με το APT malware. (εικόνα 4)
Σε πολύ συγκεκριμένες περιπτώσεις οι δράστες APT επιθέσεων χρησιμοποίησαν social network sites και web-mail APIs για να μπορέσουν να επικαλύψουν τη C&C επικοινωνία που είχαν με το μολυσμένο τερματικό.
Lateral Movement
Ο επόμενος στόχος του επιτιθέμενου είναι πάντα η μόλυνση επιπρόσθετων τερματικών που βρίσκονται μέσα στο δίκτυο του θύματος. Αυτό επιτυγχάνεται με εργαλεία που έχουν δημιουργηθεί από τους δράστες, αλλά και με τη βοήθεια εφαρμογών που υπάρχουν ήδη σε κάθε σύστημα. Πριν συμβεί αυτό βέβαια, διενεργείται και μια δευτερεύουσα φάση αναγνώρισης, έτσι ώστε να μπορέσουν να εντοπιστούν επιπλέον χρήστες, τερματικά και φάκελοι που ίσως να είχαν διαφύγει της προσοχής των επιτιθέμενων. Επίσης θα προσπαθήσουν να συγκεντρώσουν πληροφορίες σχετικά με το μολυσμένο τερματικό, όπως την έκδοση του λειτουργικού του, τα εγκατεστημένα προγράμματα, τις υπάρχουσες συνδέσεις αλλά και τα privileges του χρήστη που είναι συνδεδεμένος εκείνη τη στιγμή.
Στη συνέχεια οι δράστες της APT επίθεσης θα προσπαθήσουν να διεισδύσουν στο Domain Controller με στόχο να αποκτήσουν πρόσβαση σε περαιτέρω usernames και passwords του συγκεκριμένου Domain. Επίσης θα εκμεταλλευτούν πολύ συγκεκριμένες ευπάθειες των βάσεων δεδομένων που υπάρχουν στο δίκτυο, όπως default passwords, un-patched servers κ.ά. με απώτερο σκοπό να εντοπίσουν επιπλέον διαπιστευτήρια (usernames+passwords) και τελικά να επεκτείνουν την κυριαρχία τους στο δίκτυο του θύματος. Βέβαια πολλές φορές χρησιμοποιούνται SQL injection τεχνικές στα intranet sites του θύματος, με τον ίδιο απώτερο σκοπό. Σύμφωνα με τη Mandiant, κατά τη διάρκεια μιας APT επίθεσης οι δράστες διεισδύουν στην πλειοψηφία των τερματικών με τη χρήση έγκυρων διαπιστευτηρίων, γεγονός το οποίο ουσιαστικά καταδεικνύει την ανάγκη για πιο αποτελεσματική διαχείριση κωδικών των συστημάτων και των χρηστών.
Data Ex-Filtration
Το τελικό και πιο σημαντικό βήμα κατά τη διάρκεια μιας APT επίθεσης είναι η εξαγωγή ευαίσθητων – και κατ’ επέκταση πολύτιμων δεδομένων – από το δίκτυο του θύματος που είναι και ο αντικειμενικός σκοπός ολόκληρης της επίθεσης. Κάθε ομάδα διαδικτυακών εγκληματιών χρησιμοποιεί διαφορετική μεθοδολογία, αλλά κάποια βασικά βήματα είναι παραπλήσια σε όλες τις περιπτώσεις.
Αρχικά, όλα τα αρχεία που θα ανακτηθούν μεταφέρονται σε ενδιάμεσους servers που βρίσκονται μέσα στο δίκτυο του θύματος και έχουν έντονη διαδικτυακή δραστηριότητα. Σε πολλές περιπτώσεις το ρόλο αυτό τον έπαιξαν οι mail servers του στόχου. Κατά τη μεταφορά των αρχείων, αυτά μετονομάζονται έτσι ώστε να μοιάζουν με Windows εφαρμογές και έτσι να μην κινούν κάποια υποψία. Αφού ολοκληρωθεί η μεταφορά όλων των αρχείων, αυτά κρυπτογραφούνται ή συμπιέζονται και μεταφέρονται σε εξωτερικούς servers μέσα από τα backdoors που έχουν δημιουργηθεί σε προηγούμενα στάδια της επίθεσης. Από εκεί οι επιτιθέμενοι μπορούν τελικά να τα συλλέξουν. Ολόκληρη η διαδικασία στο εσωτερικό δίκτυο του θύματος συντονίζεται από κάποιους μολυσμένους υπολογιστές που βρίσκονται κάτω από την επιρροή του επιτιθέμενου και λειτουργούν σαν C&C servers. Το σχεδιάγραμμα της εικόνας 5 αναπαριστά την αρχιτεκτονική μιας οργανωμένης επιχείρησης εξαγωγής δεδομένων, εναντίον συγκεκριμένης μεγάλης εταιρείας στις Η.Π.Α.
Conclusion
Πολύ πρόσφατες περιπτώσεις, όπως η επιχείρηση Aurora αλλά και στατιστικές σχετικά με το ηλεκτρονικό έγκλημα, καταδεικνύουν το γεγονός ότι τα συμβατικά αντίμετρα δεν είναι ικανά να αντιμετωπίσουν τόσο καλά οργανωμένες επιθέσεις. Ακόμα και παγκόσμιοι κολοσσοί όπως η Google και η Adobe δεν κατάφεραν να μείνουν αλώβητοι – και αυτό εξαιτίας της λάθος αμυντικής προσέγγισης που τείνει να επικρατεί στην πλειονότητα των Οργανισμών παγκοσμίως αλλά και στην Ελλάδα. Στο επόμενο άρθρο θα σας παρουσιάσουμε το λόγο που τα συμβατικά αντίμετρα αδυνατούν να αντιμετωπίσουν τέτοιες επιθέσεις και παράλληλα θα προτείνουμε μια μεθοδολογία άμυνας ικανή να εντοπίσει και τελικά να εμποδίσει τις APT επιθέσεις σε ένα ικανοποιητικό ποσοστό.
Σοφοκλής Κότσαρης
Information Security Consultant
Γεώργιος Φέκκας
Encode Security Assurance Manager