Szellem a gép ellen

|

A zsarolóprogramokkal végrehajtott látványos támadások felől a rendszerek mélyén megbúvó, lopakodó módszerek irányába fordul a kiberbűnözők figyelme, derült ki a Trend Micro féléves kiberbiztonsági jelentéséből. Titokban ugyanis a nehezen észlelhető akciókkal nagyobb zsákmányra tehetnek szert, legyen az értékes adat vagy kriptopénz bányászására fogott számítógépes kapacitás.

Közvetlenül a CLOUDSEC 2018 előtt tette közzé féléves jelentését (Midyear Security Roundup 2018) a Trend Micro. A Londonban szeptember elején megrendezett konferencia előadásai az emberi és a mesterséges intelligencia dinamikusan fejlődő kapcsolatát a kiberfenyegetések és -védelem összefüggésében vizsgálták, így a friss elemzés eredményeire több ponton is hivatkozhattak.

Hirdetés

Január és június között a kriptopénzeket bányászó bűnözők bizonyultak a legaktívabbnak. A múlt év első hat hónapjához képest 956 százalékkal nőtt a számítógépes erőforrások megszerzését célzó támadások száma, de ha 2017 egészéhez viszonyítunk, az idei év első fele akkor is 96 százalékos növekedést hozott. Mindez arra utal, hogy a kiberbűnözők a kisebb bevétellel kecsegtető, de gyorsan fizető zsarolóprogramos támadások helyett - amelyek nem is olyan rég még az online alvilág slágerének számítottak - ma már inkább a színfalak mögé bújnak, és a lassabb, de a konyhára sokkal többet hozó módszereket részesítik előnyben. Az erőforrás-igényes kriptopénz-bányászathoz az áldozatok feldolgozási kapacitását megszerző akcióik pontosan ilyenek.

- Évek óta tapasztaljuk a trendet, amelyet a fenyegetési környezet mostani változása is tükröz - mondta Jon Clay, a Trend Micro globális fenyegetéskommunikációs igazgatója -, a kiberbűnözők folyamatosan változtatnak eszközeiken, taktikájukon és eljárásaikon, hogy minél több számítógépet keríthessenek hatalmukba, és a lehető legnagyobb zsákmányra tehessenek szert. A vaktában lövöldöző, a nagy számok törvényében bízó támadások, mint például a zsarolóprogramokkal végrehajtott akciók és a tömeges adatlopások az utóbbi években túlságosan elterjedtek, ismertté váltak, ezért a kiberbűnözők ismét taktikát váltottak, és a háttérben lopakodva, eddig kevéssé vagy egyáltalán nem alkalmazott módszerekkel próbálnak behatolni a kiszemelt áldozatok rendszereibe. Válaszul a szervezetek informatikai biztonságáért felelő vezetőknek is folyamatosan újra kell értékelniük és szükség szerint továbbfejleszteniük kibervédelmüket, hogy az mindig helytálljon a legfrissebb és leginkább fenyegető támadásokkal szemben is.

Soha nem látott fenyegetések
A rosszindulatú szoftverek olyan szokatlan típusai ütötték fel fejüket az év első felében, mint a fileless, a macro és a small file malware. A múlt év második feléhez képest a Trend Micro idén január és június között például 250 százalékos növekedést mért a small file kategóriába tartozó TinyPOS aktivitásában. Ezek az egzotikus kártevők könnyen kijátsszák a csupán egyfajta védelmet adó kiberbiztonsági megoldások éberségét. A fájl nélküli (fileless) fenyegetések például azért kapták nevüket, mert jellemzően a megtámadott rendszer memóriájában futnak vagy beállításjegyzékében, konfigurációs adatbázisában lapulnak meg, így működésükhöz nem használnak a gép helyi tárolójára írt bináris fájlokat. Mondhatnánk úgy is, hogy ezek a kártevők a papírmunkát mellőzve, röptében pusztítanak - injektálják magukat a futó alkalmazásokba, vagy olyan, legitim eszközökben futtatnak le kódrészeket, mint a PowerShell. A fájl nélküli fenyegetések aktivitása ezért csak közvetett módon, speciális kódfuttatási események valós idejű figyelésével és elemzésével, például a gépi tanulás, a mesterséges intelligencia képességeivel bíró eszközökkel érhető tetten.

Januártól júniusig a Trend Micro Zero Day Initiative (ZDI) programja - amelyben több mint 3 ezer független kiberbiztonsági kutató vesz részt - hatszáznál több nulladik napi sérülékenységet publikált, ami szintén növekedést mutat a múlt év második felében közzétett 578-hoz képest. Közülük azonban csupán 23 jelent meg úgy, hogy a szoftver szállítója a megadott határidőre nem készült el a javítással, ami azért biztató.

Aggasztó viszont az ipari felügyelő, vezérlő és adatgyűjtő rendszerek - ezzel együtt a kritikus infrastruktúrák - biztonságára nézve, hogy a ZDI kétszer annyi SCADA-sérülékenységet talált, mint a múlt év azonos időszakában, de a növekedés 2017 második feléhez mérten is 30 százalékos volt. A SCADA-rendszerekben felfedezett sérülékenységek 65 százalékát a kutatók az Advantech webalapú HMI (human-machine interface) szoftverében találták. A SCADA HMI digitális csomópontként segíti a kritikus infrastruktúrák központi menedzselését, a működést vezérlő, különböző rendszerek állapotának áttekintését. Bár korlátozott mértékben fér hozzá az egyes folyamatokhoz, azokról diagnosztikai adatokat gyűjt, hogy összevesse őket a célul megjelölt szintekkel, ezért a benne lévő adatok hírszerzés szempontjából nagyon is értékesek lehetnek a kiberbűnözők számára. Nem kizárt persze az sem, hogy a támadók továbbmennek a puszta kémkedésnél, és a feltört HMI rendszerben átállítják például a veszélyes anyagokat tartalmazó tartályok telítettségét jelző értékeket, így azok túlcsordulnak, a megrongált eszközök kiesésével a folyamatok is leállnak, és még nagyobb kárt okoznak. Ma még kevéssé jellemzőek az ilyen típusú támadások, de kockázatuk nagyon is valós, amivel a kritikus infrastruktúrák védelmével megbízott vezetőknek mindenképpen számolniuk kell, figyelmeztet jelentésében a Trend Micro.

Kétszeresen is fontossá vált az idei év első felétől a SCADA-sérülékenységek kezelése az Európai Unió területén működő szervezetek meghatározott körén belül. A sokkal ismertebb GDPR mellett májusban ugyanis hatályba lépett az Európai Bizottság NIS irányelve (Network and Information Security Directive) is, amelynek értelmében a kritikus infrastruktúrát működtető - pénzügyi, távközlési, energetikai, egészségügyi és más - szolgáltatóknak azonnal jelenteniük kell a hatóságoknak, ha olyan kiberbiztonsági eseményt élnek meg, amely érezhetően kihat tevékenységükre. Ennek elmulasztása esetén az érintett szervezetek ugyanolyan súlyos, éves bevételük 4 százalékát vagy 20 millió eurót elérő bírságra számíthatnak, mint amilyen a GDPR esetében is kiróható.

A lakossági, illetve irodai felhasználásra készült szofverek kategóriájában az Adobe termékeiben találták a ZDI kutatói a legtöbb nulladik napi sérülékenységet. Nem túl jó hír, hogy a sérülékenységekkel az alternatív PDF-olvasóként számon tartott Foxitnak is meggyűlt a baja az első félévben. A Microsoft szoftvereiben felfedezett sérülékenységek harmadát a két böngésző, az Internet Explorer és az Edge jegyezte ebben az időszakban, míg a többit főleg a Windows.

Rés a vason
Januárban a Google azzal indította az évet, hogy bejelentette, komoly biztonsági résre bukkant az Intel és az AMD, valamint az ARM processzorokban. A Meltdown és a Spectre kártevőkkel megcélozva ezeket a CPU-utasítások végrehajtásával összefüggő sérülékenységeket a kibertámadók olyan információkhoz férhettek hozzá, amelyeket eddig alapvetően elszigeteltnek, a fenyegetésekkel szemben immunisnak hittünk.

A szoftverek sérülékenységeivel szemben - amelyek jellemzően egy-egy operációs rendszer vagy alkalmazás meghatározott verzióira korlátozódnak, így egyetlen szállító is javítani tudja őket - a hardver biztonsági rései egészen más léptékű kihívás elé állítják az iparág egészét és a vállalati hálózatukat védeni próbáló szervezeteket is. A hasonló felfedezések arra figyelmeztetnek, hogy a teljes informatikai ökoszisztéma már hosszabb ideje alapjaiban sérülékeny lehet, és valószínűleg további, mélyen gyökerező biztonsági rések is megbújnak benne. Még aggasztóbb, hogy ez a kiberbűnözők és más agresszorok figyelmét sem kerüli el, és az eddiginél aktívabban kereshetik a támadási felületeket ezen a szinten is.

Éppen ezért egy percig sem lehet kétséges a vállalati rendszerek biztonságáért felelő informatikai szakemberek számára, hogy a rájuk bízott hálózatban található minden eszközt folyamatosan frissíteniük és javítaniuk kell, de a gyakorlatban ez nem ilyen egyszerű. A felfedezett sérülékenységeket javító csomagokat kibocsátó hardver- és szoftverszállítók eltérő ütemezése miatt a frissítéseket nehéz összehangolni és úgy menedzselni, hogy ne okozzon fennakadást a napi munkában. Ráadásul az informatikai vezetőknek és a rendszeradminisztrátoroknak mérlegelniük kell azt is, hogy a javítások telepítésével a teljesítményből mennyit készek feláldozni a biztonság oltárán.

Bár újabb rendszerekkel is megesik, hogy javítást követően lassulnak, esetleg el sem indíthatók, a régebbi verziójú szoftvereket futtató gépek különösen ki vannak téve a teljesítménycsökkenés kockázatának. Minthogy a kritikus infrastruktúrákban igen elterjedtek az örökölt rendszerek, működtetőiknek nagy gondot kell fordítaniuk kibervédelmük fejlesztésére, figyelmeztet jelentésében a Trend Micro. Érdemes ehhez olyan szállító megoldásaira és szakértelmére támaszkodniuk, amely átfogó és többrétegű védelmet ad mind az elterjedt és ismert, mind az újonnan felbukkanó egzotikus fenyegetésekkel szemben.

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.