W grudniu 2022 r. serwis KrebsOnSecurity poinformował, że cyberprzestępca posługujący się pseudonimem „USDoD” [akronim od US Department of Defence – red.] przeniknął do zweryfikowanej przez FBI sieci wymiany informacji InfraGard i sprzedawał dane kontaktowe wszystkich 80 000 jej członków. FBI zareagowało ponowną weryfikacją członków InfraGard i przejęciem forum cyberprzestępczego, na którym sprzedawano dane. Jednak 11 września 2023 r. USDoD powrócił po długiej nieobecności, aby ujawnić poufne dane pracowników skradzione gigantowi lotniczemu Airbus, obiecując jednocześnie, że w ten sam sposób potraktuje czołowych amerykańskich kontrahentów obronnych. Zhackowane logi zostały udostępnione szerszej widowni.
Jak do tego doszło?
W poście na anglojęzycznym forum cyberprzestępczym BreachForums, USDoD ujawniło informacje na temat około 3200 dostawców Airbusa, w tym nazwiska, adresy, numery telefonów i adresy e-mail. USDoD twierdził, że zdobył te dane za pomocą haseł skradzionych pracownikowi tureckich linii lotniczych, który miał dostęp do systemów Airbusa.
USDoD nie powiedział, dlaczego zdecydował się na wyciek danych w 22. rocznicę ataków z 11 września, ale w wiadomości, która towarzyszyła wyciekowi, zdecydowanie pojawił się motyw samolotu, który kończył się słowami: „Lockheed Martin, Raytheon i cała branżo obronna, nadchodzę po was”.
Airbus najwyraźniej potwierdził konto cyberprzestępcy firmie Hudson Rock, która ustaliła, że dane uwierzytelniające Airbusa zostały skradzione po tym, jak pracownik tureckich linii lotniczych zainfekował swój komputer powszechnym i potężnym trojanem wykradającym informacje o nazwie RedLine. W ten sposób zhackowane logi dostały się w ręce USDoD.
Jak to działa?
Trojany wykradające informacje, takie jak RedLine, są zwykle wdrażane za pośrednictwem oportunistycznych kampanii e-mailowych ze złośliwym oprogramowaniem oraz poprzez potajemne dołączanie trojanów do złamanych wersji popularnych programów udostępnianych online. Dane uwierzytelniające skradzione przez złodziei informacji często trafiają na sprzedaż w sklepach cyberprzestępczych, które sprzedają wykradzione hasła i pliki cookie uwierzytelniające (dzienniki te często pojawiają się również w usłudze skanowania złośliwego oprogramowania VirusTotal).
Hudson Rock powiedział, że odzyskał pliki dziennika utworzone przez infekcję RedLine w systemie pracownika tureckich linii lotniczych i stwierdził, że pracownik prawdopodobnie zainfekował swój komputer po pobraniu pirackiego i potajemnie backdoorowanego oprogramowania dla systemu Microsoft Windows.
Hudson Rock twierdzi, że infekcje wykradające informacje z RedLine i wielu podobnych trojanów wzrosły w ostatnich latach i pozostają „głównym początkowym wektorem ataku wykorzystywanym przez podmioty zagrażające do infiltracji organizacji i przeprowadzania cyberataków, w tym ransomware, naruszeń danych, przejęć kont i szpiegostwa korporacyjnego”.
Powszechność RedLine i innych złodziei informacji oznacza, że wiele poważnych naruszeń bezpieczeństwa zaczyna się od cyberprzestępców wykorzystujących skradzione dane uwierzytelniające pracowników. W tym scenariuszu atakujący tymczasowo przejmuje tożsamość i uprawnienia online przypisane zhakowanemu pracownikowi, a na pracodawcy spoczywa obowiązek rozróżnienia.
Nie tylko hasła i logi
Oprócz kradzieży haseł przechowywanych lub przesyłanych przez zainfekowany system, złodzieje informacji wykradają również uwierzytelniające pliki cookie lub tokeny, które pozwalają pozostać zalogowanym do usług online przez długi czas bez konieczności ponownego podawania hasła i wieloskładnikowego kodu uwierzytelniającego. Kradnąc te tokeny, atakujący mogą często ponownie wykorzystać je we własnej przeglądarce internetowej i ominąć wszelkie uwierzytelnienia normalnie wymagane dla tego konta.
Microsoft Corp. przyznał w tym tygodniu, że wspierana przez Chiny grupa hakerska była w stanie wykraść jeden z kluczy do swojego królestwa poczty elektronicznej, który zapewniał niemal nieograniczony dostęp do skrzynek odbiorczych rządu USA. Microsoft w szczegółowym post-mortem cum mea culpa wyjaśnił, że tajny klucz podpisujący został skradziony pracownikowi w pechowej serii niefortunnych zdarzeń, a dzięki TechCrunch wiemy teraz, że winowajcą po raz kolejny było „złośliwe oprogramowanie kradnące tokeny” w systemie pracownika.
W kwietniu 2023 roku FBI przejęło Genesis Market, tętniący życiem, w pełni zautomatyzowany sklep cyberprzestępczy, który był stale uzupełniany świeżo zhakowanymi hasłami i tokenami uwierzytelniającymi skradzionymi przez sieć wykonawców, którzy wdrożyli RedLine i inne złośliwe oprogramowanie do kradzieży informacji.
W marcu 2023 r. FBI aresztowało i oskarżyło domniemanego administratora BreachForums (aka Breached), tej samej społeczności cyberprzestępczej, z której USDoD wyciekły zhackowane logi Airbusa. W czerwcu 2023 r. FBI przejęło nazwę domeny BreachForums, ale od tego czasu forum zostało przeniesione do nowej domeny.
Jak się bronić?
Niechciane wiadomości e-mail nadal stanowią ogromny wektor dla złośliwego oprogramowania wykradającego informacje, ale ostatnio oszuści stojący za tymi programami oszukują wyszukiwarki, aby ich złośliwe witryny podszywające się pod popularnych dostawców oprogramowania faktycznie pojawiały się przed witryną legalnego dostawcy. Należy więc zachować szczególną ostrożność podczas pobierania oprogramowania, aby upewnić się, że program pochodzi z oryginalnego, legalnego źródła.
Ponadto, jeśli naprawdę nie wiesz, co robisz, nie pobieraj i nie instaluj pirackiego oprogramowania.