Vladimir Cicović
DevOps/ GitOps
Topor Live, Telegram kanal sa preko 3.9M pratilaca, izvestio je 14.06.2023. da će u narednih 48 sata REvil, Anonymous Sudan i Killnet “srušiti” čitav evropski bankarski sistem.
Source: Twitter
Najavljeni napad se, međutim, nije desio. Ipak, u ovom tekstu analiziraju se faktori koji utiču na uspešnost sajber napada u situaciji kada se napad unapred najavljuje, kao što je ovde bio slučaj.
1) FAKTORI KOJI UTIČU NA USPEH NAPADA
Tajnost operacije
Na uspjeh bilo kakvog angažovanja u sajber prostoru utiče najviše tajnost operacije. Tu se meta/žrtva bez vanrednih mjera osjeća sigurno u svakodnevnoj rutini i poslovima. Bilo kakav nagovještaj operacije ugrožava istu jer suprotna strana se može prilagoditi potencijalnom napadu i napadaču. Meta u slučaju prepoznavanja aktivnosti može podići nivo angažovanja ljudstva, sredstava i očekivanog učinka napada. Ako se prepoznaje , recimo, da će biti izvršen DDOS napad na mrežu gdje se nalazi meta – iste se mogu ili proširiti na nove (na nekoliko dana ili sedmica) mreže/izlaze/ulaze ili angažovati dodatna sredstva da bi osigurali nesmetan rad. Ovo može biti privremeno i vremenski ograničeno. Samim tim postoji mogućnost od neuspjeha napada.
Tajnost mete/cilja operacije
U slučaju otkrivanja mete/cilja opet dolazi do dodatnih angažovanja ljudstva, sredstava, vrši se analiza kompletnog IT sektora, uspostavlja se režim u kojem se (ograničeni period) vrši zaštita mete/cilja. Sav fokus ide na metu, analizu mete i rada iste – sa ciljem stvaranja modela gdje meta/cilj i dalje funkcioniše. Npr. kradja svih računara u jednoj filijali banke – gdje se prave dodatne rezerve (na nekom drugom mjestu) i bekup radnih stanica/servera kroz ograničeni vremenski period.
Tajnost učesnika operacije
Jedna od stvari uspjeha može biti i tajnost učesnika. U slučaju otkrivanja postoji mogućnost opstrukcije ili manipulacije učesnicima. Učesnici se mogu opstruisati tehnički, psihološki i fizički. Tehnički, sredstva izvršenja: računari, internet konekcije, struja. Psihološki: izazivanje sukoba između članova grupe, stvaranja osjećaja krivice ili druge vrste manipulacija. Fizički, likvidacija ili otmica.
Tajnost početka operacije
Ovisno o finalnom cilju prema meti – samo otkrivanje početka može pomoći racionalnom angažovanju sredstava i propasti kompletne operacije. Mogućnost tajnih operacija druge strane kako bi finalno uticala na propast il ometanje napada.
Tajnost lanca operacije
Ovdje se uzima model ransomware grupe/DdoS. Čitav lanac koji se koristi za operaciju (ransomware treba IA initial access, C2 servere, C2 alatke i operatore za iste) (DdoS koristi plaćene DDOS servise, osobe koje uspostavljaju sopstvene DdoS servise, novac/kriptovalute) (remote exploit, ranjivost, 0day brokeri).
U slučaju da je poznat čitav ovaj lanac koji se koristi za operaciju ili samo dio – pa samim tim mogu uticati na manji dio da napadača onesposobe il onemoguće kako bi nastavio napad.
- Initial Access: ubacivanje FBI agenata/agenata privatnih intel kompanija sa lažnim pristupima odredjenim kompanijama. Uvodi se kompletna lažna IT struktura kompanije, ili se daje tačno pristup sa nalozima u kontrolisanom okruženju – gdje napadač se onemogućava da napadne komplet IT strukturu već samo onaj manji dio koji je u kontrolisanom okruženju (izolovan, isključen sa glavnog dijela).
- C2 serveri: ubacivanjem servera sa punom kontrolom nad napadačevim server side softwerom i onemogućavanjem rada u određenom dijelu operacija ili monitoring konekcija prema metama
- C2 tools/alatke: prodaja bekdorovanih alata, monitoring, uništavanje kompletne infrastrukture
- DDOs servisi: pridobijanje klijenata, lažiranje napada (u dogovoru sa metom/ciljem) DdoS servisi “trovanje”: ubacivanjem ogromnog broja DdoS servisa po povoljnim cijenama i radom bez problema – da bi se u toku perioda planiranog napada “ukinuo” ili lažirao napade na metu/cilj
- Novac/kripto valute: izgradnja mjenjačnica od strane FBI/CIA/NSA/EU/Interpol – monitoring slanja/primanja između kriminalaca. Ukidanje kompletnog protkola za odredjeni dio interneta ili glavniih ruting tačaka, DDOS kripto mjenjačnica, pronalazak ranjivosti u kriptovalutama/blokčejnu/pametnim ugovorima
- Remote 0day exploiti: sama potražnja prema vrsti softwera može ukazivati na mete. Od postavljanja 0day brokera, do informacije koji soft žele “napasti” – takve informacije već mogu pomoći da se smanji broj meta i onemogući napad
Resursi, brojnost grupe vs. Resursi i brojnost meta
Najveći izazov za napadača jeste da ako nema snagu da udari na metu/mete – izazove psihološki efekat kroz medije/internet. Meta/cilj moze uraditi isto kroz medijsko eksponiranje i obesmišljavanje napadača. U slucaju da su resursi i brojnost grupe veomi mali naspram resursa i brojnosti meta. Ako postoji napad na određeni sektor – onda se servisi koji su onemogućeni mogu prebaciti na druge kompanije kroz legalan rad i sve ostalo (zakonski problem, regulative, ako je moguće). U slučaju Killneta i Revil, dolazi do udruživanja resursa, ali opet to ne može rezultirati uspjehom zbog brojnosti meta, geografske rasprostranjenosti i nepoznavanja rada banaka. Plan napada su vjerovatno web servisi i slično, ali i tu postoji mogućnost postavljanja Anycasta na više provajdera, dislokacija geo blokiranje i drugo. Banke su u većoj mjeri spremne na ovakve stvari.
TTP – tactics, tehnics procedures , ograničen set TTP za operacije
Odavanjem TTP određene grupe (recimo Anonymous Sudan, DdoS) dolazimo do fokusa i analize detalja koje koriste i koje toolove koriste. Unutar rada i principa rada toolova je moguće pronaći određene slabosti. Npr. DNS query, slanje paketa i drugo mogu imati ranjivu tačku. Primjer – postavljanjem *.meta.com na 127.0.0.1 za kveri iz Rusije ili VPN provajderima širom svijeta može dovesti do toga da napadač obori svoju infrastrukturu. Možemo koristiti za usporavanje napada, preusmjeravanje napada, lažiranje uspjeha napada i slično.
2) MOGUĆE VRSTE NAPADA NA EU BANKE
DDOS napad
Ovisno o koga napadaju – jedan dio napada Killnet i Anonimusi Sudana nije imao efekta. U slučaju Anonimusi Sudana koji imaju svoju infrastrukturu za DDoS + rentaju istu drugima za novac, mete biraju koje se nalaze iza cloudfare i sličnih servisa (zaštita od DDoS) kako bi pojačali efekat napada u medijima. Male i srednje mete (male kompanije, kompanije sa manjim brojem ljudi i nedovoljnom anti-DDoS zaštitom) pod DDOS napadom grupe Anonimus Sudan, uglavnom od 5 do 15 min. U nekim slučajevima i duže ali se radi o 1 serveru sa HTTP portom iza cloudfare kojeg je moguće oboriti sa manjim DDoS napadom. Nekoliko puta im je DDoS “propao” ili nisu bili u mogućnosti da održe napad duže od 5 minuta (uglavnom mete koje su imale daleko bolju zaštitu ili se bave cybersec). Sve banke posluju SWIFTom, ATM mreža je povezana sa bazom u bankama ali može biti izmještena tako da se nalaze na različitim ISP/mrežama i da imaju “hibridni” pristup (kombinacija 4G mreže i računarske mreže, ili wifi pristup). Najranjiviji dio banaka su web portali – ali je moguće i taj dio zaštiti ukoliko se preduzmu mjere na vrijeme ili se u toku napada donese odluka. Ovdje može doći do prekida pristupa klijenata na web platformi (reći ćemo da pristup preko softwera na telefonima, desktop računarima može biti “izmješten”)
Ransomware napadi
Ovise od nekoliko faktora: Initial Access brokerima, raspolaganjem 0day exploita i brojem operatora a onda sam proces sinhronizacije napada (pričamo da žele da napad izvrše na sve EU banke). Banke ulažu u sigurnost svog IT sektora. Postoje mehanizmi na nivou kompletne banke gdje se vrši izolacija servisa i njihovo osiguravanje da prilikom napada rade neometano (high avaibility, replikacija servisa, bekupi i tako dalje). Sama jedna grupa ne bi bila u stanju da u kraćem vremenu osigura pristup IT sektoru ovih banaka. Jedan od pristupa mogu biti i insajderi unutar banaka koji bi pomogli za početni pristup ali i tu se nivo sigurnosti banaka razlikuje tako da nije sigurno da će svi napadi proći uspješno – ako se desi, to će opet biti manji dio. Uspjeh napada zavisi od dosta faktora tako da opet su u nemilosti koliko je banka pripremljena u tehničkom smislu.
3) PROMOVISANJE NAPADA
Medijsko promovisanje napada
Jedini siguran element u svemu ovome jeste psihološki efekat navodnog napada. Čak i ako se ne desi napad, sama činjenica da se informacija pojavila u medijima može pomoći u jačem efektu kada se desi obaranje web sajta neke banke (recimo da je samo to cilj, najbrže za izvodjenje u ovom slučaju) . Od berze, gubitka klijenata, ostalo. Postoji mogućnost da se izazove izvlačenje novca iz banaka i tako izazove problem sa radom banaka.
Napad konkurenata
Ovako “sivu” situaciju može iskoristiti (ali je manje vjerovatno iz više razloga) konkurencija određenih banaka da uništi one druge (kroz spinovanje, stvarne napade i drugo). Opet postoji mogućnost da se napadi povežu i da organizator napada (u ovom slučaju banka) bude pronađen i doživi propadanje/gubitak novca/zatvaranje. Tako da je malo il nikako vjerovatno. U slučaju da jeste, onda možemo pričati o povezanosti banke sa Killnet/REvil grupom kroz udio vlasništva banke (recimo da je neko iz Rusije vlasnik dijela neke banke). Opet postoji mogućnost pronalaženja veza grupa-banka konkurent.
Podrška strane zemlje grupama Killnet i REvil
Države često koriste kriminalne grupe zbog ostvarivanja određenog cilja. Ovdje postoji mogućnost umješanosti Rusije kao sponzora. Takve stvari se mogu otkriti na osnovu toga koliko je grupa imala resursa prije i poslije određenog vremena. Kakav impakt njihovi napadi imaju (ne u medijima, već tehnički dio napada) i tu se može naći povezanost u smislu da imaju dosta novca, da su bolje organizovani, da su promjenili naćine napada i drugo. Ali kao što rekoh tako nešto postaje vidljivo. Da li mogu da ih usmjeravaju prema određenim metama? Da, ali opet u tom slučaju bi drzava osigurala da napad bude efektivan što bi bilo vidljivo i lako za uočiti.