V bezpečí nie sú ani siete izolované od internetu, cielia na ne štáty. Výskumníci spoločnosti ESET analyzovali hrozby za posledných 15 rokov

  • Výskumníci spoločnosti ESET si posvietili na 17 škodlivých frameworkov, pri  ktorých útočníci napadli izolované siete (tzv. air-gapped networks).
  • Air-gapped siete sú fyzicky odizolované od akýchkoľvek ďalších sietí. Keďže sa tým zvyšuje ich bezpečnosť, obyčajne sa používajú pri najcitlivejších systémoch, ako napríklad systémy na ovládanie ropovodov, dodávok elektriny, ale aj nukleárne centrifúgy či volebné systémy.
  • Tieto kritické systémy sú terčom veľkého záujmu APT (Advanced Persistent Threats) skupín, ktoré sú často sponzorované štátmi, alebo sú súčasťou štátnej agendy. Ak útočníci preniknú do izolovaných systémov, môžu získať tajné informácie a špehovať vlády a organizácie.
  • Iba v prvej polovici roku 2020 boli odhalené 4 škodlivé frameworky navrhnuté proti izolovaným sieťam. Celkovo sa ich počet vyšplhal na 17.
  • Výskumníci spoločnosti ESET ponúkajú bezpečnostné rady na zvýšenie ochrany izolovaných sietí.

Výskumníci spoločnosti ESET vypracovali analýzu všetkých doposiaľ známych škodlivých frameworkov, pri ktorých útočníci cielili na tzv. izolované siete, ktoré sú fyzicky odrezané od akýchkoľvek ďalších sietí. Týmto spôsobom bývajú zabezpečené tie najcitlivejšie štátne siete, napríklad systémy na ovládanie ropovodov, dodávok elektriny, ale aj nukleárne centrifúgy či volebné systémy. Kritická infraštruktúra prirodzene predstavuje veľké lákadlo pre rôzne druhy útočníkov vrátane APT skupín, ktoré sú často sponzorované štátmi alebo sú súčasťou štátnej agendy. Ak útočníci preniknú do izolovaných systémov, môžu získať tajné informácie a špehovať vlády či organizácie. Iba počas prvej polovice minulého roka boli zaznamenané 4 dovtedy neznáme frameworky navrhnuté na infiltráciu do izolovaných sietí. Ich celkový počet sa tak vyšplhal už na 17.

Odhalenie a skúmanie týchto typov frameworkov so sebou prináša špecifické výzvy. V mnohých prípadoch totiž treba naraz analyzovať viaceré komponenty na získanie celkového obrazu o útokoch. Na problematiku si preto posvietili odborníci zo spoločnosti ESET, ktorí zasadili frameworky do kontextu.. Tím výskumníkov spoločnosti ESET na čele s Alexisom Dorais-Joncasom pozbieral poznatky od 10 rôznych organizácií a vykonal vlastnú analýzu na objasnenie niektorých technických detailov. Cieľom expertov bolo prispieť k zvýšeniu bezpečnosti izolovaných sietí a pomôcť odhaľovať a odvracať budúce útoky. Výskumníci sa bližšie pozreli na všetky doposiaľ známe frameworky a porovnávali ich v komplexnej štúdii. Odhalili pritom niekoľko hlavných podobných znakov, a to dokonca aj medzi frameworkami, ktoré od seba delí 15 rokov.

„Útočníkom sa bohužiaľ podarilo nájsť prefíkané spôsoby, aby napadli tieto systémy. Používanie izolovaných sietí je čoraz rozšírenejšie a organizácie prichádzajú s inováciami na ochranu svojich systémov. Rovnako však nezaháľajú ani útočníci, ktorí zlepšujú svoje schopnosti na identifikovanie nových zraniteľností a ich zneužitie,“ hovorí Alexis Dorais-Joncas, ktorý vedie tím výskumníkov spoločnosti ESET v Montreale. 

„Pre organizácie, ktoré pracujú so systémami kritickej infraštruktúry alebo tajnými informáciami, môže byť strata údajov devastačná. Škodlivý potenciál, ktorý majú tieto frameworky, vyvoláva veľké obavy. Naše zistenia ukazujú, že všetky frameworky sú vytvorené za účelom nejakého druhu špionáže. Zároveň všetky frameworky využili USB nosiče ako médium na fyzický prenos dát do izolovanej siete alebo z nej,“ vysvetľuje Dorais-Joncas. 

Po identifikovaní rizík vydal ESET zoznam odporúčaní na ochranu izolovaných sietí pred hlavnými technikami použitými v rámci všetkých doposiaľ známych škodlivých frameworkov:

  • Zabránenie prístupu k e-mailom na pripojených systémoch – Zabránenie priamemu prístupu k e-mailom na pripojených systémoch eliminuje často používaný vektor útoku. Opatrenie sa dá docieliť presunutím e-mailovej aktivity do zvláštneho odizolovaného virtuálneho prostredia.
  • Znefunkčnenie USB portov a čistenie USB nosičov – Fyzické odstránenie alebo znefunkčnenie USB portov na všetkých systémoch v izolovanej sieti predstavuje najväčšiu ochranu. Aj keď odstránenie USB portov zo všetkých systémov nemusí byť pre všetky organizácie prijateľné, stále môžu obmedziť ich funkčnosť iba na systémy, ktoré to nevyhnutne potrebujú. Preverenie USB nosičov pred každým vložením do izolovanej siete môže zase pomôcť v prípade mnohých techník skúmaných frameworkov.
  • Obmedzenie spúšťania súborov na vymeniteľných úložiskách – Niekoľko techník použitých na skompromitovanie izolovaných systémovvyužíva priame spustenie súboru uloženého niekde na disku, čomu sa dá zabrániť nastavením Prístupu k vymeniteľným úložiskám.
  • Pravidelné vykonávanie analýzy systému – Pravidelné zisťovanie prítomnosti škodlivých frameworkov v izolovaných sieťach je dôležitou súčasťou zabezpečenia.

Bezpečnostné softvéry na ochranu koncových zariadení vo všeobecnosti dokážu odhaliť a blokovať viacero druhov škodlivých kódov. Ak sú tieto bezpečnostné technológie aktualizované, dokážu prispieť k vyššej miere ochrany.

„Plne izolované systémy so sebou prinášajú výhody dodatočnej ochrany. No tak ako aj ostatné bezpečnostné mechanizmy, ani izolované siete nie sú dokonalé a nezabránia útočníkom striehnuť na zastarané systémy alebo slabé bezpečnostné návyky zamestnancov,“ dodáva výskumník spoločnosti ESET Alexis Dorais-Joncas.

Viac technických informácií o škodlivých frameworkoch použitých pri útokoch na izolované siete sa dočítate v štúdii Jumping the Air Gap: 15 years of nation-state effort a v špeciálnom blogu na stránke WeLiveSecurity.

Značky: