A Sophos, kiberbiztonsági szakértő közzétette legújabb jelentését egy kifinomult támadási módszerről, amely különböző technikák egyedi kombinációjával teszi lehetővé a szerveren lévő vírus számára, hogy a vezérlő szerverekkel kommunikáljon a tűzfalakon keresztül.
A jelentés részletezi a támadásban használt taktikákat, technikákat és eljárásokat (TTP-ket). A Sophos úgy véli, hogy a támadó módszer hátterében valamely ország áll, melyet a kémkedés motivált.
A jelentés szerint az együttesen használt TTP-k közé tartoznak:
- egy tűzfalakat megkerülő rootkit,
- egy ritka technika, mellyel rendes forgalomnak álcázott módon férhetnek hozzá a szerverekhez,
- egy backdoor payload (hátsó kapu), ugyanazon a forráskódon alapul a Windows és Linux operációs rendszerek alatt is; ez egy ismert, ám nem túl gyakori megközelítés.
Habár a módszer minden különálló elemét megfigyelték már korábban magasan képzett támadók akcióiban, kombinálva még nem láttuk őket. A Sophos arra számít, hogy ez a technikai megvalósítás a digitális bűnözők hierarchiájának alsó rétegéhez is eljut, és sémaként használják majd új tűzfal-támadásokhoz.
“Első alkalommal látunk olyan támadóformulát, mely megkerülő technikát ötvöz egy Windows és Linux rendszereket is támadó többplatformos payloaddal. Az IT biztonsági csapatoknak és hálózati adminisztrátoroknak szorgalmazniuk kell az összes külvilágból elérhető szolgáltatás javítását, hogy megakadályozzák a támadókat a felhő és a tűzfal biztonsági házirendjeinek megkerülésében.”
-mondta Szappanos Gábor, a Sophos kiberbiztonsági szakértője.
“Az IT biztonsági csapatoknak a többplatformos támadások ellen is védekeznie kell. A tipikus célpontok eddig a Windows-alapú erőforrások voltak, ám a támadók egyre többször gondolnak a Linux rendszerekre is, mivel a felhőszolgáltatások népszerű vadászterületekké váltak. Csak idő kérdése, mielőtt a digitális bűnözők adoptálják ezeket a technikákat.”
Tanácsok a védekező feleknek
- Készítsen teljes leltárat a hálózatra csatlakozó eszközökről és frissítsen minden biztonsági szoftvert, melyeket ezeken az eszközökön használnak!
- Bizonyosodjon meg arról, hogy az összes külvilágból elérhető szolgáltatás rendelkezik minden javítással! A felhőtárhely szolgáltatók gyakran biztosítanak tűzfalas védelmet, ez azonban nem helyettesítheti a szervezet saját felhőbiztonsági intézkedéseit.
- Ellenőrizze, majd ellenőrizze még egyszer a felhő beállításait! A Sophos 2020 Threat Reportja rámutat arra, hogy a felhasználók által megadott téves beállítások és az átláthatóság hiánya a felhőket érő támadások legfőbb okai.
- Engedélyezze a többlépcsős azonosítást bármely belsőleg használt biztonsági irányítópulton vagy vezérlőpulton annak megakadályozása érdekében, hogy a támadók kikapcsolják a biztonsági eszközöket akciójuk közben.
- Emlékezzen arra, hogy nincs egyetlen általános csodafegyver a biztonság terén! A többrétegű, mélyreható védelemmel bíró új generációs biztonsági modell egy alapvető, bevált módszer – beleértve a specifikusan az adatok és a felhőhálózatok védelmére tervezett komponenseket, mint a Sophos Cloud Optix és a Sophos Intercept X for Server
További információk: SophosLabs Uncut