În data de 19 aprilie 2018, NCCIC (Centrul Național de Securitate Cibernetică și Comunicații Integrate – National Cybersecurity and Communications Integration Center) și FBI (Biroul Federal de Investigații) au fost notificate cu privire la activități cibernetice malițioase, precum redirectarea cererilor DNS către infrastructuri proprii, prin crearea tunelurilor GRE pentru obținerea de informații sensibile, precum fișierele de configurare sau lista dispozitivelor din rețea.
Ca urmare a acestor evenimente, dar și a alertelor tehnice realizate pe baza analizelor derulate de Departamentul pentru Securitate Internă (DHS – Department of Homeland Security), FBI și Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC – United Kingdom’s National Cyber Security Centre), CERT-RO, autoritatea nationala ce se ocupa de incidentele de securitate, a elaborat o alerta cibernetica care detaliaza atacul si metodele de remediere.
Încă din anul 2015, au fost înregistrate date, atât din sectorul public și cel privat, cu privire la atacuri coordonate de actori statali. Acestea vizează echipamente de rețea enterprise și SOHO (en. Small Office Home Office) și au ca principal obiectiv extragerea de date și furt de proprietate intelectuală.
Practic, atacatorii exploatează protocoale învechite sau slabe, porturi asociate serviciilor sau activităților de administrare și proceduri inadecvate de securizate, pentru a:
– Identifica dispozitive vulnerabile;
– Extrage fișiere de configurare;
– Mapa arhitectura rețelei;
– Culege date de autentificare;
– Obține drepturi de utilizator privilegiat;
– Modifica regulile de firewall, sistemul de operare sau fișierul de configurare;
– Copia sau redirecționa traficul victimelor către infrastructura proprie;
– Modifica sau respinge traficul ce traversează sistemul afectat.
Acești atacatori nu utilizează vulnerabilități de tip zero-day sau malware instalat pe dispozitivele victimă, ci următoarele elemente:
– protocoale cu trafic necriptat sau fără autentificare;
– dispozitive testate insuficient;
– dispozitive care nu mai sunt actualizate de producător (en. end-of-life).
Dispozitivele de rețea reprezintă ținte ideale. De obicei, mare parte a traficului organizațional traversează aceste dispozitive critice.
Un actor rău intenționat, prezent în routerul perimetral al unei organizații, are capacitatea de a monitoriza, modifica și refuza traficul către și de la organizație.
Instituțiile care utilizează protocoale învechite, necriptate, pentru a gestiona stațiile și serviciile, oferă oportunității de recoltare a datelor de autentificare acestor actori.
Dacă un atacator controlează router-ul dintr-o infrastructură critică ICS-SCADA, pagubele pot fi semnificative, manipularea mesajelor vehiculate putând duce la întreruperea unui serviciu critic sau chiar la distrugerea fizică.
Dispozitivele de rețea sunt de cele mai multe ori ținte ușoare, acestea fiind omise în procesul de întreținere și actualizare, spre deosebire de sistemele desktop sau server. Mai mult decât atât, aceste dispozitive nu dispun de un antivirus, sau alte instrumente de verificare a integrității sau securității.
Din nefericire, producătorii de dispozitive livrează adesea sistemele cu servicii exploatabile, pentru a ușura instalarea, utilizarea și administrarea acestora. În consecință, foarte mulți utilizatori și administratori de infrastructuri nu modifică setările implicite ale dispozitivelor, ce duce la exploatarea acestora. Un rol important îl are și ISP-istul, care nu înlocuiește dispozitivele clienților care sunt depășite și scoase din lista de dispozitive suportate de producător.
Un alt element important ce oferă oportunitate atacatorilor este dat de modul de investigare și remediere a incidentelor de securitate, prin care dispozitivele de rețea sunt cel mai adesea ignorate.
De regulă, în prima fază a unui atac informatic atacatorii execută scanări ale țintei, pentru a identifica porturile și serviciile deschise către Internet, respectiv pentru a culege cât mai multe informații despre dispozitivele potențial vulnerabile.
Mai multe organizații de securitate informatică, guvernamentale și private, au identificat în internet pachete de date specifice protocoalelor SNMP și SMI, dar modificate astfel încât dispozitivele vizate să trimită atacatorilor fișierele de configurare, utilizând protocoale pentru transferul fișierelor așa cum este Trivial File Transfer Protocol (TFTP, port 69/UDP).
Atacatorii se dau drept utilizatori legitimi care se autentifică la nivelul unui dispozitiv sau care stabilesc conexiunea prin intermediul unei imagini a sistemului de operare, încărcat anterior printr-un backdoor.
Expertii in securtitate recomanda verificarea jurnalelelor digitale corespunzătoare și cele de netflow, pentru a identifica traficul TCP, UDP sau SMI către toate dispozitivele de rețea.