Злоумышленники сначала атакуют одного из доверенных партнеров или подрядчиков компании, а затем используют эту уязвимость для проникновения в сеть. Внутренняя инфраструктура компании, как правило, менее защищена, что облегчает дальнейшее развитие атаки. (…)
В этой статье мы рассмотрим основные характеристики атак через доверительные отношения, их методы и последствия. Мы также предложим технические решения и меры, которые помогут компаниям защититься от таких атак и минимизировать их последствия.
Что такое атака через доверительные отношения
Атаки через доверительные отношения (trusted relationships attack) — это тип кибератаки, когда злоумышленники сначала атакуют инфраструктуру одной компании, которая имеет легитимный доступ к ресурсам целевой компании, а затем используют эту уязвимость для проникновения в инфраструктуру жертвы. Первым звеном в этой цепочке могут стать дочерние компании или компании-подрядчики.
Через доверительные отношения главным образом развиваются Supply Chain Attacks — атаки через цепочку поставщиков. Мы видим все больше примеров, как злоумышленники атакуют менее защищенных поставщиков или партнеров с прицелом на их более защищенных заказчиков. Цели таких злоумышленников могут быть различны, в последнее время наблюдаем рост атак, связанных с хактивизмом.
Во втором типе атак — Spear Phishing, или фишинг через доверенные контакты — используются скомпрометированные или поддельные учетные записи сотрудников или партнеров, чтобы отправить письма с вредоносным содержимым или ссылками на пользователей организации.
Также стоит отметить Third-Party Account Compromise — компрометацию учетных записей партнеров (как правило, купленных на теневых форумах) и API-based Attacks — атаки через API и интеграции, когда хакеры используют уязвимости или недостатки в безопасности системы посредника, использующего API организации, чтобы атаковать ее.
Атаками через доверительные отношения обычно занимаются APT-группировки. Их цель — крупные коммерческие компании и госорганизации, конфиденциальными данными которых они пытаются завладеть. Например, Positive Technologies сообщала о том, что новая APT-группировка ChamelGang атаковала ТЭК и авиационную промышленность РФ ради информации.
По словам руководителя отдела исследования угроз ИБ Positive Technologies Дениса Кувшинова, промышленные предприятия не всегда способны сами выявить ATP-атаку и могут несколько лет считать себя в безопасности. Но на практике киберпреступники могут проникнуть в инфраструктуру промышленного предприятия и получить над ней контроль. Но зачастую атаки развиваются достаточно быстро. Так, для получения доступа в инфраструктуру целевого предприятия ТЭК группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. И спустя всего две недели киберпреступники проникли в сеть головной компании и оставались незамеченными в течение трех месяцев (…).
Аутсорсинговых взаимодействий становится все больше, а контроль защищенности подрядчиков при этом никак не регламентируется законом и на практике вряд ли возможен. Чтобы получить доступ к данным компании, злоумышленники могут атаковать одного из подрядчиков или партнеров.
В таких условиях понимание и предотвращение атак через доверительные отношения является критически важным для обеспечения безопасности данных и инфраструктуры в условиях растущих киберугроз.
Ключевые тезисы публикации
Статья приведена в сокращении, полная версия – на сайте издания.
В материале своим мнением на тему делится ведущий аналитик информационной безопасности Innostage SOC CyberART Камиль Садыков и другие эксперты по ИБ.
Trusted Relationship Attack, или атаки через доверительные отношения двух сторон (внутренний обмен данными, наличие у подрядчика доступа в ИТ-инфраструктуру заказчика и т.д.), проводятся для получения доступа к конфиденциальной информации или выполнения несанкционированных действий.
- В силу специфики взаимодействия между ИТ-инфраструктурами взаимосвязанных организаций, обнаружение и предотвращение Trusted Relationship Attack без обеспечения высокого уровня кибербезопасности может быть затруднительным.
- Принцип Trusted Relationship Attack: злоумышленники атакуют доверенных партнеров или подрядчиков компании, используют уязвимости первого, слабо защищенного звена, чтобы через него проникнуть в сеть основной жертвы – более крупной компании, чей внешний ИБ-периметр, как правило, хорошо защищен, а вот внутренняя инфраструктура может оказаться менее защищена.
- Методы Trusted Relationship Attack разнообразны. Взлом подрядчиков может производиться с использованием уязвимостей ПО, фишинга и социальной инженерии, вредоносного ПО, атаки через доверенные домены и отравление кэша, Kill Chain и т.д. Целевой результат - получение данных авторизации для доступа в целевую инфраструктуру.
- Цели атак через доверительные отношения - хактивизм, кража конфиденциальных данных, нарушение работы организаций, на которых в конечном итоге направлена эта «многоходовка».
- Примерами Trusted Relationship Attack служат атаки на ТЭК и авиационную промышленность РФ, железнодорожные сети, финансовые организации и другие объекты критической информационной инфраструктуры (КИИ).
- Для недопущения таких атак важно сегментировать сеть, запретить подрядчикам прямой доступ к инфраструктуре и ограничивать привилегии пользователей, вводить многофакторную аутентификацию, использовать EDR и SIEM и проводить тестирование методом предполагаемого нарушения (пентесты, Red Team, открытые кибериспытания и т.д.).
- Общие рекомендации по защите от атак через доверительные отношения также включают обучение сотрудников цифровой грамотности с регулярной проверкой знаний и проведение регулярных аудитов безопасности с привлечением опытных экспертов ИБ. Также эксперты советуют изучить потребности поставщика и построить безопасность вокруг этого процесса.
