Ενέργειες του Εθνικού Κέντρου Κυβερνοασφάλειας της Ολλανδίας και 17 εκατομμύρια συσκευές: Τι πρέπει να προετοιμάσουν οι επιχειρήσεις

Η ολλανδική αστυνομία (Politie) και το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) πραγματοποίησαν πρόσφατα ένα συντονισμένο πλήγμα εναντίον μιας τεράστιας υποδομής botnet. Αυτή η επιχείρηση περιελάμβανε την κατάσχεση περισσότερων από 200 διακομιστών που βρίσκονταν εντός των Κάτω Χωρών. Αυτοί οι διακομιστές λειτουργούσαν ως το backend για ένα δίκτυο που είχε υποδουλώσει 17 εκατομμύρια συσκευές παγκοσμίως. Η κλίμακα αυτής της εξάρθρωσης αποτελεί προειδοποίηση για κάθε CISO που βασίζεται στην παραδοσιακή φήμη IP (IP reputation) για την περιμετρική άμυνα.

Έχω δει πολλά botnets τις τελευταίες δύο δεκαετίες, αλλά η φύση αυτού του συγκεκριμένου δικτύου είναι διαφορετική. Αποτελεί μέρος μιας αυξανόμενης τάσης όπου οι νόμιμες υπηρεσίες και η κακόβουλη πρόθεση συνυπάρχουν στον ίδιο αρχιτεκτονικό χώρο. Αναφορές συνδέουν αυτή την υποδομή με την Asocks, έναν πάροχο οικιακών διακομιστών μεσολάβησης (residential proxy provider). Η σύνδεση μεταξύ της Asocks και της εκστρατείας PROXYLIB που εντοπίστηκε από την ομάδα HUMAN Satori καταδεικνύει μια σαφή μετατόπιση στο μοντέλο απειλών. Οι επιτιθέμενοι δεν χρειάζεται πλέον να κατασκευάζουν τα δικά τους εξειδικευμένα συστήματα παράδοσης, όταν μπορούν απλώς να αγοράσουν πρόσβαση σε εκατομμύρια καθαρές, οικιακές διευθύνσεις IP μέσω μιας εμπορικής συνδρομής.

Η μηχανική του botnet οικιακών διακομιστών μεσολάβησης

Για να κατανοήσετε τον κίνδυνο, πρέπει να καταλάβετε πώς αυτές οι 17 εκατομμύρια συσκευές εντάχθηκαν στο δίκτυο. Στην εκστρατεία PROXYLIB, το κακόβουλο λογισμικό έφτανε συχνά σε συσκευές Android μέσω SDK για proxyware, όπως το LumiApps. Αυτά τα SDK είναι συχνά ενσωματωμένα σε φαινομενικά αβλαβείς εφαρμογές. Μόλις ένας χρήστης εγκαταστήσει την εφαρμογή, η συσκευή γίνεται κόμβος στο δίκτυο της Asocks. Το εύρος ζώνης (bandwidth) του χρήστη πωλείται σε τρίτους. Ενώ ο χρήστης μπορεί να το βλέπει αυτό ως έναν τρόπο να κερδίσει λίγα λεπτά ή να αποκτήσει πρόσβαση σε μια δωρεάν εφαρμογή, η πραγματικότητα είναι ότι η συσκευή του διευκολύνει πλέον την κακόβουλη κίνηση.

Η πλατφόρμα Asocks διαφήμιζε πρόσβαση σε αυτές τις συσκευές για μόλις 5 δολάρια το μήνα. Αυτό το χαμηλό εμπόδιο εισόδου αλλάζει τα οικονομικά δεδομένα μιας επίθεσης. Στην εμπειρία μου από τον έλεγχο εταιρικών δικτύων, βλέπω σημαντικό όγκο προσπαθειών credential stuffing και scraping. Όταν αυτές οι προσπάθειες προέρχονται από ένα κέντρο δεδομένων, είναι εύκολο να αποκλειστούν. Όταν προέρχονται από 17 εκατομμύρια μοναδικές οικιακές συσκευές, οι παραδοσιακοί κανόνες WAF γίνονται μειονέκτημα. Μια οικιακή συσκευή έχει υψηλή φήμη από προεπιλογή, επειδή μοιάζει με νόμιμο πελάτη.

Αμφισβητώντας την παραδοχή της οικιακής εμπιστοσύνης

Η πιο επικίνδυνη παραδοχή στην κυβερνοασφάλεια σήμερα είναι ότι η κίνηση από οικιακούς παρόχους (ISPs) είναι εγγενώς ασφαλέστερη από την κίνηση από κέντρα δεδομένων ή VPN. Για χρόνια, οι προμηθευτές ασφάλειας πουλούσαν την ιδέα ότι το "οικιακό" ισούται με "ανθρώπινο". Αυτή η εξάρθρωση αποδεικνύει ότι 17 εκατομμύρια οικιακές συσκευές αποτελούσαν μέρος μιας εγκληματικής υποδομής. Υποστηρίζω ότι πρέπει να αντιστρέψουμε το μοντέλο εμπιστοσύνης μας. Μια οικιακή διεύθυνση IP αποτελεί πλέον σήμα υψηλού κινδύνου όταν συμπεριφέρεται με αυτοματοποιημένο τρόπο.

Οι περισσότερες παλαιού τύπου αρχιτεκτονικές ασφαλείας χρησιμοποιούν περιορισμό ρυθμού (rate limiting) βάσει IP. Εάν μια IP στέλνει πάρα πολλά αιτήματα, το σύστημα την αποκλείει. Ωστόσο, με μια δεξαμενή 17 εκατομμυρίων συσκευών, ένας επιτιθέμενος μπορεί να εναλλάσσει IP για κάθε μεμονωμένο αίτημα. Καμία μεμονωμένη IP δεν φτάνει ποτέ το όριο του ρυθμού. Η επίθεση παραμένει αόρατη στα βασικά εργαλεία παρακολούθησης. Αυτή η ασυμμετρία πρόσβασης επιτρέπει στους επιτιθέμενους να διατηρούν την μυστικότητα ενώ διεξάγουν επιχειρήσεις μεγάλης κλίμακας. Εάν η στρατηγική άμυνάς σας βασίζεται στον εντοπισμό "κακών" IP, δίνετε μια μάχη που έχετε ήδη χάσει.

Αρχιτεκτονικές επιπτώσεις για την επιχείρηση

Η αφαίρεση 200 διακομιστών στην Ολλανδία παρέχει προσωρινή ανακούφιση, αλλά η υποκείμενη ευπάθεια παραμένει. Οι συσκευές εξακολουθούν να κυκλοφορούν ελεύθερα. Το κακόβουλο λογισμικό παραμένει παρόν σε εκατομμύρια tablet, smartphone και συσκευές IoT. Αυτό σημαίνει για την αρχιτεκτονική σας ότι η περίμετρος δεν είναι πλέον φίλτρο - είναι κόσκινο.

Πρέπει να κινηθούμε προς ένα μοντέλο επαλήθευσης συμπεριφοράς. Αντί να ρωτά "Από πού προέρχεται αυτό το αίτημα;", το σύστημα πρέπει να ρωτά "Τι κάνει αυτό το αίτημα;". Αυτό απαιτεί βαθιά επιθεώρηση της συμπεριφοράς στο επίπεδο της εφαρμογής. Εάν μια οικιακή IP αποκτά πρόσβαση σε ένα API με συχνότητα ή σε μια ακολουθία που δεν ταιριάζει με την τυπική ανθρώπινη συμπεριφορά, το σύστημα πρέπει να ενεργοποιεί μια πρόκληση, όπως ένα proof-of-work ή ένα εξελιγμένο CAPTCHA.

Ο μικρο-διαχωρισμός (microsegmentation) είναι η μόνη βιώσιμη οδός για την εσωτερική άμυνα. Εάν μια συσκευή στο δίκτυό σας γίνει μέρος ενός botnet όπως το PROXYLIB, ο πρωταρχικός της στόχος είναι συχνά η πλευρική μετακίνηση (lateral movement) ή η εξαγωγή δεδομένων. Σε πολλά εταιρικά περιβάλλοντα, ένα μολυσμένο smartphone στο Wi-Fi επισκεπτών έχει απευθείας διαδρομή προς το εσωτερικό VLAN των διακομιστών. Έχω διεξάγει δοκιμές διείσδυσης (pentests) όπου ένας και μόνο παραβιασμένος εκτυπωτής IoT παρείχε το απαραίτητο πάτημα για την απόσπαση δεδομένων από έναν ελεγκτή τομέα (domain controller). Πρέπει να αντιμετωπίζετε κάθε συσκευή στο δίκτυό σας ως δυνητικό κόμβο σε ένα botnet 17 εκατομμυρίων συσκευών.

Ο κρυφός κίνδυνος του IoT και των μη ενημερωμένων συσκευών άκρου

Το NCSC σημείωσε ότι τα botnets αποκτούν συχνά πρόσβαση μέσω μη ενημερωμένων συσκευών άκρου και αδύναμων κωδικών πρόσβασης. Αυτή είναι η βασική υγιεινή που πολλοί οργανισμοί εξακολουθούν να αγνοούν. Οι δρομολογητές και οι συσκευές IoT είναι οι πιο αδύναμοι κρίκοι επειδή συχνά στερούνται την τηλεμετρία που συναντάται σε διαχειριζόμενους σταθμούς εργασίας. Ένας φορητός υπολογιστής διαθέτει πράκτορα EDR· ένας έξυπνος θερμοστάτης όχι.

Κατά τη θητεία μου ως CISO, διαπίστωσα ότι το δυσκολότερο κομμάτι της ασφάλειας δεν είναι η περίπλοκη εκμετάλλευση zero-day. Είναι οι χιλιάδες μικρές, μη διαχειριζόμενες συσκευές που συσσωρεύονται αργά στο δίκτυο. Κάθε μία είναι ένας δυνητικός κόμβος μεσολάβησης. Όταν οι ολλανδικές αρχές εξάρθρωσαν το backend της Asocks, δεν διόρθωσαν τις ευάλωτες συσκευές. Αφαίρεσαν μόνο τον μηχανισμό εντολών και ελέγχου (C2). Νέοι φορείς απειλών θα σαρώσουν αναπόφευκτα για αυτές τις ίδιες ευπάθειες για να δημιουργήσουν το επόμενο δίκτυο.

Σχέδιο δράσης για τους επόμενους 12 μήνες

Η επιβίωση σε αυτό το περιβάλλον εξαρτάται από το να κινείστε ταχύτερα από ό,τι οι επιτιθέμενοι μπορούν να εναλλάσσουν την υποδομή τους. Συνιστώ τα ακόλουθα βήματα για τους CISO και τους CTO κατά το επόμενο έτος για την αντιμετώπιση του συστημικού κινδύνου που θέτουν τα μαζικά botnets μεσολάβησης.

• Έλεγχος των κανόνων φήμης εξωτερικών διευθύνσεων IP: Επανεξετάστε τις ρυθμίσεις WAF και μείωσης bot. Εάν έχετε συμπεριλάβει σε λευκή λίστα εύρη οικιακών IP ή εάν τις αντιμετωπίζετε με λιγότερο έλεγχο, αφαιρέστε αυτούς τους κανόνες αμέσως. Εφαρμόστε μια προσέγγιση "πάντα επαλήθευση" ανεξάρτητα από τη φήμη της IP προέλευσης.
• Εφαρμογή δακτυλικών αποτυπωμάτων σε επίπεδο εφαρμογής: Αναπτύξτε εργαλεία που μπορούν να αναγνωρίσουν αυτοματοποιημένους περιηγητές και bots με βάση τα μοτίβα εκτέλεσής τους και όχι τις διευθύνσεις IP τους. Αναζητήστε ασυνέπειες στις χειραψίες TLS και στις κεφαλίδες HTTP.
• Επιβολή αυστηρού μικρο-διαχωρισμού: Απομονώστε τις συσκευές IoT και τις συσκευές επισκεπτών από τα περιβάλλοντα παραγωγής. Χρησιμοποιήστε μια αρχιτεκτονική Zero Trust όπου κάθε εσωτερική σύνδεση απαιτεί ρητή αυθεντικοποίηση και εξουσιοδότηση. Ένα παραβιασμένο smartphone δεν πρέπει να έχει τη δυνατότητα να σαρώνει το εσωτερικό δίκτυο.
• Σάρωση για Proxyware σε εταιρικά περιουσιακά στοιχεία: Χρησιμοποιήστε εργαλεία EDR και MDM για να σαρώσετε για γνωστά SDK και εφαρμογές proxyware που προσφέρουν "παθητικό εισόδημα" για κοινή χρήση εύρους ζώνης. Δημιουργήστε μια πολιτική που απαγορεύει ρητά αυτές τις εφαρμογές σε οποιαδήποτε συσκευή έχει πρόσβαση σε εταιρικά δεδομένα.
• Εναλλαγή διαπιστευτηρίων άκρου και ενημέρωση υλικολογισμικού: Πραγματοποιήστε έναν ολοκληρωμένο έλεγχο όλων των συσκευών άκρου, συμπεριλαμβανομένων των δρομολογητών οικιακού γραφείου που χρησιμοποιούνται από απομακρυσμένους υπαλλήλους. Βεβαιωθείτε ότι διαθέτουν το πιο πρόσφατο υλικολογισμικό και ότι οι προεπιλεγμένοι κωδικοί πρόσβασης έχουν αλλάξει σε σύνθετες, μοναδικές συμβολοσειρές.
• Παρακολούθηση εξερχόμενης κίνησης για μοτίβα διακομιστή μεσολάβησης: Αναζητήστε ασυνήθιστες εξερχόμενες συνδέσεις προς γνωστούς τομείς παρόχων μεσολάβησης ή υποδομές backend. Οι μεγάλοι όγκοι εξερχόμενης κίνησης από μια συσκευή IoT χαμηλής ισχύος είναι σαφής ένδειξη παραβίασης.

Μια νέα πραγματικότητα ανθεκτικότητας των υποδομών

Οι ολλανδικές αρχές προσέφεραν υπηρεσία στην παγκόσμια κοινότητα διαλύοντας αυτό το συγκεκριμένο botnet. Ωστόσο, πρέπει να το δούμε αυτό ως μια μεμονωμένη μάχη σε έναν μακρύ πόλεμο φθοράς. Οι 17 εκατομμύρια συσκευές που εμπλέκονται αντιπροσωπεύουν μια τεράστια επιφάνεια επίθεσης που παραμένει ευάλωτη στην επόμενη εκστρατεία.

Η αρχιτεκτονική είναι η μόνη μόνιμη λύση. Δεν μπορείτε να επιδιορθώσετε κάθε συσκευή στον κόσμο και δεν μπορείτε να σταματήσετε κάθε μόλυνση από κακόβουλο λογισμικό. Μπορείτε, ωστόσο, να σχεδιάσετε τα συστήματά σας έτσι ώστε μια παραβίαση να μην οδηγεί σε καταστροφή. Εστιάζοντας στη συμπεριφορά αντί για τη φήμη και στον διαχωρισμό αντί για την περίμετρο, χτίζετε ένα δίκτυο που παραμένει ανθεκτικό ακόμα και όταν ο κόσμος είναι γεμάτος από botnets 17 εκατομμυρίων κόμβων.

Πηγές:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.