Hollandi riikliku küberturvalisuse keskuse tegevus ja 17 miljonit seadet: milleks ettevõtted peaksid valmistuma

Hollandi politsei (Politie) ja riiklik küberturvalisuse keskus (NCSC) viisid hiljuti läbi koordineeritud rünnaku massiivse botnet-infrastruktuuri vastu. Operatsiooni käigus konfiskeeriti rohkem kui 200 Hollandis asuvat serverit. Need serverid toimisid taustasüsteemina võrgustikule, mis oli orjastanud 17 miljonit seadet üle maailma. Selle mahasurumise ulatus on hoiatuseks igale CISO-le, kes toetub perimeetri kaitsel traditsioonilisele IP-reputatsioonile.

Olen viimase kahe aastakümne jooksul näinud palju botneteid, kuid selle konkreetse võrgustiku olemus on teistsugune. See on osa kasvavast trendist, kus seaduslikud teenused ja pahatahtlikud kavatsused eksisteerivad samas arhitektuurilises ruumis. Raportid seostavad seda infrastruktuuri Asocksiga, mis on elamurajoonide proksiteenuse pakkuja (residential proxy provider). Seos Asocksi ja HUMAN Satori meeskonna poolt tuvastatud PROXYLIB-kampaania vahel näitab selget muutust ohumudelis. Ründajad ei pea enam ehitama oma eritellimusel põhinevaid levitussüsteeme, kui nad saavad kommertstellimuse kaudu lihtsalt osta juurdepääsu miljonitele puhastele kodukasutajate IP-aadressidele.

Elamurajooni proksi-botneti mehaanika

Riski mõistmiseks peate mõistma, kuidas need 17 miljonit seadet võrgustikuga liitusid. PROXYLIB-kampaanias jõudis pahavara Android-seadmetesse sageli proksivara SDK-de kaudu, nagu LumiApps. Need SDK-d on sageli peidetud pealtnäha kahjututesse rakendustesse. Kui kasutaja rakenduse installib, saab seadmest Asocksi võrgu sõlm. Kasutaja ribalaius müüakse kolmandale osapoolele. Kuigi kasutaja võib näha seda viisina teenida paar senti või pääseda ligi tasuta rakendusele, on tegelikkus see, et tema seade vahendab nüüd pahatahtlikku liiklust.

Asocksi platvorm reklaamis juurdepääsu neile seadmetele vaid 5 dollari eest kuus. See madal sisenemisbarjäär muudab rünnaku ökonoomikat. Minu kogemus ettevõtete võrkude auditeerimisel näitab, et esineb märkimisväärne hulk mandaatide täitmise (credential stuffing) ja andmekorje (scraping) katseid. Kui need katsed pärinevad andmekeskusest, on neid lihtne blokeerida. Kui need pärinevad 17 miljonist unikaalsest koduseadmest, muutuvad teie traditsioonilised WAF-reeglid koormaks. Koduseadmel on vaikimisi kõrge reputatsioon, sest see näeb välja nagu legitiimne klient.

Kodukasutaja usalduse eelduse vaidlustamine

Kõige ohtlikum eeldus tänapäeva küberturvalisuses on see, et kodukasutajate Interneti-teenuse pakkujate (ISP) liiklus on olemuselt turvalisem kui andmekeskuste või VPN-ide liiklus. Aastaid on turvamüüjad müünud ideed, et "kodukasutaja" võrdub "inimene". See operatsioon tõestab, et 17 miljonit koduseadet olid osa kuritegelikust infrastruktuurist. Väidan, et peame oma usaldusmudeli ümber pöörama. Kodukasutaja IP-aadress on nüüd kõrge riskiga signaal, kui see käitub automatiseeritud viisil.

Enamik pärandturbe arhitektuure kasutab IP-põhist kiiruse piiramist (rate limiting). Kui IP saadab liiga palju päringuid, blokeerib süsteem selle. Kuid 17 miljoni seadme suuruse kogumi puhul saab ründaja vahetada IP-sid iga üksiku päringu jaoks. Ükski IP ei ületa kunagi kiiruse piiramise künnist. Rünnak jääb põhilistele seiretööriistadele nähtamatuks. See juurdepääsu asümmeetria võimaldab ründajatel säilitada nähtamatust mastaapsete operatsioonide läbiviimisel. Kui teie kaitsestrateegia toetub "halbade" IP-de tuvastamisele, peate lahingut, mille olete juba kaotanud.

Arhitektuurilised tagajärjed ettevõttele

200 serveri eemaldamine Hollandis pakub ajutist leevendust, kuid algne haavatavus püsib. Seadmed on endiselt ringluses. Pahavara on endiselt miljonites tahvelarvutites, nutitelefonides ja IoT-seadmetes. Teie arhitektuuri jaoks tähendab see, et perimeeter ei ole enam filter – see on sõel.

Peame liikuma käitumusliku kontrolli mudeli suunas. Selle asemel, et küsida "Kust see päring tuleb?", peab süsteem küsima "Mida see päring teeb?". See nõuab rakenduskihi käitumise süvapiiramist. Kui kodukasutaja IP pöördub API poole sagedusega või järjestusega, mis ei vasta tüüpilisele inimkäitumisele, peab süsteem käivitama kontrolli, näiteks töö tõendamise (proof-of-work) või keeruka CAPTCHA.

Mikrosegmentimine on ainus elujõuline tee sisekaitseks. Kui teie võrgus olev seade saab osaks botnetist nagu PROXYLIB, on selle peamine eesmärk sageli külgsuunaline liikumine (lateral movement) või andmete väljaviimine. Paljudes ettevõtte keskkondades on külaliste Wi-Fi-s oleval nakatunud nutitelefonil otsetee siseserveri VLAN-i. Olen läbi viinud läbistusteste, kus üksainus kompromiteeritud IoT-printer pakkus vajalikku tugipunkti domeenikontrolleri andmete kättesaamiseks. Peate kohtlema iga oma võrgus olevat seadet kui potentsiaalset sõlme 17-miljonilises botnetis.

IoT ja paikama servaseadmete varjatud risk

NCSC märkis, et botnetid saavad sageli juurdepääsu paikama servaseadmete ja nõrkade paroolide kaudu. See on põhiline hügieen, mida paljud organisatsioonid siiani ignoreerivad. Ruuterid ja IoT-seadmed on nõrgimad lülid, sest neil puudub sageli telemeetria, mida leidub hallatavates tööjaamades. Sülearvutil on EDR-agent; nutikal termostaadil mitte.

Oma CISO-aja jooksul leidsin, et turvalisuse raskeim osa ei ole keeruline nullpäeva haavatavus. Need on tuhanded väikesed hallatavad seadmed, mis kogunevad aeglaselt võrku. Igaüks neist on potentsiaalne proksisõlm. Kui Hollandi ametivõimud Asocksi taustasüsteemi maha võtsid, ei parandanud nad haavatavaid seadmeid. Nad eemaldasid ainult juhtimis- ja kontrollmehhanismi (C2). Uued ründajad skannivad varem või hiljem samu haavatavusi, et ehitada järgmine võrgustik.

Tegevuskava järgmiseks 12 kuuks

Ellujäämine selles keskkonnas sõltub kiiremast liikumisest, kui ründajad suudavad oma infrastruktuuri roteerida. Soovitan CISO-dele ja CTO-dele järgmise aasta jooksul järgmisi samme, et tegeleda massiivsete proksi-botnetide süsteemse riskiga.

• Auditeerige väljapoole suunatud IP-reputatsiooni reegleid: Vaadake üle oma WAF-i ja botide tõkestamise seaded. Kui olete lisanud kodukasutajate IP-vahemikud lubatud nimekirja või kohtlete neid väiksema kontrolliga, eemaldage need reeglid koheselt. Rakendage "kontrolli alati" lähenemisviisi sõltumata allika IP-reputatsioonist.
• Rakendage rakenduskihi sõrmejälgede võtmist: Kasutage tööriistu, mis suudavad tuvastada automatiseeritud brausereid ja bote nende täitmismustrite, mitte IP-aadresside põhjal. Otsige ebakõlasid TLS-kätlemistes ja HTTP-päistes.
• Jõustage range mikrosegmentimine: Isoleerige IoT- ja külalisseadmed tootmiskeskkondadest. Kasutage Zero Trust arhitektuuri, kus iga sisemine ühendus nõuab selget autentimist ja autoriseerimist. Kompromiteeritud nutitelefonil ei tohi olla võimekust sisevõrku skannida.
• Skannige proksivara ettevõtte varadel: Kasutage EDR- ja MDM-tööriistu, et otsida teadaolevaid proksivara SDK-sid ja rakendusi, mis pakuvad ribalaiuse jagamise eest "passiivset tulu". Looge poliitika, mis keelab need rakendused selgesõnaliselt igas seadmes, mis pääseb ligi ettevõtte andmetele.
• Uuendage servaseadmete mandaate ja püsivara: Viige läbi kõigi servaseadmete põhjalik audit, sealhulgas kaugtöötajate kodukontori ruuterid. Veenduge, et neil on uusim püsivara ja et vaikeparoolid on muudetud keerukateks unikaalseteks sõnedeks.
• Jälgige väljuvat liiklust proksi-mustrite suhtes: Otsige ebatavalisi väljuvaid ühendusi teadaolevate proksiteenuse pakkujate domeenide või taustainfrastruktuuriga. Suur väljuva liikluse maht vähese võimsusega IoT-seadmest on selge märk kompromiteerimisest.

Infrastruktuuri vastupidavuse uus reaalus

Hollandi ametivõimud on teinud globaalsele kogukonnale teene, lammutades selle konkreetse botneti. Peame seda siiski vaatama kui ühte lahingut pikas kurnamissõjas. 17 miljonit kaasatud seadet esindavad massiivset ründepinda, mis jääb järgmise kampaania suhtes haavatavaks.

Arhitektuur on ainus püsiv lahendus. Te ei saa parandada kõiki seadmeid maailmas ja te ei saa peatada iga pahavara nakatumist. Küll aga saate kujundada oma süsteemid nii, et kompromiteerimine ei viiks katastroofini. Keskendudes käitumisele reputatsiooni asemel ja segmenteerimisele perimeetrite asemel, ehitate võrgu, mis jääb vastupidavaks isegi siis, kui maailm on täis 17 miljoni sõlmega botneteid.

Allikad:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Hoiatus: See artikkel on mõeldud ainult teavitamiseks ja harimiseks ning ei asenda professionaalset küberturvalisuse auditit ega intsidentidele reageerimise teenust.