Działania holenderskiego Narodowego Centrum Cyberbezpieczeństwa i 17 milionów urządzeń: Na co powinny przygotować się firmy

Holenderska policja (Politie) oraz Narodowe Centrum Cyberbezpieczeństwa (NCSC) przeprowadziły niedawno skoordynowane uderzenie w potężną infrastrukturę botnetu. Operacja ta wiązała się z przejęciem ponad 200 serwerów zlokalizowanych na terenie Holandii. Serwery te pełniły funkcję zaplecza (backendu) dla sieci, która zniewoliła 17 milionów urządzeń na całym świecie. Skala tej likwidacji jest ostrzeżeniem dla każdego dyrektora ds. bezpieczeństwa informacji (CISO), który polega na tradycyjnej reputacji IP w ochronie obwodowej.

W ciągu ostatnich dwóch dekad widziałem wiele botnetów, ale charakter tej konkretnej sieci jest inny. Stanowi ona część rosnącego trendu, w którym legalne usługi i złośliwe zamiary współistnieją w tej samej przestrzeni architektonicznej. Raporty łączą tę infrastrukturę z Asocks, dostawcą rezydencjalnych serwerów proxy. Powiązanie między Asocks a kampanią PROXYLIB, zidentyfikowaną przez zespół HUMAN Satori, ilustruje wyraźną zmianę w modelu zagrożeń. Atakujący nie muszą już budować własnych, dedykowanych systemów dostarczania, gdy mogą po prostu wykupić dostęp do milionów czystych, rezydencjalnych adresów IP poprzez komercyjną subskrypcję.

Mechanika botnetu opartego na rezydencjalnych serwerach proxy

Aby zrozumieć ryzyko, należy pojąć, w jaki sposób te 17 milionów urządzeń dołączyło do sieci. W kampanii PROXYLIB złośliwe oprogramowanie często trafiało na urządzenia z systemem Android za pośrednictwem pakietów SDK typu proxyware, takich jak LumiApps. Te pakiety SDK są często osadzane w pozornie nieszkodliwych aplikacjach. Gdy użytkownik zainstaluje aplikację, urządzenie staje się węzłem w sieci Asocks. Przepustowość łącza użytkownika jest sprzedawana podmiotom trzecim. Choć użytkownik może postrzegać to jako sposób na zarobienie kilku centów lub uzyskanie dostępu do darmowej aplikacji, w rzeczywistości jego urządzenie ułatwia teraz przesyłanie złośliwego ruchu.

Platforma Asocks reklamowała dostęp do tych urządzeń już za 5 dolarów miesięcznie. Tak niska bariera wejścia zmienia ekonomię ataku. Z mojego doświadczenia w audytowaniu sieci korporacyjnych wynika, że obserwujemy znaczną liczbę prób credential stuffing i scrapingu. Gdy próby te pochodzą z centrum danych, łatwo je zablokować. Gdy jednak pochodzą z 17 milionów unikalnych urządzeń rezydencjalnych, tradycyjne reguły WAF stają się obciążeniem. Urządzenie rezydencjalne domyślnie cieszy się wysoką reputacją, ponieważ wygląda jak legalny klient.

Podważenie założenia o zaufaniu do adresów rezydencjalnych

Najbardziej niebezpiecznym założeniem w dzisiejszym cyberbezpieczeństwie jest przekonanie, że ruch z rezydencjalnych dostawców usług internetowych (ISP) jest z natury bezpieczniejszy niż ruch z centrów danych lub sieci VPN. Przez lata dostawcy rozwiązań bezpieczeństwa sprzedawali ideę, że „rezydencjalny” oznacza „ludzki”. Ta likwidacja dowodzi, że 17 milionów urządzeń rezydencjalnych było częścią przestępczej infrastruktury. Twierdzę, że musimy odwrócić nasz model zaufania. Rezydencjalny adres IP jest obecnie sygnałem wysokiego ryzyka, gdy zachowuje się w sposób zautomatyzowany.

Większość starszych architektur bezpieczeństwa wykorzystuje ograniczanie liczby żądań na podstawie adresu IP (rate limiting). Jeśli dany adres IP wysyła zbyt wiele żądań, system go blokuje. Jednak przy puli 17 milionów urządzeń atakujący może zmieniać adresy IP przy każdym pojedynczym żądaniu. Żaden pojedynczy adres IP nigdy nie przekracza progu limitu. Atak pozostaje niewidoczny dla podstawowych narzędzi monitorujących. Ta asymetria dostępu pozwala atakującym zachować dyskrecję podczas prowadzenia operacji na dużą skalę. Jeśli Twoja strategia obrony opiera się na identyfikowaniu „złych” adresów IP, walczysz w bitwie, którą już przegrałeś.

Architektoniczne implikacje dla przedsiębiorstwa

Usunięcie 200 serwerów w Holandii zapewnia tymczasową ulgę, ale podstawowa podatność pozostaje. Urządzenia wciąż znajdują się w sieci. Złośliwe oprogramowanie nadal jest obecne na milionach tabletów, smartfonów i urządzeń IoT. Dla Twojej architektury oznacza to, że obwód nie jest już filtrem – jest sitem.

Musimy przejść w stronę modelu weryfikacji behawioralnej. Zamiast pytać: „Skąd pochodzi to żądanie?”, system musi pytać: „Co to żądanie robi?”. Wymaga to głębokiej inspekcji zachowania w warstwie aplikacji. Jeśli rezydencjalny adres IP uzyskuje dostęp do API z częstotliwością lub w sekwencji, która nie odpowiada typowemu zachowaniu człowieka, system musi wyzwolić wyzwanie, takie jak proof-of-work lub zaawansowany test CAPTCHA.

Mikrosegmentacja jest jedyną realną drogą obrony wewnętrznej. Jeśli urządzenie w Twojej sieci stanie się częścią botnetu, takiego jak PROXYLIB, jego głównym celem jest często ruch boczny (lateral movement) lub eksfiltracja danych. W wielu środowiskach korporacyjnych zainfekowany smartfon w gościnnej sieci Wi-Fi ma bezpośrednią drogę do wewnętrznej sieci VLAN serwerów. Przeprowadzałem testy penetracyjne, w których jedna zainfekowana drukarka IoT zapewniła punkt oparcia niezbędny do zrzucenia danych z kontrolera domeny. Musisz traktować każde urządzenie w swojej sieci jako potencjalny węzeł w 17-milionowym botnecie.

Ukryte ryzyko związane z IoT i niezalatanymi urządzeniami brzegowymi

NCSC zauważyło, że botnety często uzyskują dostęp poprzez niezałatane urządzenia brzegowe i słabe hasła. To podstawowa higiena, którą wiele organizacji wciąż ignoruje. Routery i urządzenia IoT są najsłabszymi ogniwami, ponieważ często brakuje im telemetrii typowej dla zarządzanych stacji roboczych. Laptop posiada agenta EDR; inteligentny termostat – nie.

W czasie mojej pracy jako CISO odkryłem, że najtrudniejszą częścią bezpieczeństwa nie jest złożony exploit typu zero-day. Są nią tysiące małych, niezarządzanych urządzeń, które powoli gromadzą się w sieci. Każde z nich jest potencjalnym węzłem proxy. Kiedy holenderskie władze zlikwidowały zaplecze Asocks, nie naprawiły podatnych urządzeń. Usunęły jedynie mechanizm dowodzenia i kontroli (C2). Nowi aktorzy zagrożeń nieuchronnie będą skanować w poszukiwaniu tych samych podatności, aby zbudować kolejną sieć.

Plan działania na najbliższe 12 miesięcy

Przetrwanie w tym środowisku zależy od poruszania się szybciej, niż atakujący są w stanie rotować swoją infrastrukturę. Rekomenduję dyrektorom CISO i CTO podjęcie następujących kroków w ciągu najbliższego roku, aby zaradzić systemowemu ryzyku stwarzanemu przez masowe botnety proxy.

• Audyt reguł reputacji adresów IP wystawionych na zewnątrz: Przejrzyj ustawienia WAF i mitygacji botów. Jeśli masz na białej liście zakresy rezydencjalnych adresów IP lub traktujesz je z mniejszą surowością, natychmiast usuń te reguły. Wdróż podejście „zawsze weryfikuj”, niezależnie od reputacji źródłowego adresu IP.
• Wdrożenie fingerprintingu w warstwie aplikacji: Wdróż narzędzia, które potrafią identyfikować zautomatyzowane przeglądarki i boty na podstawie ich wzorców wykonania, a nie adresów IP. Szukaj niespójności w uściskach dłoni TLS i nagłówkach HTTP.
• Wymuszenie ścisłej mikrosegmentacji: Odizoluj urządzenia IoT i gościnne od środowisk produkcyjnych. Korzystaj z architektury Zero Trust, w której każde połączenie wewnętrzne wymaga wyraźnego uwierzytelnienia i autoryzacji. Zainfekowany smartfon nie może mieć możliwości skanowania sieci wewnętrznej.
• Skanowanie zasobów korporacyjnych pod kątem oprogramowania proxyware: Użyj narzędzi EDR i MDM do skanowania w poszukiwaniu znanych pakietów SDK i aplikacji proxyware, które oferują „pasywny dochód” za udostępnianie przepustowości. Stwórz politykę, która wyraźnie zakazuje tych aplikacji na każdym urządzeniu mającym dostęp do danych korporacyjnych.
• Rotacja poświadczeń urządzeń brzegowych i aktualizacja oprogramowania układowego: Przeprowadź kompleksowy audyt wszystkich urządzeń brzegowych, w tym routerów w domowych biurach używanych przez pracowników zdalnych. Upewnij się, że posiadają najnowsze oprogramowanie układowe, a domyślne hasła zostały zmienione na złożone, unikalne ciągi znaków.
• Monitorowanie ruchu wychodzącego pod kątem wzorców proxy: Szukaj nietypowych połączeń wychodzących do znanych domen dostawców proxy lub infrastruktury backendowej. Duże wolumeny ruchu wychodzącego z urządzenia IoT o niskiej mocy są wyraźnym wskaźnikiem infekcji.

Nowa rzeczywistość odporności infrastruktury

Holenderskie władze oddały globalnej społeczności przysługę, demontując ten konkretny botnet. Musimy jednak postrzegać to jako pojedynczą bitwę w długiej wojnie na wyczerpanie. 17 milionów zaangażowanych urządzeń reprezentuje ogromną powierzchnię ataku, która pozostaje podatna na kolejną kampanię.

Architektura jest jedynym trwałym rozwiązaniem. Nie można załatać każdego urządzenia na świecie i nie można powstrzymać każdej infekcji złośliwym oprogramowaniem. Można jednak zaprojektować systemy tak, aby naruszenie bezpieczeństwa nie prowadziło do katastrofy. Skupiając się na zachowaniu zamiast na reputacji oraz na segmentacji zamiast na obwodach, budujesz sieć, która pozostaje odporna nawet wtedy, gdy świat jest pełen 17-milionowych botnetów.

Źródła:

• Dutch National Cyber Security Center (NCSC)
• Politie (Holenderska Policja Państwowa)
• HUMAN Satori Threat Intelligence Team
• NL Times

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i edukacyjnym i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.