Ostatnimy czasy coraz wyraźniej dostrzec można rosnącą liczbę ofiar zagrożeń jakimi są APT. Tłumacząc dosłownie to zaawnsowane trwałe zagrożenia. Tłumaczenie to jest dalekie od ideału, ale pozwala wskazać o co w przypadku APT chodzi – cyberprzestępcy wybierają sobie na ofiarę jeden konkretny podmiot, np. instytucję lub przedsiębiorstwo. W tym konkretnym podmiocie, po wstępnej inwigilacji, bardzo często wybierają jedną konkretną osobę, która stanie się wektorem ataku i posłuży do tego, by na strannie wyselekcjonowanej ofierze po prostu zarobić możliwie jak najwięcej (nie czarujmy się – wiekszość tego typu ataków to dobrze skalkulowane przedsięwzięcia zarobkowe). Co się dzieje dalej?
Posłużę się znanym mi i prawdziwym przykładem z rodzimego rynku. Polska firma produkcyjna miała podwykonawcę w Chinach, z którego mocy przerobowych korzystała i czasem zlecała mu różne zadania – głównie prefabrykaty wykorzystywane w dalszym procesie produkcji w Polsce. Pewnego dnia zaistniała potrzeba by zlecić wykonanie kolejnej partii prefabrykatów, których kontrahenci w Polsce nie byli w stanie wykonać na warunkach dla nich dogodnych czasowo jak i finansowo. Przedsiębiorstwa (a oba zaliczają się do kategorii MŚP) porozumiały się ze sobą w taki sam sposób jak zawsze – za pośrednictwem wiadomości e‑mail. Chińczycy tak jak zawsze poprosili o wpłacenie zaliczki – tutaj zwyczajowo pobierali jeden milion euro – i nie było w tym nic dziwnego. Na kilka dni przed potwierdzeniem transakcji wskazali jednak, co zostało dodatkowo potwierdzone za pomocą korespondencji prowadzonej z adresu e‑mail pracownika ze stopnia kierowniczego, że zmienili adres konta bankowego – ale znajduje się on w tym samym banku mającym siedzibę w Londynie. Zmiany kont bankowych zdarzają się wszystkim, więc w polskim przedsiębiorstwie nie wzbudziło to żadnych podejrzeń i przelew został wykonany.
Półtorej tygodnia później Chińczycy odezwali się z pytaniem o to, kiedy zalicza zostanie przelana, bo tylko to ich wstrzymuje przed rozpoczęciem produkcji… Jak więc już się domyślasz milion euro polskiego przedsiębiorcy wyparował. Jak do tego doszło? Okazało się, że serwery chińskiego kontrahenta były inwigilowane od dłuższego czasu a polska firma została uznana za w miarę łatwą i możliwa do rozpracowania. Tak więc wobec naszych rodaków nie użyto żadnych wyrafinowanych sposobów informatycznych – zostali rozpracowani socjotechnicznie, głównie na podstawie analizy korespondencji dotyczącej wcześniejszych transakcji.
Podstawowe pytanie dla każdego klienta będzie jedno – czy pieniądze da się odzyskać? Nie nie da się. I każdy prawnik, który obieca cokolwiek w takim przypadku po prostu nie ma pojęcia o tym co mówi.
Co z tego, że przelew przez Londyn, skoro konto na słupa? Co z tego, że korespondencja z adresu oficjalnego, skoro w jej nagłówkach widać, że doszło do manipulacji treścią wiadomości? Zwykły pracownik, nawet dobrze przeszkolony NIGDY nie będzie sprawdzał takich rzeczy. Co z tego, że zinwigilowali stronę chińską a nie polską? Czy da się pociągnąć do odpowiedzialności kontraktowej, deliktowej lub jakiejkolwiek innej Chińczyków? Może tak, może nie, ale na pewno taka próba będzie kosztowała majątek, bo po pierwsze mamy problem z ustaleniem prawa właściwego (polskie, chińskie a może brytyjskie?), a po drugie prawników znających się na prawie Państwa Środka w Polsce trzeba szukać jak ze świecą.
Nie ma rozwiązania idealnego na tego typu przypadki. Ale jest szereg sposobów pozwalających w tym wyścigu wyprzedzić cyberprzestępców i zminimalizować ryzyko. O tym jak się bronić przed zagrożeniami ATP będziemy mówić na konferencji Ataki Sieciowe już w najbliższy poniedziałek w Toruniu. Po raz trzeci i ostatni na tym blogu – zapraszam 😉
1 komentarz do “Advanced Persistent Threats (APT)”