Advanced Persistent Threats (APT)

Ostat­ni­my cza­sy coraz wyraź­niej dostrzec moż­na rosną­cą licz­bę ofiar zagro­żeń jaki­mi są APT. Tłu­ma­cząc dosłow­nie to zaawn­so­wa­ne trwa­łe zagro­że­nia. Tłu­ma­cze­nie to jest dale­kie od ide­ału, ale pozwa­la wska­zać o co w przy­pad­ku APT cho­dzi – cyber­prze­stęp­cy wybie­ra­ją sobie na ofia­rę jeden kon­kret­ny pod­miot, np. insty­tu­cję lub przed­się­bior­stwo. W tym kon­kret­nym pod­mio­cie, po wstęp­nej inwi­gi­la­cji, bar­dzo czę­sto wybie­ra­ją jed­ną kon­kret­ną oso­bę, któ­ra sta­nie się wek­to­rem ata­ku i posłu­ży do tego, by na stran­nie wyse­lek­cjo­no­wa­nej ofie­rze po pro­stu zaro­bić moż­li­wie jak naj­wię­cej (nie cza­ruj­my się – wiek­szość tego typu ata­ków to dobrze skal­ku­lo­wa­ne przed­się­wzię­cia zarob­ko­we). Co się dzie­je dalej?

Posłu­żę się zna­nym mi i praw­dzi­wym przy­kła­dem z rodzi­me­go ryn­ku. Pol­ska fir­ma pro­duk­cyj­na mia­ła pod­wy­ko­naw­cę w Chi­nach, z któ­re­go mocy prze­ro­bo­wych korzy­sta­ła i cza­sem zle­ca­ła mu róż­ne zada­nia – głów­nie pre­fa­bry­ka­ty wyko­rzy­sty­wa­ne w dal­szym pro­ce­sie pro­duk­cji w Pol­sce. Pew­ne­go dnia zaist­nia­ła potrze­ba by zle­cić wyko­na­nie kolej­nej par­tii pre­fa­bry­ka­tów, któ­rych kon­tra­hen­ci w Pol­sce nie byli w sta­nie wyko­nać na warun­kach dla nich dogod­nych cza­so­wo jak i finan­so­wo. Przed­się­bior­stwa (a oba zali­cza­ją się do kate­go­rii MŚP) poro­zu­mia­ły się ze sobą w taki sam spo­sób jak zawsze – za pośred­nic­twem wia­do­mo­ści e‑mail. Chiń­czy­cy tak jak zawsze popro­si­li o wpła­ce­nie zalicz­ki – tutaj zwy­cza­jo­wo pobie­ra­li jeden milion euro – i nie było w tym nic dziw­ne­go. Na kil­ka dni przed potwier­dze­niem trans­ak­cji wska­za­li jed­nak, co zosta­ło dodat­ko­wo potwier­dzo­ne za pomo­cą kore­spon­den­cji pro­wa­dzo­nej z adre­su e‑mail pra­cow­ni­ka ze stop­nia kie­row­ni­cze­go, że zmie­ni­li adres kon­ta ban­ko­we­go – ale znaj­du­je się on w tym samym ban­ku mają­cym sie­dzi­bę w Lon­dy­nie. Zmia­ny kont ban­ko­wych zda­rza­ją się wszyst­kim, więc w pol­skim przed­się­bior­stwie nie wzbu­dzi­ło to żad­nych podej­rzeń i prze­lew został wykonany.

Pół­to­rej tygo­dnia póź­niej Chiń­czy­cy ode­zwa­li się z pyta­niem o to, kie­dy zali­cza zosta­nie prze­la­na, bo tyl­ko to ich wstrzy­mu­je przed roz­po­czę­ciem pro­duk­cji… Jak więc już się domy­ślasz milion euro pol­skie­go przed­się­bior­cy wypa­ro­wał. Jak do tego doszło? Oka­za­ło się, że ser­we­ry chiń­skie­go kon­tra­hen­ta były inwi­gi­lo­wa­ne od dłuż­sze­go cza­su a pol­ska fir­ma zosta­ła uzna­na za w mia­rę łatwą i moż­li­wa do roz­pra­co­wa­nia. Tak więc wobec naszych roda­ków nie uży­to żad­nych wyra­fi­no­wa­nych spo­so­bów infor­ma­tycz­nych – zosta­li roz­pra­co­wa­ni socjo­tech­nicz­nie, głów­nie na pod­sta­wie ana­li­zy kore­spon­den­cji doty­czą­cej wcze­śniej­szych transakcji.

Pod­sta­wo­we pyta­nie dla każ­de­go klien­ta będzie jed­no – czy pie­nią­dze da się odzy­skać? Nie nie da się. I każ­dy praw­nik, któ­ry obie­ca cokol­wiek w takim przy­pad­ku po pro­stu nie ma poję­cia o tym co mówi.

Co z tego, że prze­lew przez Lon­dyn, sko­ro kon­to na słu­pa? Co z tego, że kore­spon­den­cja z adre­su ofi­cjal­ne­go, sko­ro w jej nagłów­kach widać, że doszło do mani­pu­la­cji tre­ścią wia­do­mo­ści? Zwy­kły pra­cow­nik, nawet dobrze prze­szko­lo­ny NIGDY nie będzie spraw­dzał takich rze­czy. Co z tego, że zin­wi­gi­lo­wa­li stro­nę chiń­ską a nie pol­ską? Czy da się pocią­gnąć do odpo­wie­dzial­no­ści kon­trak­to­wej, delik­to­wej lub jakiej­kol­wiek innej Chiń­czy­ków? Może tak, może nie, ale na pew­no taka pró­ba będzie kosz­to­wa­ła mają­tek, bo po pierw­sze mamy pro­blem z usta­le­niem pra­wa wła­ści­we­go (pol­skie, chiń­skie a może bry­tyj­skie?), a po dru­gie praw­ni­ków zna­ją­cych się na pra­wie Pań­stwa Środ­ka w Pol­sce trze­ba szu­kać jak ze świecą.

Nie ma roz­wią­za­nia ide­al­ne­go na tego typu przy­pad­ki. Ale jest sze­reg spo­so­bów pozwa­la­ją­cych w tym wyści­gu wyprze­dzić cyber­prze­stęp­ców i zmi­ni­ma­li­zo­wać ryzy­ko. O tym jak się bro­nić przed zagro­że­nia­mi ATP będzie­my mówić na kon­fe­ren­cji Ata­ki Sie­cio­we już w naj­bliż­szy ponie­dzia­łek w Toru­niu. Po raz trze­ci i ostat­ni na tym blo­gu – zapraszam 😉

1 komentarz do “Advanced Persistent Threats (APT)”

Leave a Reply