Span i izraelski Cybergym prezentirali izvođenje APT kibernetičkog napada

Span i izraelski Cybergym prezentirali izvođenje APT kibernetičkog napada

Kako izgleda jedan kibernetički napad, novinari su danas mogli vidjeti na prezentaciji koju je tvrtka Span održala u svom Centru kibernetičke sigurnosti.

Spanova ekipa u suradnji s izraelskim Cybergymom demonstrirala je Advanced Persistant Threat napad - ciljani napad koji je za potrebu vježbe izvršila Cybergymova ekipa. Stvarni napadi te vrste provode se naprednim tehnologijama prema planiranoj žrtvi, a znaju trajati i po nekoliko godina, koliko je potrebno da hakeri prouče svoju metu i pribave informacije o njoj, pronađu njezine propuste i ubace se u sustav kako bi izvršili specifični zadatak.

U predstavljenom "napadu" koji je trajao 20-ak minuta, novinari su mogli vidjeti perspektivu napadača i žrtve tijekom napada, a sve je započelo slanjem phishing maila čiji je cilj bio provaliti u jedno računalo u organizaciji.

S obzirom da su mete takvih napada u pravilu veće organizacije, izuzetno je važno da su zaposlenici obučeni prepoznati phishing mailove, jer je često dovoljno da samo jedan od velikog broja zaposlenika nasjedne na mail da bi napad uspio. Iz tog razloga Span povremeno provodi test nad svojim zaposlenicima šaljući im dobro osmišljene lažne phishing mailove, educirajući potom one koji nasjednu na njih.

Za potrebu demonstracije napada novinarima, izraelski stručnjak koji je imao ulogu napadača u softveru za izvršavanje napada pripremio je mail koji je izgledao kao da dolazi od legitimnog korisnika, a u privitku je sadržavao PDF, čiji je cilj bio iskoristiti ranjivu verziju Acrobat Readera i tako inficirati računalo.

Nakon što je korisnik u demonstraciji otvorio kompromitirani PDF, napadač je iskoristio ranjivost u Acrobat Readeru, dobio session prema natrag i punu kontrolu nad zaraženim računalom. Nakon toga upotrijebio je SMB Worm kako bi dobio kontrolu ostatkom IT infrastrukture u organizaciji. U primjeru napada to je blio moguće jer je tvrtka koristila file share i dijelila diskove kroz taj protokol, što je omogućilo širenje virusa.

Napad je završio provođenjem ransomware napada i postavljanjem poruke o napadu na ekranima zaraženih računala


Komentirajući situaciju u Hrvatskoj, predsjednik Uprave Spanovog kibernetičkog centra Zoran Kežman, analitičar Fran Slivar i glavni arhitekt Nevenko Bartolinčić rekli su kako hrvatske organizacije napade doživaljavaju kao nešto što se događa nekome drugom, no podaci nacionalnog CERT-a pokazuju da nije tako. Svaki dan prijavljuje se pet do 30 napada, dok puno veći broj ostaje neprijavljen.

Dotaknuli su se nekih poznatih napada poput onih na Maersk, Colonial Pipeline i Cisco, ali i najavili da će u budućnosti dati i neke (vjerojatno anonimizirane, op.a.) primjere iz Hrvatske.

Predsjednik Uprave Spana Nikola Dujmović podsjetio je kako imaju i svoj Security Operation Center (SOC) koji za potrebe Spana i klijenata prati i nadzire moguće kibernetičke prijetnje 24/7.