В последно време се наблюдава нарастваща сложност в методите, които използват хакерите, за да запазят достъпа си до компрометирани системи. Един от последните случаи, разкрит от експерти по киберсигурност, включва младши хакер, който след като прониква в малка френска автомобилна компания, използва иновативен подход за поддържане на контрол върху жертвата, дори след като основният му командно-контролен (C2) сървър е изключен.
Какво се случи?
Атакуващият, говорещ френски, успява да проникне в мрежата на малка фирма, специализирана в автомобилната индустрия. Той инсталира keylogger, който улавя банкови и имейл идентификационни данни на служителите. Това е сравнително стандартна практика при киберпрестъпления с цел кражба на чувствителна информация.
Обаче, в края на атаката, хакерът предприема необичаен ход – преди неговият C2 сървър да бъде изключен, той инсталира OpenSSH и Tailscale на компрометираната машина. Тази комбинация му позволява да създаде директна и устойчива връзка с жертвата, която не зависи от основния C2 канал.
Когато сървърът Havoc, използван за командване и контрол, спира да работи, хакерът все още може да влиза в системата чрез Tailscale – услуга, която създава виртуални частни мрежи (VPN) и позволява сигурна връзка между устройства, дори ако основният канал е прекъснат.
Защо това е важно?
Този инцидент илюстрира как дори по-малко опитни хакери могат да използват съвременни инструменти, за да увеличат устойчивостта на своите атаки. Използването на Tailscale и OpenSSH заобикаля традиционните методи за откриване и блокиране на злонамерени връзки, тъй като тези технологии са легитимни и широко използвани в корпоративните мрежи.
Това затруднява работата на екипите по информационна сигурност, които трябва да идентифицират и изолират заплахите. Освен това, подобни техники могат да останат незабелязани за дълъг период, позволявайки на нападателите да извършват кражби на данни и други злонамерени действия без да бъдат засечени.
По-широк контекст
С нарастването на използването на облачни услуги и VPN решения в бизнеса, хакерите все по-често се възползват от легитимни инструменти, за да прикрият присъствието си. Tailscale, като услуга за създаване на частни мрежи, предлага удобство и сигурност за потребителите, но същевременно може да бъде използвана за създаване на скрити канали за достъп.
Това подчертава необходимостта от по-сложни и многопластови системи за защита, които не само следят за познати заплахи, но и анализират необичайни модели на трафик и използване на инструменти, които могат да бъдат използвани за злонамерени цели.
Какво може да последва?
Организациите трябва да засилят мониторинга на мрежовия трафик и да внедрят решения за откриване на необичайна активност, включително използването на VPN и SSH връзки, които не са одобрени или са необичайни за конкретната среда. В допълнение, екипите по киберсигурност трябва да обучават служителите си за потенциалните рискове и да прилагат политики за контрол на достъпа и управление на привилегиите.
От своя страна, доставчиците на услуги като Tailscale могат да разгледат възможности за интегриране на допълнителни механизми за идентификация и контрол, които да помогнат на клиентите им да предотвратяват злоупотреби с техните платформи.
В заключение, този случай е пример за това как съвременните технологии могат да бъдат използвани както за защита, така и за атака, което изисква непрекъснато развитие на методите за киберсигурност и адаптация към новите заплахи.
