Hackeři, kteří získali v minulém roce přístup do počítačových sítí společnosti Sony, podle nových informací při svém útoku využili phishingové e-maily zaměřené na systémové inženýry a síťové administrátory. Jak celý útok vypadal?
Podle bezpečnostního experta Stuarta McClura, který je zakladatelem a šéfem společnosti Cylance a bývalým CTO firmy McAfee, použili útočníci phishingové e-maily, v nichž žádali zaměstnance Sony o ověření jejich Apple ID. I když se tyto e-maily tvářily tak, že přicházejí od společnosti Apple, opak byl pravdou a vložená data byla odesílána přímo útočníkům. Apple ID slouží uživatelům iPhonů, iPadů a Maců k nákupu obsahu na iTunes a propojení s iCloudem.
McClure a další experti z Cylance objevili podvodné e-maily od Apple v inboxech zaměstnanců Sony, jejichž obsah útočníci zveřejnili na internetu. „Bylo nám ihned jasné, že útok pravděpodobně proběhl takto,“ uvedl McClure. „Mezi třetím říjnem a třetím listopadem útočníci prováděli řad pokusů o phishing, přičemž jejich útoky byly čím dál sofistikovanější.“
Podvodné e-maily byly odesílány vybraným zaměstnancům Sony, kteří by podle mínění hackerů mohli mít největší přístup do sítí společnosti. Jednotlivé zaměstnance a jejich pracovní náplň útočníci podle všeho našli na sociální síti LinkedIn.
Jakmile útočníci získali přístupové údaje k Apple ID, zkoušeli podle nich uhodnout interní hesla zaměstnanců Sony a využili tak toho, že velké množství uživatelů svá hesla u různých služeb nemění, a když už ano, tak jen mírně. Podle McClureho hackeři získali/uhodli i přístupové údaje administrátora, který měl přístup k instalaci nástroje Microsoft System Center Configuration Manager (SCCM) 2007, jenž je určen ke správě firemních počítačů. Pomocí SCCM je samozřejmě možné distribuovat software na počítače zaměstnanců a není třeba dodávat, že to je přesně to, po čem útočníci prahli.
Díky kradeným přístupovým údajům k SCCM hackeři mohli distribuovat škodlivé kódy na počítače zaměstnanců, přičemž podle McClura mohli být červi označeni například jako kritické aktualizace pro interní software. Jelikož aktualizace přicházely ze SCCM, u běžných uživatelů nevzbudily žádné podezření.
Jak dodal McClure, i když distribuce červa pomocí SCCM je pouhou spekulací, na základě dostupných důkazů se lze domnívat, že útok byl takto s největší pravděpodobností opravdu proveden.
Mohlo by vás zajímat: