Библиотека Интернет Индустрии I2R.ru |
|||
|
Как корпоративная система электронной почты была использована для распространения троянского коняВ этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования. Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения увеличил свою заработную плату. Сотрудник сервис-центра в другой фирме, работающей в области шоу-бизнеса, постоянно предпринимал попытки получить должность в этой компании. Он несколько раз пытался устроиться на работу в данной компании и для этого даже встречался с руководителями компании, несмотря на то, что это мешало их работе, чтобы произвести на них впечатление и показать, как он хочет работать в их компании.После нескольких попыток он был назначен на должность сотрудника сервис-центра. Согласно его сослуживцам, он был великолепным исполнителем и очень компетентным специалистом. Расследование установило, что он в ходе своей работы старался получить доступ ко всем рабочим станциям и серверам, использующимся в компании, включая информационные системы отдела кадров, бухгалтерии и другие критические системы. Специфика его работы привела к тому, что пользователи сами предоставили ему информацию о всех именах и паролях, необходимую для доступа ко всем системам, к которым они сами имели доступ, чтобы помочь ему оказать пользователям помощь в работах, выполняемых на их компьютерах. Вскоре этот сотрудник имел доступ практически ко всем аккаунтам пользователей и ко всем системам в организации.Одним из средств организации взаимодействия между сотрудниками в компании был специальный почтовый адрес на почтовом сервере, который позволял тому, кто знал его, сразу послать сообщение большому числу пользователей во всей организации. Это было сделано путем разрешения пользователям доступа к адресному справочнику, встроенному в почтовую систему, и предоставления им возможности обновлять его без каких-либо ограничений, а также использованием специального идентификатора пользователя в этом адресном справочнике как широковещательного адреса. Если пользователь мог загрузить к себе на машину адресный справочник с почтового сервера, то он мог послать письмо любому пользователю, адрес которого был указан в этом справочнике, а также широковещательное письмо всем пользователям сразу. При этом ему не нужно было обладать какими-то особенными техническими знаниями. :При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал. Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен. Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем. Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента. На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий. Расследование и его результаты Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:
Так как в результате этой атаки пострадали сотрудники компании как в конкретном штате США, так и за его пределами (из-за того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы. Для предотвращения подобных атак в будущем были предприняты следующие меры:
Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше прежнего уровня, и являются достаточными для противодействия соответствующим угрозам. Даже так называемые внешние атаки могут быть организованы при помощи информации о внутреннем устройстве сети. Описанная выше атака не могла быть осуществлена без знания специфической внутренней информации, которая позволила атакующему максимально распространить троянского коня, вызвавшего разрушения. Хотя с технической точки зрения эта атака является внешней, на самом деле она была организована извне на основе внутренней информации. |
|
2000-2008 г. Все авторские права соблюдены. |
|