Как корпоративная система электронной почты была использована для распространения троянского коня

Введение

В этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования. Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения увеличил свою заработную плату.

Предыстория атаки

Сотрудник сервис-центра в другой фирме, работающей в области шоу-бизнеса, постоянно предпринимал попытки получить должность в этой компании. Он несколько раз пытался устроиться на работу в данной компании и для этого даже встречался с руководителями компании, несмотря на то, что это мешало их работе, чтобы произвести на них впечатление и показать, как он хочет работать в их компании.

После нескольких попыток он был назначен на должность сотрудника сервис-центра. Согласно его сослуживцам, он был великолепным исполнителем и очень компетентным специалистом. Расследование установило, что он в ходе своей работы старался получить доступ ко всем рабочим станциям и серверам, использующимся в компании, включая информационные системы отдела кадров, бухгалтерии и другие критические системы. Специфика его работы привела к тому, что пользователи сами предоставили ему информацию о всех именах и паролях, необходимую для доступа ко всем системам, к которым они сами имели доступ, чтобы помочь ему оказать пользователям помощь в работах, выполняемых на их компьютерах. Вскоре этот сотрудник имел доступ практически ко всем аккаунтам пользователей и ко всем системам в организации.

Одним из средств организации взаимодействия между сотрудниками в компании был специальный почтовый адрес на почтовом сервере, который позволял тому, кто знал его, сразу послать сообщение большому числу пользователей во всей организации. Это было сделано путем разрешения пользователям доступа к адресному справочнику, встроенному в почтовую систему, и предоставления им возможности обновлять его без каких-либо ограничений, а также использованием специального идентификатора пользователя в этом адресном справочнике как широковещательного адреса. Если пользователь мог загрузить к себе на машину адресный справочник с почтового сервера, то он мог послать письмо любому пользователю, адрес которого был указан в этом справочнике, а также широковещательное письмо всем пользователям сразу. При этом ему не нужно было обладать какими-то особенными техническими знаниями.

Что произошло…

При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал.

Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен.

Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем.

Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.

На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.

Расследование и его результаты

Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.

Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:

• Следователь связался с интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо, чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888 ведется журнал, в котором фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США).
• Изучение журналов почтового сервера у интернет-провайдера показало, что дата-время отправки письма, вызвавшего уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера.
• Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением, содержащим троянского коня.
• Анализ журналов почтового сервера компании показал, что в интересуюшее время получались письма от почтового сервера провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем действительно передавалось между почтовым сервером провайдера и почтовым сервером компании.
• С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их отправителей. Эта информация согласовывалась с информацией от провайдера и информацией от внутреннего почтового сервера.
• Анализ журналов телефонных звонков в компанию с помощью средств протоколирования, встроенных в офисную АТС, показал, что подозреваемый регулярно звонил в компанию нескольким сотрудникам. Было установлено, что почти сразу же после отправки троянского коня подозреваемый звонил нескольким людям и разговаривал с ними от 1 до 15 минут. Собеседование с этими людьми установило, что звонивший задавал им конкретные вопросы о троянском коне, как будто бы он уже слышал о случившемся с ними несчастье, но не мог понять, как этот троянский конь мог попасть к ним в компанию.

Так как в результате этой атаки пострадали сотрудники компании как в конкретном штате США, так и за его пределами (из-за того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы.

Решение проблемы

Для предотвращения подобных атак в будущем были предприняты следующие меры:

• Был обновлен межсетевой экран, и в нем была установлена последняя версия программного обеспечения, позволяющего сканировать приложения к письмам на вирусы и известных троянских коней. Кроме того, любые приложения, имеющие размер больше определенного, удалялись, а вместо них в письмо включалось сообщение об этом.
• Был разработан ряд политик безопасности и инструкций, которые были доведены до пользователей, чтобы они знали, как себя вести в случае повторения подобных ситуаций.
• Стали регулярно проверяться журналы телефонных звонков на специфические виды звонков и разговоры сотрудников с уволенными сотрудниками, которых уволили не по их собственному желанию, вскоре после их увольнения.
• При увольнении сотрудников с ними стали проводиться собеседования с целью определения списка машин, к которым они имели доступ, и уровня этого доступа, чтобы системные администраторы сразу же узнали об увольнении сотрудников и тут же удалили их аккаунты со всех этих машин.
• Были обновлены программы на почтовом сервере компании. В новой версии добавлена возможность сканирования писем на определенные слова, чтобы своевременно выявить потенциально опасные письма до того, как они будут получены пользователями.
• Во всех критических системах компании (в том числе и в бухгалтерской системе) стало проводиться регулярное аудирование их использования, и в них были добавлены программы, которые отслеживают все изменения в контролируемых ими базах данных.
• Стало обращаться должное внимание на создание архивных копий данных пользователей, и было предложено пользователям хранить свои критические файлы на серверах, которые стали регулярно архивироваться системными администраторами.

Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше прежнего уровня, и являются достаточными для противодействия соответствующим угрозам.

Заключение

Даже так называемые внешние атаки могут быть организованы при помощи информации о внутреннем устройстве сети. Описанная выше атака не могла быть осуществлена без знания специфической внутренней информации, которая позволила атакующему максимально распространить троянского коня, вызвавшего разрушения. Хотя с технической точки зрения эта атака является внешней, на самом деле она была организована извне на основе внутренней информации.

  [an error occurred while processing this directive]