Generelle malware-baserte angrep som har økonomisk fortjeneste som mål, forekommer mye oftere enn målrettede angrep. Men vellykkede målrettede angrep kan være svært ødeleggende. Et nyere angrep mot RSA sies å ha kostet 66 mill dollar, bare i direkte kostnader. Å kunne beskytte seg mot slike angrep krever en grundig forståelse av hvordan angriperne opptrer. En gruppe forskere i Symantec har dybdeanalysert data fra mer enn 26.000 målrettede angrep oppdaget i 2011. Dette innlegget oppsummerer studien deres og de viktigste resultatene.
En vanlig antakelse er at målrettede angrep bare utføres mot store organisasjoner, myndigheter og forsvarsindustri, og at det er hovedsaklig ledere og fageksperter som blir utnyttet. Denne studien viser at dette bare stemmer for halvparten av angrepene. Angripernes hovedmål er riktignok som oftest å få tak i kunnskap og opphavsrettslig beskyttet materiale som bare et utvalg av de ansatte har tilgang til, men det er ikke nødvendigvis disse ansatte som blir direkte utsatt for angrep.
Forskerne bak denne studien har definert målrettede angrep til å:
- bestå av et lavt antall utsending av e-poster med skadelig vedlegg
- tydelig vise en bevisst utvelgelse av hvem som skal motta disse e-postene, slik at e-postene har en treffende tittel eller en passende (falsk) avsender
- inneholde mer avansert malware enn det som brukes i generelle angrep.
Angrepene som er analysert i studien, er basert på e-poster som inneholdt skadelige vedlegg. (Målrettede angrep kan selvsagt også ha andre former, men det er ikke en del av denne studien.) 35% av vedleggene er PDF-filer, zip- og rar-filer utgjør 27%, mens 18% er dokumenter som utnytter sårbarheter i MS Office-produkter. Myndigheter og diplomati ble identifisert som den mest utsatte sektoren, med 34% av angrepene. Deretter følger Internettjenester med 15% av angrepene. Forskerne bemerker imidlertid at andre industrier, f.eks. forsvar, gjerne ble angrepet via myndighetsorganer.
Analysen viser at målrettede angrep typisk har fire ulike faser:
- Incursion – inngang: Angriper prøver å komme seg inn på nettverket. En e-post med skadelig vedlegg sendes til utvalgte mottakere, og når vedlegget åpnes, installeres en bakdør på vedkommendes datamaskin. Bakdøren venter på videre kommandoer fra angriperen, som nå har fjerntilgang til den infiserte datamaskinen.
- Discovery – rekognosering: Angriperen analyserer nettverket, finner ut hva slags maskinvare og programvare som finnes, og kan vurdere hvilke strategier som passer best for videre angrep. I ett av angrepene som ble analysert, gikk det et par uker mellom første og andre fase.
- Capture – erobring: Angriperen kaprer andre datamaskiner og/eller installerer mer avansert skadelig programvare på den allerede infiserte datamaskinen, f.eks. tastelogger og passordsniffer.
- Exfiltration – uthenting av data: Angriperen henter ut dokumenter, passord, tastelogger og annen informasjon av interesse. Det kan gjerne ta en måneds tid fra første framstøt til denne fasen gjennomføres.
Studien viser at et målrettet angrep er sjelden ett enkelt angrep. Angriperne er heller svært tålmodige. Samtidig er slike angrep sjelden helt manuelle og veldig langtekkelige, det er gjerne en viss grad av automatisering involvert. Derfor brukes gjerne begrepet «kampanjer», selv om omfanget ikke er i nærheten av typiske generelle angrep som sendes ut i ubegrensede mengder. Slike kampanjer kan gjerne ha mange organisasjoner som mål, men typisk innenfor samme bransje, eller de kan være rettet mot mange ulike organisasjoner, men med mål om å oppnå det samme hos alle. Denne siste typen betegnes som MOTA – Massive Organizationally Targeted Attacks.
Målrettede angrep øker i antall, iallfall ifølge Symantec. I 2005 observerte de omlag 50 angrep totalt, mens mot slutten av 2011 var det rundt 100 hver eneste dag. Fra april 2008-april 2012 identifiserte og logget de omtrent 96.000 e-poster som kunne knyttes til målrettede angrep. Dette er fortsatt lave tall sammenlignet med mengden malware og phishing-eposter som sendes hver dag – ca 500.000 stk. Men nettopp det at de forekommer såpass mye sjeldnere og samtidig har noen egenskaper som skiller seg ut fra generelle angrep, gjør at de er mye vanskeligere å oppdage.
Innlegget er basert på artikkelen «Industrial Espionage and Targeted Attacks: Understanding the Characteristics of an Escalating Threat» skrevet av Olivier Thonnard, Leyla Bilge, Gavin O’Gorman, Seán Kiernan og Martin Lee. RAID 2012, LNCS 7462, p. 64-85.