Nieznane malware blokuje systemy IT wielkich firm
Wielki atak, jaki dotknął firmy w środkowej i zachodniej Europie przed 10 dniami, wciąż oddziałuje na niektóre przedsiębiorstwa. Informatycy dopiero obecnie stwierdzają, że nie wszystkie udane przejęcia systemów były dziełem ransomware. Niektóre firmy zostały skutecznie zaatakowane nieznanym malware.
Według ostatnich badań, tak naprawdę przeprowadzony przed tygodniem atak był swoistą "matrioszką", użyto w nim bowiem zarówno ransomware Petya.A, jak i nieznanego do tej pory malware określonego roboczo jako NotPetya. Te same były wektory ataku i użycie mechanizmów windowsowych. W przypadku obu malware - zarówno ransomware jak i NotPetya, użyto na Ukrainie, skąd atak się rozprzestrzenił, złośliwego update do miejscowej nakładki na MS Word - MeDoc - ułatwiającej zarządzanie dokumentami. Niektóre firmy zostały zaatakowane zarówno ransomware jak i NotPetya.
Do tej grupy należą takie giganty jak Moller-Maersk, FedEx, Reckitt Benckiser czy jedna z największych agencji reklamowych, brytyjska WPP. W tym ostatnim przypadku atak był najbardziej dewastujący. Według oficjalnego oświadczenia firmy "następuje stały postęp w przywracaniu normalnego środowiska operacyjnego tych części Grupy, które doświadczają pewnych przerw w działaniu". Firma obiecuje także "przywrócenie działania online systemów "w sposób wymierny i ostrożny, z powrotem online z zachowaniem wszystkich dobrych praktyk", co oznacza iż z przywróceniem właściwego działania systemu informatycy firmy mają ogromne problemy i postęp w tym zakresie jest może i stały, ale niewielki.
Na niekorzyść WPP, paradoksalnie, działa rozproszona struktura firmy, która ułatwiała jej pracę na rynku. Firma jako reklamowa i PR, składała się z sześciu dużych spółek holdingowych, które z kolei grupowany około setki małych agencji reklamowych i PR w różnych obszarach świata. Z tego względu WPP była firmą o wysokim stopniu wirtualizacji; jeszcze w 2014 roku zarząd podpisał umowę o wartości 800 mln USD z IBM, na migrację większości systemów i aplikacji do środowiska chmurowego. Po ukończeniu wdrożenia spora część pracowników działu IT i bezpieczeństwa, ze względu na masowe stosowanie outsourcingu, został zredukowana lub przeniesiona na inne stanowiska, często nie odpowiadające kwalifikacjom; pracownicy ci w większości odeszli przed upływem następnych 6 miesięcy.
Według nieoficjalnych informacji pochodzących samej firmy, niedostatek wsparcia technicznego, w znacznym stopniu przyczynił się do zablokowania jej systemów w trakcie ataku. IBM bowiem nie zainstalował jeszcze krytycznego patchu na system zarządzania, zas jedna z agencji należących do WPP nie miała instalowanych aktualizacji Windows w czasie ostatnich 6 miesięcy. Nikt też nie pilnował co robią użytkownicy; nadano im prawa lokalnych administratorów "aby nie zawracali głowy", co znacznie ułatwiło rozprzestrzenianie się malware w czasie ataku. Paradoksalnie agencje WPP nie dotknięte atakiem miały "proaktywne podejście do utrzymywania systemów IT" z racji niewielu informatyków, którymi dysponowały i często stosowano nich własne komputery pracowników na zasadzie BYOD . Z kolei część pracowników używała MacBooków, których systemy nie były atakowane.
W momencie ataku z kolei brak wsparcia IT, zwłaszcza ze strony specjalistów bezpieczeństwa oraz próby zażegnania sytuacji "domowymi sposobami" powiększyły jeszcze chaos i straty.
Po ataku IBM nie chciał się odnieść do zarzutów o niewłaściwy poziom wsparcia oraz o brak aktualizacji oprogramowania w oddziałach firmy. Jednak, według nieoficjalnych informacji, nie można zarzucić niczego pracownikom firmy, w czasie ataku starali się bowiem zmniejszyć okres niedostępności systemów. Informatycy WPP z kolei natychmiast po określeniu, że nastąpił atak, wyłączyli systemy, starali się zastosować takie środki zapobiegawcze, które ochroniłyby systemy zarówno biznesowe jak i klienckie.
Jednak nawet aktualizacje oprogramowania mogłyby nie zapobiec rozprzestrzenianiu się malware. WPP w swoim oświadczeniu stwierdziła, że " zastosowano szeroko patce, jako odpowiedź na WannaCry", ale analitycy stwierdzili, że malware ma także inne wektory ataku zaś patch Microsoftu z 2017 roku zmniejsza tylko ryzyko, zamykając niektóre z nich. Co prawda WPP dostarczył oprogramowania dedykowanego do usuwania ransoware oraz malware partner w dziedzinie rozwiązań bezpieczeństwa - firma Sophos, ale niewiele do pomogło. Nowe malware może rozprzestrzeniać się bowiem także przez VPN, jak stwierdzają analitycy firmy F-Secure. Na ogół bowiem, jak zauważa analityk tej firmy, Andy Patel, jeśli użytkownik, na którego maszynie doszło do infekcji, nie miał uprawnień administratora, wówczas sieć "w zasadzie powinna być bezpieczna" Dodatkowo nowe wersje Windows nie przechowują passwordów w postaci tekstowej, co znacznie utrudnia zastosowanie mechanizmu kradzieży haseł, implementowanego w nowej generacji malware.
Zwykle rozprzestrzenienie się malware i ransomware następowało poprzez firmy, które miały związek z Ukrainą - działały tam ich oddziały lub spółki czy oddziały ich klientów. Jednak analitycy F-Secure znają przynajmniej jeden przypadek, kiedy zaatakowana firma nie miała żadnego związku Ukrainą, nie posiadała też klientów, którzy prowadziliby działalność biznesową w tym kraju. Wytłumaczeniem rozprzestrzeniania się malware może być w tym przypadku właśnie atak przez VPN. Andy Patel zauważył także iż powtarzające się w ostatnim roku pandemie malware i ransomware, są pochodną cięcia kosztów, zwłaszcza w działach IT i "outsourcingu wszystkiego". "Wiele z dużych firm nie dofinansowywało działów bezpieczeństwa IT lub outsourcowało je. Dawniej wszystkie firmy miały własne działy bezpieczeństwa, stanowiące część działów IT, ostatnio jednak nawet duże firmy nie mają własnych działów informatyki. Jeśli jednak coś dzieje się źle, a ma się własnych informatyków, to nie dopuszczą oni, aby sytuacja ze złej stała się jeszcze gorsza" - zauważył.
Z kolei Brian Honan, analityk bezpieczeństwa I założyciel irlandzkiego CERT (Computer Security Incident Response Team) stwierdził iż hojne przyznawanie praw administratora, niedostatek segmentacji sieciowej, zbyt późne wgrywanie poprawek i łat pokazuje dlaczego niektóre nawet bardzo duże firmy jak WPP były bardziej od innych uwrażliwione na atak. Honan zauważył jednak iż nie można outsourcingu - masowego zresztą w wielu wielkich korporacjach - obwiniać za rozprzestrzenianie się ransomware i malware w trakcie ataków; znany jest bowiem przykład korporacji z wielkim działem IT, która i tak została dotknięta atakiem.
"Nie można outsourcingować odpowiedzialności za bezpieczeństwo" - dodał, określając iż bardzo rygorystyczne przyznawanie praw administratora i szybkie wgrywanie łat to najprostsze i najtańsze zarazem środki zabezpieczające przed następną pandemią, choć w wielu firmach ich zastosowanie nie było i nie będzie łatwe. "W wielu firmach działają aplikacje dedykowane, stworzone przez informatyków firmowych lub zewnętrznych obsługujące procesy bądź proces biznesowy, ważny dla tej firmy. Zwykle pracują one pod określoną wersją systemu operacyjnego. Duży Service Patch wszystko zmienia - aplikacja przestaje działać. Mamy więc nowe ukryte koszty. Istnieje też sporo tego typu aplikacji, które wymagają do działania nadania prawa lokalnych administratorów użytkownikom. Z punktu widzenia działu IT łatwiej i taniej jest te prawa nadać niż prowadzić kosztowną centralizację" - skomentował.
Honan w swojej opinii na temat ostatnich pandemii z punktu widzenia CERT twierdzi , że przedsiębiorstwa są skazane na "zatrzymanie się w działaniu i analizę swoich środowisk informatycznych" bowiem pandemie są "dzwonkiem alarmowym" I następne mogą spowodować już ogromne straty, bowiem deweloperzy złośliwego kodu tworzą coraz bardziej wyrafinowane malware.
Marek Meissner
