Κυβερνοασφάλεια: Όταν η κοινωνική συμπεριφορά ενός εργαζομένου γίνεται απειλή για την επιχείρηση

Καθώς η ζωή μας βασίζεται όλο και περισσότερο σε διαδικτυακά περιβάλλοντα και ψηφιακές συμπεριφορές, οι κυβερνοεγκληματίες αξιοποιούν νέους φορείς που επιτρέπουν το ηλεκτρονικό ψάρεμα (phishing), την κλοπή δεδομένων και τη διάδοση κακόβουλου λογισμικού. Πρόσφατα περιστατικά δείχνουν ότι όταν γίνεται συνδυασμός της επαγγελματικής και της προσωπικής ζωής μας μπορεί να δημιουργήσει νέες απειλές στην ασφάλεια μιας επιχείρησης.

Φανταστείτε τους υπαλλήλους μιας επιχείρησης να περιηγούνται στην αγαπημένη τους πλατφόρμα κοινωνικής δικτύωσης στον προσωπικό τους χρόνο- μπορεί να βρουν μια ενδιαφέρουσα εικόνα ή ένα emoji και τον ενσωματωμένο σύνδεσμο του, τον οποίο στη συνέχεια μοιράζονται με τους ακόλουθούς τους – κανέναν δεν θα πείραζε κάτι τέτοιο. Τώρα, φανταστείτε τους υπαλλήλους να ελέγχουν τις διάφορες επαγγελματικές τους συζητήσεις και θέματα- κάτι που έχει να κάνει με τα προσωπικά και επαγγελματικά τους ενδιαφέροντα τούς κεντρίζει την προσοχή.

Ο πόλεμος στο Ισραήλ και το τέλος της… ρομαντικής εποχής των social media

Ως εκ τούτου, μοιράζονται ένα άρθρο, μια ενδιαφέρουσα εικόνα ή ένα emoji και τον ενσωματωμένο σύνδεσμο του. Αυτή τη φορά, το μοιράζονται με τους συναδέλφους τους σε μια πλατφόρμα που βασίζεται στο cloud, όπως το Microsoft Teams… απλά για διασκέδαση ή ακόμη και για επαγγελματική έμπνευση.

Κάτι πολύ συνηθισμένο σε ένα γραφείο, σωστά; Οι κυβερνοεγκληματίες όμως μπορούν να εκμεταλλευθούν ακόμη και αυτές τις καθημερινές δραστηριότητες. Με απλά λόγια, οι συμπεριφορές που είναι κοινές για την πλοήγηση και την απόλαυση των μέσων κοινωνικής δικτύωσης μπορούν να εγείρουν κινδύνους για τις επιχειρηματικές πλατφόρμες, οι οποίες έχουν πλέον γίνει πανταχού παρούσες τόσο για τις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ) όσο και για τις μεγάλες επιχειρήσεις.

Ανταλλάσσοντας reports, ανέκδοτα και κακόβουλο λογισμικό

Ας ξεκινήσουμε με τις εικόνες, τα GIFs και τα emojis που αποτελούν αντικείμενο επίθεσης. Η τεχνική της απόκρυψης ενός αρχείου, μηνύματος, εικόνας ή βίντεο μέσα σε ένα άλλο αρχείο, μήνυμα, εικόνα ή βίντεο ονομάζεται ψηφιακή στεγανογραφία και δεν είναι κάτι καινούργιο στην κυβερνοασφάλεια.

Η πρώτη καταγεγραμμένη περίπτωση χρήσης της σε κυβερνοεπίθεση χρονολογείται από το 2011, όταν ανακαλύφθηκε το κακόβουλο λογισμικό Duqu. Αυτό το κακόβουλο λογισμικό συλλέγει δεδομένα σχετικά με τη μολυσμένη συσκευή και τα μεταδίδει πίσω στον διακομιστή εντολών και ελέγχου (C&C) κρυμμένα σε ένα αρχείο JPEG που μοιάζει με μια αθώα εικόνα.

Έκτοτε, οι ερευνητές της ESET έχουν αναλύσει πολυάριθμες παρόμοιες επιθέσεις.

Το 2022, το BleepingComputer ανέφερε για μια νέα τεχνική επίθεσης που ονομάζεται GIFShell και επιτρέπει στους φορείς απειλών να κάνουν κατάχρηση του Microsoft Teams για επιθέσεις phishing και να εκτελούν εντολές για την κλοπή δεδομένων χρησιμοποιώντας GIF.

Χρησιμοποιώντας ευπάθειες της πλατφόρμας Teams, το GIFShell επιτρέπει σε έναν εισβολέα να δημιουργήσει ένα αντίστροφο κέλυφος (shell). Αυτή η τεχνική εξαπατά τους χρήστες ώστε να εγκαταστήσουν κακόβουλο λογισμικό που συνδέει τη συσκευή του θύματος με τον διακομιστή εντολών και ελέγχου του επιτιθέμενου. Αφού δημιουργηθεί η σύνδεση, ο διακομιστής εντολών και ελέγχου παραδίδει κακόβουλες εντολές μέσω GIF στο Teams. Αυτές οι εντολές μπορούν, για παράδειγμα, να σαρώσουν τη συσκευή για ευαίσθητα δεδομένα και στη συνέχεια να τα εξαγάγουν, και πάλι μέσω GIFs που ανακτώνται από την υποδομή της ίδιας της Microsoft.

Οι μεγάλες πλατφόρμες που βασίζονται στο cloud, όπως το Microsoft 365 με την εφαρμογή Teams, σημείωσαν ραγδαία ανάπτυξη κατά τη διάρκεια της πανδημίας και, μέχρι το πρώτο τρίμηνο του 2023, είχαν περίπου 280 εκατομμύρια χρήστες. Με τέτοια ανάπτυξη και νέες διαδικτυακές συμπεριφορές, το πεδίο για κακόβουλη χρήση σε μεγάλες πλατφόρμες έχει αυξηθεί.

Ωστόσο, οι ερευνητές έχουν δείξει αυξανόμενη προσοχή σε αυτούς τους φορείς απειλών. Τον Ιούνιο του 2023, η Red Team του βρετανικού παρόχου υπηρεσιών ασφαλείας Jumpsec ανακάλυψε έναν εύκολο τρόπο για την παράδοση κακόβουλου λογισμικού με τη χρήση του Microsoft Teams μέσω ενός λογαριασμού εκτός του οργανισμού-στόχου. Παρόλο που το Microsoft Teams διαθέτει προστασία από την πλευρά του πελάτη που εμποδίζει την παράδοση αρχείων από εξωτερικές πηγές, τα μέλη της Red Team την παράκαμψαν αλλάζοντας το εσωτερικό και το εξωτερικό αναγνωριστικό παραλήπτη στο αίτημα POST ενός μηνύματος.

Με αυτόν τον τρόπο, οι ερευνητές μπόρεσαν να ξεγελάσουν το σύστημα και να το πείσουν ότι ένας εξωτερικός χρήστης ήταν στην πραγματικότητα ένας εσωτερικός λογαριασμός. Συγκεκριμένα, παρέδωσαν με επιτυχία ένα φορτίο εντολών και ελέγχου στα εισερχόμενα ενός οργανισμού-στόχου. Εάν αυτή η επίθεση είχε συμβεί σε ένα πραγματικό περιβάλλον, οι κυβερνοεγκληματίες θα μπορούσαν να έχουν αναλάβει τον έλεγχο των συσκευών μιας επιχείρησης.

Θωράκιση των χρηστών μέσω πολυεπίπεδης προστασίας

Για να αντιμετωπίσει τις απειλές που προέρχονται από τις ολοένα και πιο δημοφιλείς εφαρμογές που βασίζονται στο cloud, η ESET δημιούργησε τη λύση Cloud Office Security (ECOS). Πρόκειται για έναν ισχυρό συνδυασμό φίλτρων spam, σάρωσης κατά του κακόβουλου λογισμικού, anti-phishing και προηγμένων δυνατοτήτων άμυνας κατά των απειλών, ικανών να περιορίσουν ακόμη και τύπους απειλών που δεν είχαν εμφανιστεί ποτέ στο παρελθόν.

Με αυτό το πολυμερές και επεκτάσιμο προϊόν, οι επιχειρήσεις μπορούν να προστατεύσουν ολόκληρη τη σουίτα Office 365, συμπεριλαμβανομένων των Exchange Online, MS Teams, OneDrive και SharePoint Online. Για παράδειγμα, ένα από τα πράγματα που κάνει το ECOS είναι ότι σαρώνει όλα τα αρχεία που μεταδίδονται μέσω του MS Teams και εκείνα που μεταφορτώνονται ή κατεβαίνουν στο SharePoint Online, σαρώνοντας τα ανεξάρτητα από το ποιος είναι ο συντάκτης του περιεχομένου.

Αποτελεσματικότητα του ECOS σε αριθμούς:

• Κατά τους πρώτους δέκα μήνες του 2023, το ECOS εντόπισε και απέκλεισε πάνω από 1 εκατομμύριο απειλές ηλεκτρονικού ταχυδρομείου, πάνω από 500.000 μηνύματα ηλεκτρονικού “ψαρέματος” και πάνω από 30 εκατομμύρια μηνύματα spam.
• Το συστατικό ανάλυσης cloud του ESET LiveGuard Advanced πραγματοποίησε χιλιάδες ανιχνεύσεις που δεν είχαν παρατηρηθεί ποτέ πριν.
• Το ECOS εντόπισε και σταμάτησε δεκάδες χιλιάδες απειλές σε εργαλεία αποθήκευσης και συνεργασίας στο cloud, όπως το OneDrive, το Teams και το SharePoint.

Η ESET προχώρησε ακόμη περισσότερο, ενσωματώνοντας το ECOS με το Google Workspace για την προστασία των χρηστών από τους προαναφερθέντες τύπους απειλών. Αυτό σημαίνει ότι η ESET προστατεύει πλέον τους σημαντικότερους παρόχους ηλεκτρονικού ταχυδρομείου cloud.

Αυξάνοντας τα επίπεδα προστασίας

Οι λειτουργίες που περιγράφονται εδώ είναι κρίσιμες για την ασφάλεια σε μεγάλο βαθμό επειδή κλιμακώνονται εύκολα και παρέχουν συγκεκριμένες βελτιώσεις για τις επιχειρήσεις. Ωστόσο, η ESET προσπάθησε να κάνει ακόμη περισσότερα για τις μικρομεσαίες επιχειρήσεις. Τον Οκτώβριο του 2022, οι λύσεις ασφάλειας τελικών σημείων της ESET ενσωματώθηκαν με την τεχνολογία ανίχνευσης απειλών Intel® (Intel® TDT), η οποία τέθηκε σε λειτουργία για επιλεγμένους φορητούς υπολογιστές με ισχύ vPro 9th Gen (και άνω), με ενσωματωμένες λειτουργίες που παρέχουν βελτιωμένη ανίχνευση ransomware βάσει υλικού.

Φέτος σημειώθηκαν περαιτέρω βελτιώσεις στην ενσωμάτωση με τις υψηλότερες επιδόσεις των νέων επεξεργαστών Intel Core 13ης γενιάς, οι οποίοι επιτρέπουν ανιχνεύσεις ransomware που διαμοιράζονται μεταξύ της ασφάλειας τελικών σημείων της ESET και των επιπέδων της, καθώς και τη μονάδα παρακολούθησης επιδόσεων (PMU) της Intel που βρίσκεται πίσω από τις εφαρμογές, το λειτουργικό σύστημα και τα επίπεδα virtualization και συλλέγει τηλεμετρία της CPU καθώς οι απειλές προσπαθούν να εκτελεστούν.

Αυτή η λύση είναι ιδιαίτερα επωφελής για τις μικρομεσαίες επιχειρήσεις, επειδή επεκτείνει περαιτέρω τον ολοκληρωμένο χαρακτήρα της πολυεπίπεδης λύσης της ESET χωρίς την ανάγκη άμεσης διαχείρισης.

Η προετοιμασία για επιθέσεις δε χρειάζεται να είναι περίπλοκη

Οι τεχνικές που επιτρέπουν την παραβίαση της ασφάλειας μιας επιχείρησης μέσω των υπαλλήλων της και των (εντός της εφαρμογής) συμπεριφορών τους καταδεικνύουν ότι οι κυβερνοεγκληματίες χρησιμοποιούν κάθε δυνατότητα για να παρακάμψουν τις συνήθεις άμυνες κυβερνοασφάλειας.

Μέσω του εύχρηστου πίνακα διαχείρισης της λύσης ECOS, της Cloud Management Console, οι επιχειρήσεις μπορούν να διαχειρίζονται την ασφάλειά τους, αλλά και να εντοπίζουν, να αξιολογούν και να ανταποκρίνονται γρήγορα σε περιστατικά στον κυβερνοχώρο.