March 7

Кто витает в облаках, или Как хакеры атакуют MSP-провайдеров

Допустим, вы решили грабить банки. На дворе 2024-й и вы не спали в криокамере 50 лет, поэтому вряд ли пойдете искать револьвер и чулок на голову. Самый логичный путь — стать киберпреступником (или одуматься).

Но можно пойти еще дальше — атаковать банки не точечно, а оптом. Достаточно взломать MSP-провайдера, и вы получите доступ к инфраструктуре множества организаций-клиентов. И банков в их числе.

Пример смешной, ситуация страшная. Киберпреступники все чаще нацеливаются на MSP-провайдеров. О растущей угрозе одновременно заявляют по всему миру, в том числе в Штатах, Великобритании, Новой Зеландии.

В этой статье выясним:

  • как злоумышленники обычно проникают в сеть MSP-провайдера,
  • какие группировки чаще атакуют облачные сервисы,
  • как выбрать подрядчика, чтобы не стать жертвой такого киберпреступления.

MSP как вектор атаки

Для начала уточним: аббревиатура MSP (Managed Service Provider) относится ко всем подрядчикам, которые предлагают клиентам комплексное управление ИТ-продуктами по модели IaaS (инфраструктура как услуга). И хотя есть другие трактовки термина, в этой статье мы будем пользоваться именно таким определением.

А теперь к фактам. По данным IBM, основной причиной успешных атак в MSP становятся учетные данные сотрудников провайдеров и их клиентов. Слабые и скомпрометированные пароли фигурируют в 36% реальных инцидентов. Чаще всего в даркнете появляются учетки пользователей Microsoft Outlook (5,8 млн пар данных), WordPress (832 тыс.) и Zoom (604 тыс.).

Еще одна актуальная угроза — уязвимости ПО. За последний год количество уязвимостей в облачных сервисах возросло в три раза — на 194%, если верить IBM. Здесь все то же самое: преступники пользуются дефектами безопасности в Microsoft Outlook и других массовых бизнес-продуктах. Но есть случаи, когда проблемой становятся специализированные приложения для MSP.

Самый известный пример — CVE-2017-18362. Если коротко: уязвимость нашли в плагине ConnectWise ManagedITSync. Он используется сервис-провайдерами для интеграции платформы автоматизации ConnectWise Manage с Kaseya VSA, которая отвечает за удаленный мониторинг и управление ресурсами.

Найденный дефект позволял изменять базы данных, вносить новых пользователей, наделять их всеми возможными правами и ставить любые задачи. Проще говоря, преступники могли удаленно загружать вредоносные программы на устройства клиентов MSP-провайдера.

И хотя баг пофиксили быстро, позже появились другие новости о проблемах с Kaseya VSA. В 2021 году из-за уязвимости пострадали минимум три крупных MSP-провайдера и их клиенты. Так, например, в Швеции из строя вышли веб-сервисы крупной торговой сети Coop, из-за чего компании пришлось на время закрыть 800 магазинов.

Вымогают и шпионят

Обычно в атаках на MSP-сферу звучат названия одних и тех же группировок. Многие из них — банды вымогателей или те, кто пользуется их ПО по подписке. Иногда преступники требуют выкуп от самого провайдера, но чаще всего нацеливаются на его клиентов. Нередко хакеры угрожают утечками данных.

Чтобы представить ситуацию лучше, рассмотрим три инцидента с участием известных группировок.

Black Hunt

В январе 2024-го стало известно об атаке на Tigo Business. Компания является лидером на рынке мобильной связи, предоставления облачных сервисов и хостинга в Парагвае.

Провайдера атаковала группировка вымогателей Black Hunt. Об этом жертва сама заявила на своем сайте, но позже сообщение было удалено. В результате инцидента были зашифрованы и вышли из строя сразу 330 серверов провайдера. Резервные копии также оказались в руках преступников. В итоге прекратили работу веб-сервисы более 300 компаний-клиентов.

Хакеры из Black Hunt впервые засветились в конце 2022 года. Группировка активно работает на территории Южной Америки. Обычно преступники получают доступ к корпоративным сетям и устройствам пользователей, с которых затем запускают программу-вымогатель. Кроме того, в сообщениях жертвам они указывают, что могут продать полученные данные в даркнете.

Основная точка входа — незащищенные RDP (удаленные рабочие столы). После получения доступа на компьютерах жертв проводятся очистки журналов событий Windows, удаляются теневые копии записей NTFS, отключаются возможности для восстановления операционной системы, завершается работа антивируса Microsoft Defender. И все это проходит, конечно же, в скрытом от пользователя режиме.

REvil

Еще одна группировка вымогателей. И еще одна история про то, как хакеры используют уязвимости уже знакомого нам ПО — Kaseya VSA.

Самый громкий инцидент с участием REvil и MSP-подрядчиков произошел в 2021 году. Группировка заявила, что заразила шифровальщиком как саму компанию Kaseya, так и других сервис-провайдеров, которые пользуются ее продуктами. В результате, по данным преступников, пострадал миллион операционных систем по всему миру.

Ранее группировка провернула подобную историю с шифровальщиком Sodin. В основном хакеры заражали MSP-провайдеров через консоль удаленного доступа Webroot.

В январе 2022 года группировка была ликвидирована ФСБ.

APT29

В конце февраля 2024-го Агентство по кибербезопасности и защите инфраструктуры (CISA) сообщило, что группировка APT29 теперь специализируется на атаках на облачные сервисы. Раньше она занималась эксплуатацией уязвимостей on premise.

Другие названия APT29: Midnight Blizzard, tDukes, Cozy Bear. Запад считает, что за действиями этой банды стоит российская Служба внешней разведки (СВР). Как правило, под прицел группировки попадают правительственные структуры и организации США, стран Европы. Инциденты чаще приводят к утечкам конфиденциальной информации.

Обычно для получения доступа к сети жертвы преступники используют брутфорс, или перебор паролей. При этом в отчете CISA говорится, что в атаках на облачные серверы хакеры APT29 чаще применяют токены, благодаря которым можно получить доступ к учетным записям без необходимости ввода пароля. Также преступники часто используют метод MFA-усталости (подробнее о нем мы рассказывали на Хабре). Получив доступ к облачному хранилищу организации, участники группировки добавляют к нему новые устройства и начинают разведку.

Как обезопасить себя

Все по-капитански просто: чем меньше у вас поставщиков ИТ-услуг, тем ниже вероятность атак по их вине.

Еще один не менее очевидный совет: лучше заранее убедиться в надежности подрядчика. Дело не только в том, страдал ли он от злоумышленников ранее или нет. Компания может быть слишком молодой, чтобы накопить такую сводку, но не менее надежной по сравнению с конкурентами. К тому же, такой информацией о себе делятся далеко не все участники рынка.

Вот почему рекомендуем сначала проверить, есть ли у сервис-провайдера необходимые вам сертификаты соответствия требованиям регуляторов и рынка. Важны как отраслевые (ГОСТ Р 57580, PCI DSS), так и общие (ISO, аттестация по 152-ФЗ).

Главное — помнить, что закрытый вопрос с бумажной безопасностью не всегда гарантирует высокий уровень защиты данных на практике. Если есть сомнения, то лучше задать провайдеру вопросы, ответы на которые лежат в его зоне ответственности:

  • Что представляет собой ЦОД, в котором находится его оборудование? Иногда под дата-центром на бумаге скрывается серверная комната в бизнес-центре. Она по требованиям физической безопасности явно уступает отдельно стоящему зданию ЦОД с огороженной территорией. Плюс рекомендуем выяснить, как организована пропускная система, есть ли охрана 24/7, видеонаблюдение в помещениях и снаружи.
  • Как организована сетевая безопасность? Смотрим не только на обязательную сегментацию сети, благодаря которой сети провайдера и клиента отделены друг от друга. Важно понять, как организована защита от DDoS: отправляется ли атакуемая компания в blackhole или защищается все облако на уровне L3/L4, благодаря чему угроза обнаруживается раньше и не требует резкого отключения IP-адресов жертвы.
  • Какие используются практики управления идентификацией и доступом? Лучше, если подключение администраторов провайдера и клиента к ресурсам будет проходить с многофакторной аутентификацией и через удаленный рабочий стол (VDI). Также хорошо, если подрядчик не просто требует обновлять данные доступа каждые 90 дней, но и проводит проверки хэшей паролей на возможность их подбора.
  • Какие сканеры уязвимостей применяются? Все MSP-провайдеры регулярно сканируют внутреннюю и облачную инфраструктуру. Но есть случаи, когда по согласованию проверяются также IP-адреса, которые подрядчик выдает клиенту.
  • Как ведется мониторинг и собираются логи? Чтобы своевременно выявлять аномалии и предотвращать негативные последствия для себя и клиентов, многие провайдеры используют логи с ПО и устройств облака. Такие данные помогают быстрее проводить расследования инцидентов.

Все перечисленное выше — минимум требований, которым соответствует надежный провайдер услуг. Идеальный случай — если он делает больше, чем требуют регуляторы и клиенты. Например, проверка готовности к реагированию на инциденты (Pre-Incident Response, Pre-IR) — необязательная процедура для сервис-провайдера. Но если он проходит ее по собственной инициативе и получает положительный результат, это может указывать на более ответственное отношение к вопросам безопасности.

Резюмируем

Угрозы MSP есть, но на практике все не так страшно. Как и в любой другой отрасли, от действий хакеров страдает лишь небольшой процент компаний. В большинстве случаев сервис-провайдеры используют стандартные меры и средства защиты, которые эффективны во всех сферах.

А если вы тот самый киберпреступник, который все еще планирует грабить банки оптом и пытается взломать ответственного сервис-провайдера, то мы вам сочувствуем. Вероятнее всего, достичь цели будет непросто.