Як «ламають» VPN та як захистити корпоративну мережу

За даними Atlas VPN, у 2021 році кількість користувачів VPN-сервісів зросла до 616 млн. Минулого року, 30% світових компаній вперше почали користуватися VPN-сервісами, згідно з опитуванням OpenVPN. Такі сервіси стали необхідними бізнесу для забезпечення віддаленого доступу до корпоративної мережі. 

Однак, без належної конфігурації, керування виправленнями та посилення безпеки, VPN стає надвразливим до кібератак. Костянтин Примак, співробітник FS Group, у колонці для AIN.UA пояснює як зловмисники можуть зламати корпоративний VPN, розповідає про гучні кейси зламу маршрутизаторів та ділиться порадами щодо того, як бізнесу зменшити ризики зламу корпоративної мережі. 

IBM Security визначили, що загальна сума втрат корпоративних даних у 2020 році досягла $3,86 млн. У 2020 році кількість атак на маршрутизатори виросла у 25 разів, у порівнянні з 2019 роком. В середньому, щомісяця відбувалося близько 250 млн атак. А злам маршрутизаторів, які відповідають за під’єднання до мережі VPN, входить у топ-3 найулюбленіших хакерських атак. 

Як зламати VPN 

VPN, або віртуальна приватна мережа, пропонує зашифрований канал, яким дані передаються між комп’ютером і корпоративною інфраструктурою. Таким чином, компанії компенсують ненадійне мережеве середовище віддалених співробітників. Багато компаній використовують VPN в режимі роздільного тунелювання. Такий режим дозволяє трафіку, що йде на сервери компанії проходити через VPN. А решта трафіку проходить через незашифровану загальнодоступну мережу. Метод є зручним, тому що він дає змогу контролювати трафік та зменшує навантаження на VPN-сервер.

Проте зловмисник, який контролює маршрутизатор, може створити новий маршрут та перенаправити зашифрований трафік на власний сервер. Після цього, зловмисник створює підробний екран входу в систему. За його допомогою перехоплює облікові дані користувачів для підключення по протоколу віддаленого робочого столу і, фактично, отримує доступ до закритої мережі. Такий тип атаки є одним із найулюбленіших серед кіберздирників. Він дозволяє аналізувати трафік, і навіть, доставити у систему жертви програму-вимагач. Вона, своєю чергою, шифрує комп’ютер жертви та може заразити усі пристрої в мережі.

Іншим типом зламу маршрутизатора може бути використання функції Preboot Execution Environment (PXE). Системні адміністратори використовують PXE для завантаження образу операційної системи на комп’ютери в мережі. Це значно зменшує час роботи та сприяє сталості бізнес-процесів. Зазвичай цю функцію вимкнено, але деякі компанії використовують її, наприклад, для віддаленого відновлення операційної системи працівника у разі збою. Такий образ операційної системи можна підмінити або вбудувати в операційну систему шкідливе програмне забезпечення. 

Кіберзлочинець, що контролює маршрутизатор може здійснювати будь-які дії у внутрішній мережі. Наприклад, отримати повний доступ до файлової системи. І, навіть, перенаправляти користувачів на фішингові ресурси під виглядом легітимних вебсайтів та сервісів.

Існують і операційні вразливості, якими користуються хакери для зламу маршрутизаторів. Так, зловмисник може використати вразливість операційної систему певного типу пристроїв для незаконної діяльності. Цьогоріч через подібну вразливість маршрутизаторів Fortinet дані користувачів були викрадені та опубліковані в інтернеті. Зловмисник використав вразливість, виявлену ще два роки тому. Проте, не на усі пристрої Fortinet було встановлене відповідне виправлення. Як наслідок, інформація з 87 000 маршрутизаторів із 74 країн світу стали загальнодоступними. 

Станом на 2021, за даними форуму CVE, було зареєстровано 260 вразливостей маршрутизаторів, якими можуть скористатися хакери для незаконної діяльності. Для більшості з них були створені виправлення. Проте існують і такі, що й досі активно використовують зловмисники. 

Гучні кейси 2021

Існують випадки, коли пристрої зламують для того, щоб створити прикриття для проведення іншої атаки. У липні 2021 року APT31 зламала велику кількість домашніх і офісних маршрутизаторів у Франції. Зламані маршрутизатори використали для анонімізації членів угруповання у масштабній атаці на французькі організації. 

Від атак на маршрутизатор не застраховані й великі телеком-оператори. У середині серпня 2021 року, на хакерському форумі з’явилося оголошення про продаж особистих даних приблизно 100 млн клієнтів телеком-оператора T-Mobile. Хакери зламали T-Mobile через незахищений GPRS-шлюз у маршрутизаторі та викрали дані IMSI, IMEI, номери телефонів, імена, PIN-коди, дати народження, дані водійських посвідчень і навіть номери соціального страхування клієнтів компанії.

У жовтні хакери здійснили атаку на сайт аптечного холдингу АНЦ через злам маршрутизатора. Зловмисники заблокували роботу сайту, відключили інтернет в аптеках та вимагали заплатити викуп за можливість продовжити роботу. За словами генерального директора компанії, тільки через блокування інтернет-замовлень АНЦ втратили 19% товарообігу. 

Нещодавно експерти FS Group також допомагали українській компанії, яка постраждала від зламу маршрутизатора. Клієнт звернувся зі скаргою на несанкціоновану активність у корпоративній мережі. Зловмисник отримав доступ до віртуальної машини, внутрішньої мережі, інфраструктури та бази даних організації. 

За даними аналізу було встановлено, що зловмисник отримав доступ до сервера внутрішньої мережі, використавши скомпрометований обліковий запис одного зі співробітників організації. Хакер використав шкідливе програмне забезпечення, щоб дістатися до внутрішньої бази даних та перенести корпоративну інформацію з бази на власний WEB-сервер. 

Дослідженням інциденту займався спеціаліст FS Group Кирило Недєлков. Він встановив, що зловмисник проник у мережу за декілька днів до зафіксованого інциденту та непомітно викрав понад 500 jpeg-файлів з бази компанії та один csv-файл з персональною інформацією понад 7 000 осіб. 

Зловмисник експлуатував вразливість маршрутизатора, за допомогою якої можна здійснити атаку з обходом каталогів. Вона дозволяє отримати доступ до системних файлів на пристрої. Зокрема, хакер може під’єднатися до пристрою через Інтернет та віддалено отримати доступ до інформації для входу у VPN, — розповідає Кирило.

Хакер скористався тим, що доступ до сервера VPN був дозволений з будь-якої IP-адреси. Варто було просто створити список довірених IP-адрес, які мали б доступ до корпоративної мережі, щоб уникнути інциденту. У компанії пояснили що знехтували правилами безпеки, бо співробітникам, які працювали не в офісі, було незручно щоразу надсилати запит на приєднання з нових IP-адрес. На віртуальну машину зловмисник встановив шкідливе програмне забезпечення і за його допомогою поступово викачував дані з сервера. Загалом, на проведення атаки він витратив близько 4-5 годин.

Хакер міг викачати дані дампом — тобто одним файлом за раз. Проте, цей метод є більш ризикованим. Якби під час викачування обірвалося з’єднання, він би втратив усе. Те, що він вирішив перестрахуватися свідчить про досвідченість зловмисника, — коментує Кирило.

Подібні злами відбуваються доволі часто і мають загальні передумови. Багато компаній надають доступ до критичних сервісів та серверів підрядникам, що працюють на аутсорсі. У такому випадку, збереження конфіденційності корпоративних даних залежить виключно від доброчесності підрядника. Далеко не всі компанії контролюють телекомунікаційне обладнання, вхідне мережеве з’єднання та взаємодію сервісів у корпоративній мережі. Вони просто не наймають працівників, які б самостійно задовольняли безпекові потреби. Наявність у штаті навіть одного кваліфікованого спеціаліста значно зменшує ризики кібератак, в тому числі на маршрутизатори. 

 FS Group зібрали поради для уникнення подібних інцидентів: 

1. Надавайте доступ до корпоративного VPN виключно за списком дозволених статичних IP-адрес. У разі потреби підключення з громадських мереж — надавайте його за попереднім запитом, максимум на один робочий день.

2. Змінюйте паролі облікових записів працівників та входу у корпоративну мережу кожні 2-3 місяці.

3. Не зберігайте паролі у відкритому доступі. Використовуйте програми зі зберігання паролів, якщо не можете запам’ятати усі. Обмінюйтеся паролями виключно у шифрованому вигляді. Наприклад, за допомогою PGP.

4. Проводьте моніторинг наявності скомпрометованої інформації співробітників у Даркнеті.

5. Надавайте доступ працівникам виключно до даних та сервісів, необхідних для виконання роботи. 

6. Своєчасно оновлюйте програмне забезпечення міжмережевого екрана (FireWall) та інших мережевих пристроїв.

7. Розділіть локальну мережу на сегменти, з обмеженим доступом до серверів та приладів критичної інфраструктури. 

Автор: Костянтин Примак, PR manager FS Group