Jak katastrofa informatyczna spowodowana przez CrowdStrike stała się rajem dla hakerów? Co robić i na co uważać w takiej sytuacji?

Koszmarny piątek 19 lipca 2024

19 lipca br. był koszmarnym dniem dla wielu firm na świecie. Od rana nagłówki gazet, portale branżowe oraz inne media informowały o wielkiej awarii informatycznej systemów na całym świecie. Powodem było zawieszanie się systemu operacyjnego i pojawiający się na komputerach Windows poniższy ekran, zwany niebieskim ekranem śmierci (BSOD).

Jak się okazało, powodem była aktualizacja oprogramowania do bezpieczeństwa CrowdStrike’a. Firmy gorączkowo starały się opanować sytuację, podczas gdy cyberprzestępcy zauważyli okazję do działania. Technologiczny bałagan zamienił się w raj dla hakerów!

Kilka słów o awarii

CrowdStrike, znana firma zajmująca się cyberbezpieczeństwem, wydała aktualizację, która miała być standardową procedurą. Niestety, zamiast wzmocnić zabezpieczenia, spowodowała awarię milionów systemów Windows, pozostawiając wiele z nich z irytującym niebieskim ekranem śmierci (BSOD). Konsekwencje były poważne: odwołane loty, przerwane transakcje i zakłócone usługi na szeroką skalę. W tym chaosie cyberprzestępcy dostrzegli doskonałą okazję do działania.

Poniżej przedstawiamy metody ataku, jakie zaobserwowano w Internecie i które wykorzystali napastnicy, aby przeprowadzić skuteczny atak.

1. Wysyp nowych domen phishingowych w Internecie

Prawie natychmiast cyberprzestępcy zaczęli korzystać z zamieszania. Badacze zauważyli wzrost liczby domen naśladujących nazwę CrowdStrike, takich jak „crowdstrikebluescreen[.]com” i „crowdstrikefix[.]com”. Strony zostały stworzone, aby skłonić użytkowników do pobrania złośliwego oprogramowania lub ujawnienia poufnych informacji. Odwiedzenie tych domen mogło prowadzić na przykład do fałszywych stron wsparcia technicznego lub pobrania szkodliwych plików udających kluczowe aktualizacje. Przykład maila kierującego do jednej z takich witryn zamieszczamy poniżej:

Maile zachęcały do odwiedzania stron rzekomo podających rozwiązanie problemów z BSOD.

Domeny nie tylko wprowadzały użytkowników w błąd, skłaniając ich do podania swoich danych osobowych, ale także zachęcały do płacenia za nieistniejące poprawki. Było to jak festiwal oszustw, gdzie każda strona starała się przebić inne w wabieniu ofiar.

2. Złośliwe aktualizacje podszywające się pod poprawki

Druga, wyjątkowo podstępna metoda obejmowała fałszywe aktualizacje. Scenariusz pokazuje, jak atakujący wykorzystali sytuację, aby uzyskać kontrolę nad wrażliwymi systemami pod pozorem dostarczenia niezbędnej aktualizacji. Cyberprzestępcy rozprzestrzeniali pliki ZIP nazwane „crowdstrike-hotfix.zip”, które rzekomo miały naprawić problem BSOD, lecz w rzeczywistości instalowały trojana zdalnego dostępu RemCos (RAT). Malware umożliwiał atakującym zdalne kontrolowanie zainfekowanych systemów, co prowadziło do poważnych naruszeń danych i nieautoryzowanego dostępu.

Przykładem jest strona phishingowa udająca witrynę banku BBVA, na której promowano złośliwy plik ZIP. Po jego pobraniu i uruchomieniu aktywował się HijackLoader, który następnie instalował RemCos RAT. Ten przypadek pokazuje, jak atakujący wykorzystali zamieszanie, aby zdobyć kontrolę nad wrażliwymi systemami pod pretekstem dostarczenia potrzebnej aktualizacji.

3. Infostealer i fałszywe narzędzia do odzyskiwania

Niektórzy hakerzy posunęli się jeszcze dalej, nie zadowalając się jedynie RAT-ami. Zaczęli rozpowszechniać złośliwe dokumenty Word, udające oficjalne narzędzia do odzyskiwania firmy Microsoft. Dokumenty zawierały ukryte makra, które po uruchomieniu instalowały oprogramowanie typu infostealer.

Na pierwszy rzut oka dokument Word wyglądał na autentyczne instrukcje dotyczące narzędzia do odzyskiwania Microsoftu, lecz w rzeczywistości był pułapką.

Powyższa metoda ataku podkreśla konieczność weryfikacji źródła narzędzi do odzyskiwania i unikania nieoficjalnych aktualizacji, które mogą prowadzić do infekcji złośliwym oprogramowaniem.

4. Wiper Malware od grup hakerskich

Niektórzy aktorzy zagrożeń, tacy jak grupa hakerska Handala, postrzegali awarię jako idealną okazję do realizacji swoich celów politycznych. Przyjmując odpowiedzialność za atak malware wiper, skierowali swoje działania przeciwko izraelskim organizacjom, podszywając się pod aktualizację CrowdStrike. Ich złośliwe oprogramowanie nie tylko powodowało awarie systemów, ale także niszczyło dane, potęgując chaos. Takie ataki pokazują, jak grupy o motywacjach politycznych mogą wykorzystywać globalne incydenty do realizacji swoich celów, wywołując ogromne szkody i maksymalnie wpływając na bieżące wydarzenia.

5. Długoterminowe oszustwa i przyszłe zagrożenia

W miarę jak kryzys zaczął się uspokajać, niektórzy atakujący przeszli do przygotowywania długoterminowych oszustw. Bolster wykrył domeny reklamujące usługi prawne związane z roszczeniami dotyczącymi awarii CrowdStrike, co mogło prowadzić do oszustw firm ubiegających się o odszkodowania. Pojawiły się również oszustwa kryptowalutowe i fałszywe fundusze odzyskiwania, skierowane do osób dotkniętych awarią. Tego typu sztuczki pokazują, jak cyberprzestępcy nieustannie modyfikują swoje metody, aby wykorzystywać zmieniające się sytuacje. Organizacje, firmy oraz użytkownicy muszą zachować szczególną czujność, zwłaszcza w kwestii odzyskiwania finansów lub usług prawnych związanych z incydentem.

Podsumowanie i rady na przyszłość

Awaria CrowdStrike była nie tylko katastrofą technologiczną, ale również idealnym polem do popisu dla cyberprzestępców. Od domen phishingowych i fałszywych aktualizacji, przez złośliwe oprogramowanie typu wiper, aż po długoterminowe oszustwa.

Incydent pokazał, jak hakerzy potrafią zamienić chaos w okazję. Gdy zaczniemy odzyskiwać równowagę po tej katastrofie, warto wyciągnąć wnioski z tego cybercyrku: zachowujmy czujność, weryfikujmy źródła i zawsze bądźmy ostrożni wobec niechcianych aktualizacji.

Interesującym aspektem tego ataku jest fakt, że niektóre z fałszywych stron były na tyle zaawansowane, że potrafiły przekierowywać ofiary na prawdziwe witryny, aby zwiększyć swoją wiarygodność. Cyberprzestępcy wykorzystywali także techniki socjotechniczne, aby nakłonić użytkowników do uruchamiania złośliwego oprogramowania, podszywając się pod wsparcie techniczne lub oferując rzekome narzędzia naprawcze.

Rozumiejąc te zagrożenia i wdrażając solidne środki bezpieczeństwa, możemy lepiej przygotować się na przyszłe incydenty i złagodzić ryzyko związane z tak powszechnymi zakłóceniami. Microsoft poinformował, że awaria dotknęła 8,5 miliona urządzeń z systemem Windows na całym świecie, jednak, jak zauważa firma, stanowi to mniej niż jeden procent komputerów z jej systemem operacyjnym. Mimo to prawdopodobnie sytuacja ta zostanie zapamiętana jako jedna z największych porażek IT w historii.