Z angielskiego podwórka – MITM w czasach elżbietańskich i współcześnie
Po wielu latach prowadzonego w Wielkiej Brytanii dochodzenia, w końcu udało się skazać człowieka oskarżonego o przeprowadzenia ataku typu MITM (Man in the middle) w firmie zajmującej się opracowywaniem terapii genowych Oxford Biomedica. Winnym okazał się być 28 letni Ashley Liles pracujący dla firmy jako administrator systemów bezpieczeństwa. Co ciekawe mężczyzna wykorzystał do tego przeprowadzone wcześniej na firmę ataki typu ransomware, w których cyberprzestępcy chcieli wymusić okup w zamian za odblokowanie dostępu do zaszyfrowanych danych. Jego strategia polegała na manipulowaniu treścią emaili, które przychodziły od przestępców odpowiedzialnych za zaszyfrowanie dysków. Liles wykorzystywał w tym celu swoją poufną wiedzę do tworzenia wiarygodnych scenariuszy. Z dochodzenia przeprowadzonego przez brytyjską policję wynika, że mężczyzna próbował wykorzystać ewentualne wyłudzenie pieniędzy przez grupę szyfrującą dane, aby samemu uciec z pieniędzmi a jednocześnie przenieść odpowiedzialność na grupę szyfrującą. Drugi ze scenariuszy zakłada, że mężczyzna chciał w taki sposób wpłynąć na negocjacje okupu, żeby część sumy trafiła osobiście do niego a jednocześnie zapisał się jako pozytywny bohater, któremu udało się uzyskać klucz deszyfrujący.
Dlaczego zuchwały plan Lilesa nie wypalił?
Plan byłego administratora systemu a obecnie cyberprzestępcy Ashleya Lilesa został udaremniony z dwóch powodów: jego firma postanowiła nie zapłacić okupu a tym samym mężczyzna nie mógł przechwycić pożądanych bitcoinów, a poza tym jego nieautoryzowane działania w systemie poczty e-mail zostały wykryte w dziennikach logów.
Po aresztowaniu Lilesa okazało się, że mężczyzna wyczyścił kilka dni wcześniej swój sprzęt komputerowy, telefon i dyski USB. Specjalistom ds. cyberprzestępczości udało się jednak odzyskać dane. Dowody, które udało im się zebrać w jasny sposób powiązały Lilesa z planem obejmującym podwójne wymuszenie, w ramach którego próbował oszukać swojego pracodawcę, jednocześnie próbując oszukać oszustów, którzy już atakowali firmę. Co zaskakujące, sprawa ciągnęła się przez pięć lat, podczas których Liles utrzymywał swoją niewinność. Jednak nagle, w dniu 17 maja 2023 r. podczas rozprawy sądowej, mężczyzna postanowił przyznać się do winy. W Anglii przyznanie się do winy może prowadzić do obniżenia kary, ale wysokość obniżenia maleje, im dłużej oskarżony zwleka z przyznaniem się do winy.
Co łączy MitM i śmierć Marii Królowej Szkotów?
Pod koniec lat osiemdziesiątych XVI wieku, za panowania królowej Anglii Elżbiety I, miał miejsce godny uwagi przypadek ataku Man-in-the-Middle (MitM). Szpiedzy królowej Elżbiety z powodzeniem przechwycili i zmanipulowali tajną korespondencję Marii, królowej Szkotów, która była kuzynką Elżbiety a jednocześnie jej polityczną rywalką. Mary, która przebywała wówczas w ścisłym areszcie domowym, przemycała swoje tajne wiadomości w beczkach po piwie dostarczanych do jej zamkowego więzienia. Na nieszczęście dla Marii, szpiedzy królowej Elżbiety, nie tylko przechwycili jej tajną korespondencję ale również postanowili odesłać sfałszowane odpowiedzi. Uknuty w ten sposób spisek skłonił Mary do wyrażenia na piśmie aktywnego poparcia dla planów zamordowania Elżbiety.
W rezultacie Mary została skazana na śmierć i stracona w 1587 roku.
Incydent ten stanowi klasyczny i fatalny przykład ataku Man-in-the-Middle, w którym przechwycone komunikaty zostały zmanipulowane w celu manipulacji i oskarżenia jednej ze stron.
Jakie wnioski można wyciągnąć z powyższej historii?
- Klasyczna zasada – dziel i rządź:
Unikaj przyznawania poszczególnym administratorom nieograniczonego dostępu do wszystkich systemów. Ograniczając ich dostęp, nieuczciwym pracownikom trudniej jest przeprowadzić cyberprzestępstwa z wykorzystaniem informacji poufnych bez angażowania innych osób.
- Zachowuj dzienniki logów, które nie mogą ulec modyfikacji:
We wspomnianym przypadku Ashleya Liles’a nie udało się usunąć dowodów manipulacji na kontach pocztowych, co doprowadziło do zatrzymania sprawcy. Uniemożliwiając manipulowanie dziennikami logów, zwiększasz swoje cyberbezpieczeństwo.
- Zawsze sprawdzaj, nigdy nie zakładaj:
Szukaj niezależnej i obiektywnej weryfikacji twierdzeń dotyczących bezpieczeństwa. Podczas gdy większość administratorów systemów bezpieczeństwa jest uczciwa, należy pamiętać, że nikt nie jest nieomylny. W związku z tym polecamy regularne zlecanie zewnętrznych audytów.
- W prowadzonej korespondencji wykorzystuj metody szyfrowania danych (polecamy skuteczne i łatwe w obsłudze narzędzie Cypherdog)
O tych oraz innych zasadach związanych z cyberbezpieczeństwem, możesz się dowiedzieć dzięki naszemu innowacyjnemu szkoleniu z cyberbezpieczeństwa stworzonego w technologii VR – Company (Un)hacked.
Źródło: Paul Ducklin, Ransomware tales: The MitM attack that really had a Man in the Middle, 26.05.2023.