Google ostrzega przed kampanią UNC6783 wymierzoną w BPO i kradzież danych korporacyjnych

Wprowadzenie do problemu / definicja

Google Threat Intelligence Group ostrzega przed kampanią prowadzoną przez aktora śledzonego jako UNC6783, której celem są firmy typu BPO (Business Process Outsourcing). To podmioty obsługujące procesy biznesowe, wsparcie techniczne oraz helpdesk dla dużych organizacji. Z punktu widzenia cyberbezpieczeństwa to szczególnie istotny trend, ponieważ cyberprzestępcy coraz częściej omijają lepiej chronione przedsiębiorstwa i atakują ich partnerów zewnętrznych, posiadających uprzywilejowany dostęp do systemów, danych i procesów operacyjnych.

W skrócie

Kampania koncentruje się na kompromitacji pracowników BPO oraz personelu wsparcia i helpdesku. Atak opiera się na socjotechnice, phishingu oraz fałszywych stronach logowania podszywających się pod środowiska Okta i Zendesk.

• Celem jest przejęcie zaufanego dostępu do środowisk klientów.
• Atakujący dążą do eksfiltracji danych i późniejszych wymuszeń.
• W analizach pojawia się możliwe powiązanie UNC6783 z personą „Mr. Raccoon”.
• Model ataku wykorzystuje dostawcę usług jako słabsze ogniwo w łańcuchu zaufania.

Kontekst / historia

Ataki na partnerów biznesowych i outsourcerów nie są nowym zjawiskiem, jednak w tej chwili ich znaczenie wyraźnie rośnie. Organizacje BPO obsługują często wielu klientów jednocześnie i mają dostęp do systemów zgłoszeniowych, baz klientów, danych pracowniczych oraz procesów operacyjnych. To sprawia, iż stają się wyjątkowo atrakcyjnym celem dla grup nastawionych na szybki zysk.

W opisywanym przypadku Google wskazuje, iż UNC6783 prowadził działania wymierzone w dziesiątki wartościowych podmiotów z różnych branż. Charakterystyczne jest to, iż atak nie zawsze zaczyna się od bezpośredniego uderzenia w docelową organizację. Znacznie częściej przestępcy wykorzystują zewnętrznego dostawcę usług jako pośrednika do dalszej penetracji środowiska klienta.

Dodatkowy kontekst nadają doniesienia dotyczące rzekomego incydentu związanego z Adobe, gdzie osoba używająca pseudonimu „Mr. Raccoon” miała twierdzić, iż uzyskała dostęp do danych za pośrednictwem firmy trzeciej. choćby jeżeli część takich deklaracji wymaga niezależnej weryfikacji, sam scenariusz pozostaje spójny z obserwowanym wzorcem ataków na dostawców usług.

Analiza techniczna

Technicznie kampania UNC6783 bazuje na połączeniu socjotechniki, ukierunkowanego phishingu oraz mechanizmów utrwalania dostępu. Jednym z kluczowych elementów są rozmowy prowadzone na żywo oraz fałszywe portale wsparcia, które mają nakłonić pracowników do przejścia na spreparowane strony logowania. Serwisy te podszywają się pod rozwiązania tożsamościowe i platformy ticketowe wykorzystywane przez ofiary.

Szczególnie istotny jest opisywany zestaw phishingowy zdolny do przechwytywania zawartości schowka. Taki mechanizm może pomagać w obchodzeniu praktycznych zabezpieczeń MFA, zwłaszcza tam, gdzie użytkownicy kopiują i wklejają kody jednorazowe, hasła tymczasowe lub inne tokeny używane podczas logowania. Nie oznacza to przełamania MFA w sensie kryptograficznym, ale skuteczne obejście zabezpieczenia poprzez manipulację zachowaniem ofiary.

Po przejęciu kont atakujący mieli rejestrować własne urządzenia w środowisku ofiary, aby utrzymać trwały dostęp. Jest to szczególnie groźne w organizacjach korzystających z modeli bezpieczeństwa opartych na tożsamości, gdzie zaufane urządzenie może stać się dodatkowym atrybutem autoryzacyjnym. jeżeli proces rejestracji urządzeń nie jest odpowiednio chroniony i monitorowany, intruz może zyskać stabilny kanał dostępu.

Google zwraca również uwagę na wykorzystanie fałszywych aktualizacji systemu bezpieczeństwa. To klasyczny motyw socjotechniczny, ale w tym przypadku służy do skłonienia ofiary do pobrania złośliwego systemu zdalnego dostępu. Taki malware umożliwia rekonesans, rozwijanie obecności w środowisku oraz przejmowanie kolejnych poświadczeń.

Po eksfiltracji danych grupa miała wykorzystywać przejęte konta pocztowe do rozsyłania not wymuszających okup za nieujawnienie lub nieupublicznienie skradzionych informacji. Oznacza to, iż kampania ma wyraźny komponent data extortion, choćby jeżeli nie zawsze obejmuje klasyczne szyfrowanie systemów.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich operacji jest naruszenie poufności danych z użyciem legalnych kanałów dostępu partnera biznesowego. W praktyce oznacza to ryzyko wycieku dokumentacji operacyjnej, danych pracowników, zgłoszeń serwisowych, informacji o podatnościach, korespondencji z klientami oraz danych uwierzytelniających.

Dla organizacji korzystających z usług BPO jest to także ryzyko pośrednie. choćby firmy o wysokiej dojrzałości bezpieczeństwa mogą zostać naruszone przez słabiej zabezpieczonego partnera zewnętrznego. Atak na helpdesk lub wsparcie techniczne jest szczególnie groźny, ponieważ takie zespoły często mają możliwość resetowania haseł, modyfikacji uprawnień i obsługi wrażliwych zgłoszeń.

Ryzyko obejmuje również utratę zaufania klientów, konsekwencje regulacyjne, obowiązki notyfikacyjne oraz wysokie koszty dochodzeń powłamaniowych. o ile napastnik uzyskał możliwość rejestrowania własnych urządzeń lub utrzymania długotrwałego dostępu przez przejęte konto, wykrycie incydentu może zostać znacząco opóźnione.

Rekomendacje

Organizacje współpracujące z BPO powinny traktować ten rodzaj zagrożenia jako element ryzyka dostawców i wdrożyć dodatkowe kontrole wobec partnerów posiadających dostęp do danych, systemów wsparcia lub procesów administracyjnych.

• Zaostrzyć ochronę tożsamości, w tym wdrażać phishing-resistant MFA tam, gdzie to możliwe.
• Monitorować rejestrację nowych urządzeń, zmiany metod uwierzytelniania i logowania z nietypowych lokalizacji.
• Uszczelnić procedury helpdeskowe dotyczące resetu haseł, odzyskiwania dostępu i modyfikacji MFA.
• Nadzorować środowiska ticketowe, CRM i platformy wsparcia pod kątem anomalii, nietypowych eksportów i nieautoryzowanych integracji.
• Szkolić pracowników w rozpoznawaniu fałszywych portali wsparcia, spreparowanych stron logowania i rzekomych aktualizacji narzędzi bezpieczeństwa.
• Testować scenariusze reagowania na incydent po stronie dostawcy, w tym szybkie odcięcie dostępu partnera i rotację poświadczeń.

Podsumowanie

Kampania przypisywana UNC6783 pokazuje, iż firmy BPO i zespoły wsparcia stają się jednym z kluczowych celów dla grup nastawionych na kradzież danych i wymuszenia. Sednem zagrożenia nie jest wyłącznie malware, ale skuteczne połączenie socjotechniki, phishingu, przejęcia tożsamości i nadużycia zaufanych procesów operacyjnych. Dla przedsiębiorstw oznacza to konieczność rozszerzenia modelu obrony poza własny perymetr i uwzględnienia partnerów outsourcingowych jako integralnej części powierzchni ataku.

Źródła

1. Google Warns of New Campaign Targeting BPOs to Steal Corporate Data — https://www.securityweek.com/google-warns-of-new-campaign-targeting-bpos-to-steal-corporate-data/
2. Austin Larsen — analiza i komentarz dotyczący UNC6783 — https://www.linkedin.com/