2023. február 8-án a Kontron SOC (Security Operation Center) munkatársai célzott Brute Force támadást észleltek az egyik Előfizetőnk rendszerei felé. Ezek sikertelen autentikációs kísérletek voltak az Ügyfél publikus IP címe mögötti szolgáltatás bejelentkezési felületére.

További vizsgálat után kiderült, hogy több, a Kontron SOC által felügyelt Ügyfélnél is gyanús forgalom volt észlelhető a támadó IP címéről (45.143.203.21). Az esemény OSINT és gyártó Threat Intelligence forrásokon alapuló kivizsgálása alatt kiderült, hogy már január 30. óta történtek gyanús felderítési események erről az IP-ről publikus IP címekre szerte Európán belül és egyre rosszabb reputációs pontot ért el a támadó IP címe, hiszen többen is észlelték és jelentették különböző régiókból és forrásokból.

A támadó elsősorban az Ügyfél publikus szolgáltatásait scannelte. Minden kapcsolódási kísérlet sikertelen volt, a tűzfal eldobta a kéréseket. A rendszer sajátossága miatt a támadótól érkező események címfordítása előbb történt meg, minthogy maga a tűzfal blokkolta volna a kéréseket. A naplóeseményekben látszott, hogy a cél IP cím a publikus szolgáltatások belső IP cím párjával jelentek meg.

Az első scan január 30. 09:30-kor indult és ugyanezen nap 13:39-ig tartott. Ekkor a támadó a publikusan elérhető szolgáltatásokat vizsgálta a TCP 8000, 8001-es portokon. Ezután a támadó február 1. 14:54-kor újabb scant indított az ügyfél külső szolgáltatásai felé a TCP 80, 443, 8080, 8443 és 9981-es portokon. Ez esetben több csatlakozási kísérlet is átjutott a perimeter tűzfalon. Így a csomag el tudott jutni a belső tűzfalig. Azonban a belső tűzfal itt már eldobta a forgalmat Geo Protection policy (ország alapú szűrés) alapján.

Későbbi vizsgálatok során kiderült, hogy a támadó IP címe az elmúlt időben több geolokációra is be volt jegyezve különböző gyártói és reputációs oldalak szerint, ezért történt, hogy különböző Ügyfeleinknél más-más időpontban más ország kódját kapta a támadó. Így a belső tűzfal a támadó éppen bejegyzett országkódja alapján blokkolta a forgalmat. Azonban nem minden szektor vagy vállalkozás engedheti meg magának, hogy teljes országokat vagy régiókat tilthasson le a tűzfalain. Jelen esetben ez szerencsés volt, ugyanis a támadó nem tudott több információt felderíteni a rendszer sajátosságairól.

A scan tevékenységre a SOC szabályrendszerünk nem riasztott, mert bár SOC szabálykészletünk tartalmaz ilyen tevékenységre szabálycsomagot, azonban mivel ez a Cyber Security Kill Chain első lépése, amely kintről történő, a publikus belépési pontok és a publikusan elérhető információknak a gyűjtéséről szól, ezeket csakis riportolásra használjuk fel. Ha minden ilyen, kívülről érkező felderítő eseményre reagálnánk, az rengeteg erőforrást vinne el, ugyanis ez az internet zajának tekinthető, ha kint vagyunk a publikus interneten. Képzeljük csak el, ha egy forgalmas helyen értéket hagyunk szem előtt, mindenki rá fog nézni arra, sokan körbe is néznek körülötte, de csak kevesen fogják megkísérelni a lopást. Ahogy ez jelen van az életünkben, ugyanez a viselkedés látszódik a perimetereken is.

Február 5. 23:34-kor a támadó visszatért és megpróbált TCP/SSL kapcsolatot létesíteni az Ügyfél két, már korábban felfedezett publikus szolgáltatása felé, hogy feltérképezze a lehetőségeket és információt gyűjthessen a támadáshoz. A naplóeseményekben egyértelműen látszik, hogy először TCP 443 kapcsolatot próbált meg kiépíteni, amelyet SSL kiépítés követett. Kiépítette a HTTPS kapcsolatot a weboldalak felé, majd a támadó kezdeményezte a kapcsolat bontását. Mivel a session lezárult, így a TCP connection is lezárult. Kifelé irányuló forgalom nem látszott a támadó IP címe felé.

A támadó ekkor fedezte fel az Ügyfél egy, az interneten keresztül elérhető weboldalát, melyen autentikációs felület található, melyhez legördülő menüben különböző autentikációs metódusok közül lehet választani a bejelentkezéshez. A támadó ezt próbálta kihasználni célzott Brute Force módszerrel.

Február 8. 03:30-tól célzott Brute Force támadással próbált bejutni a rendszerbe. Ehhez 2 típusú autentikációs metódust használt a weboldal lehetőségei közül. Az egyik ilyen az SBL (StartBeforeLogon), ez lehetővé teszi a VPN kapcsolat kiépítését az enterprise infrastruktúrához, mielőtt belépne a felhasználó a Windowsba. A másik pedig az RSA autentikáció volt. A támadó különféle felhasználóneveket próbált ki, amelyek megfeleltethetőek voltak az Ügyfél nevének és az adott autentikációs metódusnak. A felhasználóneveket különböző karakter változtatásokkal is végigpróbálva több ezer fals jelszóval kísérletezett, sikertelenül.

Erre a próbálkozásra a Kontron SOC által implementált szabályrendszernek köszönhetően riasztott az IBM QRadar SIEM rendszer, amely alapján a SOC munkatársai az esetet kivizsgálták és feltárták a folyamatban lévő támadást. Végül az Ügyfél felé incidenst nyitottak, melyben az Ügyféllel közösen elhárították a támadást. A támadó IP címét tiltották a perimeter tűzfalon, így minden további próbálkozása a támadónak, hogy elérje az adott szolgáltatást sikertelen volt, s nem tudta tovább Brute Force-olni a bejelentkezési oldalt.