Øyhopping høres sannsynligvis mer ut som en aktivitet du ville utført på Bahamas enn et angrep strategi, men den brukes faktisk ganske ofte av nettkriminelle som ønsker å målrette mot nettverk uten direkte hacking inn i dem. Så, hva er et øyhoppingangrep, og hvordan kan du beskytte deg mot det?
Hva er et øyhoppingangrep?
Begrepet «øyhopping» kommer fra andre verdenskrig. De amerikanske styrkene ønsket å komme seg til fastlandet i Japan og måtte flytte fra øy til øy, og brukte hver som en utskytningsrampe for den neste, med fastlandet som hovedmål. Det var kjent som leapfrogging på den tiden.
I et øyhopping-angrep går trusselaktørene etter partnerne dine og andre tredjepartsmedarbeidere, og bruker deres cybersårbarheter til å hoppe inn på ditt sikrere nettverk. Disse trusselaktørene er enheter eller individer som deltar i handlinger som undergraver eller har potensial til å påvirke organisasjonens cybersikkerhet. De kan gå langt for å omgå målets brannmurer, og en effektiv metode er øyhopping.
Produksjon, finans og detaljhandel er først og fremst målene for denne formen for nettangrep. I tilfeller som disse er målets sikkerhetssystemer lufttette og stort sett immune mot direkte invasjoner, så hackere går gjennom betydelig mindre sikre partnere.
Disse partnerne er klarert av målorganisasjonen og er koblet til nettverket. Hackere utnytter det tillitsfulle forholdet og angriper det virkelige målets komplekse forsvarsmekanismer gjennom dets svake bånd med andre organisasjoner.
Hvordan fungerer Island Hopping Attack?
Øyhopping-angrep er effektive fordi de ikke utløser varsler i målets sikkerhetssystem. Disse varslene utløses vanligvis når det er et forsøk på å komme inn i vertsnettverket fra en ikke-klarert eller uregistrert enhet. Påmeldinger fra partnere blir sjelden flagget; trusselaktører utnytter dette forfallet.
Det er tre standardmetoder trusselaktører bruker i sitt øyhoppeoppdrag.
1. Nettverksbasert angrep
Denne metoden innebærer å infiltrere en organisasjons nettverk og bruke det til å hoppe inn på et annet tilknyttet nettverk. I dette angrepet går trusselaktørene som regel etter organisasjonens Administrert sikkerhetstjenesteleverandør (MSSP).
MSSPer er IT-tjenesteleverandører som selger sikkerhet til små bedrifter og store organisasjoner, og beskytter dem mot cybersikkerhetstrusler. De bruker programvare, eller et team med personell, for å svare på disse truslene så snart de oppstår. Mange bedrifter outsourcer IT-sikkerhetsavdelingen til disse MSSP-ene, noe som gjør leverandørene til et mål for hackere.
2. Vannhullsangrep
Denne formen for øyhopping innebærer å infiltrere nettsteder som besøkes av hovedmålets kunder, forretningspartnere og ansatte. Dårlige aktører vurderer sikkerheten til sidene og legger inn ondsinnede lenker når de finner svakheter.
Disse koblingene fører til kompromitterte plattformer som automatisk injiserer skadelig programvare på datamaskinen. Når den injiserte skadevare er operativ, kan trusselaktørene bruke informasjonen som er samlet for å få tilgang til det primære målet.
3. Forretnings-e-postkompromiss
En phishing-svindel er vanligvis det første trinnet i denne metoden. Nettkriminelle utgir seg for å være en anerkjent forretningsenhet. Yahoo, Facebook og populære kommersielle banker brukes først og fremst i disse angrepene, ettersom hackerne sender ondsinnede lenker i spam-e-poster.
Når agnet er tatt og koblingen klikket, bruker hackerne skadelig programvare for å kompromittere brukerens datamaskin. Denne metoden retter seg mot høytstående tjenestemenn eller ledere i organisasjonen.
Keylogger programvare brukes noen ganger her for å stjele e-postkontoene til disse lederne. Sensitiv informasjon sveipes fra e-postkontoene og brukes deretter til å infiltrere målorganisasjonen.
Øyhopping-presedenser: Target og SolarWinds
I 2013 var et av USAs største detaljhandelsselskaper, Target, involvert i et mareritt på øyhopping. Og i 2020 ble SolarWinds, en IT-administrasjonsleverandør, offer for et øyhoppingangrep.
Mål: The Nightmare of a Holiday Season
Trusselaktører kompromitterte Targets salgsstedssystem og stjal den økonomiske informasjonen til rundt 40 millioner kunder. Dette resulterte i at Target betalte den største noensinne databruddsoppgjør.
18,5 millioner dollar ble avtalt for å bosette 47 stater og District of Columbia etter at hackere stjal mesteparten av detaljhandelsgigantens kunders kreditt- og debetkortinformasjon i løpet av 2013-ferien årstid. Dette datainnbruddet kostet Target over 300 millioner dollar. Men dette var ikke et direkte angrep på selskapets servere.
Det startet med Fazio Mechanical Services, et annet selskap som forsyner Target med oppvarming og kjøling. De opplevde en malware angrep to måneder før Targets sikkerhetsbrudd. Trusselaktørene gjorde unna med e-postlegitimasjonen og brukte den for å få tilgang til Targets servere.
SolarWinds
Dette angrepet påvirket mer enn 18 000 bedrifter og til og med amerikanske myndigheter. Alle berørte hadde én ting til felles – en IT-administrasjonsleverandør kalt SolarWinds.
Som med angrep på øyhopping, var ikke SolarWinds det primære målet. Med antall avdelinger i den amerikanske regjeringen som ble berørt, gikk det rykter om at hackere ble støttet av den russiske regjeringen, i håp om å destabilisere den amerikanske kongressen.
SolarWinds bekreftet først angrepet i desember 2020, selv om det var uoppdaget i flere måneder. I mars 2021 stjal hackerne e-postlegitimasjon fra Department of Homeland Security, selv om de fleste offentlige avdelinger hadde advart sine ansatte om å stenge ned Orion, de berørte SolarWinds produkt. Angrepene påvirket også departementet for energi, finans og handel, Mimecast og Microsoft.
Slik beskytter du deg mot angrep på øyhopping
Med utbredelsen av øyhopping, bør du ta skritt for å forhindre at nettverket og serverne dine blir angrepet av ondsinnede parter. Her er noen måter du kan gjøre dette på.
1. Bruk multifaktorautentisering
Multi-faktor autentisering innebærer å bruke ulike verifikasjonskontroller, som fingeravtrykk og ID-bekreftelser, for å bekrefte identiteten til alle som prøver å få tilgang til nettverket ditt. Dette ekstra laget med sikkerhet, selv om det er kjedelig, viser seg alltid nyttig. Hackere med stjålet påloggingsinformasjon vil finne det nesten umulig å komme forbi en fingeravtrykkbekreftelse eller en ansikts-ID-verifisering.
2. Ha en hendelsesplan på beredskap
Øyhopping-angrep har mange former, og noen ganger er vanlige sikkerhetsprotokoller kanskje ikke nok til å forhindre hendelser. Sikkerhetsprogramvaren din må oppdateres kontinuerlig ettersom øyhopping-angrep blir mer sofistikerte. Dessuten er det best å ha en hendelsesreaksjon team i beredskap for å ta vare på uforutsette trusler som kan komme forbi sikkerheten og håndtere de siste truslene.
3. Vedta siste cybersikkerhetsstandarder
Mange organisasjoner anerkjenner risikoen ved øyhopping og har satt cybersikkerhetsstandarder for eventuelle partnere og samarbeidspartnere. Gi råd til nåværende partnere om å oppgradere sikkerhetssystemene sine; de uten avanserte kontroller bør ha begrenset tilgang til nettverket ditt.
Ikke vær et offer: Begrens tilgang eller oppgrader sikkerheten din
Øyhopping-angrep har blitt mer utbredt. Organisasjoner med slappe sikkerhetsprotokoller risikerer å bli ofre for trusselaktører med mindre de oppgraderer systemene sine.
Det trengs imidlertid mer. Tredjepartspartnere uten avanserte sikkerhetssystemer utgjør en risiko og bør ikke ha ubegrenset tilgang. Hvis det er umulig å begrense tilgangen, bør slike partnere oppgradere systemene sine.