Logowanie

Ukryj panel

Strona główna
MRT Net
Reklama
Logowanie
Nick :
Hasło :
 Zapisz
Rejestracja
Zgubiłeś hasło ?

Kamerki internetowe.

Panel sterowania
MRT Net
Aktualności
Artykuły
Archiwum
Czas na narty !
Czas na rower !
Zwiedzaj Kraków
Plikownia
Linki
Kalendarz
Galeria
Radio Online
Gry Online
Twój YouTube!
Ankiety
Newsletter
RSS
Księga gości
Wyszukiwarka
Kontakt

Reklama
MRT Net

40% zniżki karnet w PKL.

Partnerzy

Wyszukiwarka
Zaawansowane szukanie

Chmura Tag'ów
Microsoft Programy Samsung Wave Android Bada Aktualności Linki Nowości Informacje Fotografia T-Mobile Technologie Adobe Specyfikacje Galaxy Premiera Zapowiedzi Intel Nvidia Kraków Architektura Biotechnologia Chip System Nawigacja Galileo Gps Windows Linux Galeria Software Hardware Top 500 Superkomputery Serwer Wirtualizacja Flash Pamięci Internet Plikownia YouTube Gry Radio Amd Panasonic Nokia Nikon Sony OS Cloud Computing Red Hat Enterprise Toshiba LTE 4G Lockheed Martin Motorola IBM Internet Explorer 11 Grafen Wirtualna Mapa Krakowa Lamusownia Kraków DVB-T2 TeamViewer 13.0 Fifa 2018 Trasy rowerowe Pro Evolution Soccer 2018 Mozilla Firefox Pity 2017 Rakiety NSM Windows 8 Sony Xperia Tablet S LEXNET Samsung Galaxy S9 Dworzec Główny Kraków PKP Windows Phone Windows 10 Microsoft Lumia 950



  Cyberataki na państwo - nowy raport
Artykul
Kategoria : Internet
Dodany : 05.09.2021 18:33
Komentarze : 0



Właśnie ukazał się najnowszy Raport o Stanie Bezpieczeństwa Cyberprzestrzeni RP w 2020 roku, opracowany przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV. Więcej incydentów, więcej ataków, więcej zagrożeń. Przedstawiamy niektóre dane i wnioski z raportu.


W roku 2020 zespół CSIRT GOV odnotował łącznie 246 107 zgłoszeń dotyczących potencjalnego wystąpienia incydentu teleinformatycznego. 23 309 z nich okazało się faktycznym incydentem. Zarówno pierwsza jak i druga liczba zgłoszeń jest wyraźnie większa niż w 2019. Jak zaznaczają autorzy raportu, szczególnie wyraźnie widać wzrost kampanii phishingowych, które stanowią jeden z głównych wektorów ataków stosowanych przez cyberprzestępców. Ale nie tylko phishing był zmorą minionego roku. Co jeszcze?
Wzrosty, wzrosty, wzrosty…

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV to ważna jednostka w krajowym systemie cyberbezpieczeństwa. Odpowiada on między innymi za: „rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo, istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemów oraz sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli i posiadaczy obiektów, instalacji lub urządzeń infrastruktury krytycznej”.

Największą grupę incydentów w 2020 roku stanowiły te dotyczące urzędów państwowych

Liczba zdarzeń, które zostały zarejestrowane w roku 2020 jako faktyczny incydent i ujęte w raporcie, wyniosła 23 309, co stanowi wzrost o około 88% w stosunku do roku 2019 przy wzroście ilości zgłoszeń tylko na poziomie około 8%. Najwięcej zgłoszeń przypadło na kwartały I oraz IV, stanowiąc prawie trzykrotny wzrost ilości zgłoszeń w porównaniu do pozostałych kwartałów 2020 roku. Zależność ta, zdaniem specjalistów z CSIRT GOV, wynika przede wszystkim z alarmów systemu ARAKIS GOV (o systemie piszemy poniżej), których liczba we wskazanych okresach wzrosła ze względu na wykryte aktywne skanowania adresacji sieciowych należących do instytucji administracji państwowej i operatorów infrastruktury krytycznej. Dodatkowym czynnikiem był zwiększony poziom detekcji zagrożeń związany z rozwojem możliwości systemu wczesnego ostrzegania, działającego w infrastrukturze podmiotów krajowego systemu cyberbezpieczeństwa.

Największa liczba faktycznych incydentów została zarejestrowana w II kwartale 2020 roku, przy relatywnie małej ilości zgłoszeń. Wzrost ilości faktycznych incydentów w tym kwartale był prawdopodobnie spowodowany efektem tzw. lockdown-u w związku z epidemią COVID-19.

W roku 2020, podobnie jak i w 2019, najwięcej incydentów zostało sklasyfikowanych wśród trzech następujących kategorii: WIRUS, SKANOWANIE, PHISHING

• Kategoria WIRUS - najliczniejsza, stanowiła prawie 72% wszystkich incydentów (w stosunku do roku 2019 wzrost o ponad 132%) Ilość incydentów w tej kategorii związana jest przede wszystkim ze zwiększeniem się skuteczności identyfikacji oprogramowania złośliwego w oparciu o systemy detekcji, sygnatury oraz przepływy sieciowe.

• Drugą grupą są incydenty zaklasyfikowane jako SKANOWANIE. Wynikają one także z alarmów ARAKIS 3.0 GOV i dotyczą złośliwego lub podejrzanego ruchu skierowanego na adresację podmiotów podległych CSIRT GOV. W przypadku kategorii SKANOWANIE utrzymuje się wyraźna tendencja wzrostowa, przy czym w ubiegłym roku tego typu incydentów było prawie 39% więcej niż w roku 2019.

• Jednym z istotniejszych rodzajów zagrożeń są także kampanie phishingowe. Pomimo tego, że opierają się one na stosowaniu metod socjotechniki, stanowią realne zagrożenie dla bezpieczeństwa systemów teleinformatycznych i mogą również stanowić fazę inicjującą bardziej rozległy atak, pozwalający na uzyskanie dostępu do infrastruktury teleinformatycznej danego podmiotu. Wzrost zarejestrowanych incydentów dotyczących kategorii PHISHING wynosi prawie 19% w porównaniu z rokiem 2019.

Jak zaznaczają autorzy publikacji, innego rodzaju zagrożeniem, które godzi w bezpieczeństwo teleinformatyczne, są podatności w zasobach IT rozumianych jako słabość systemu teleinformatycznego, wynikająca z błędów konfiguracyjnych lub braku odpowiedniej polityki bezpieczeństwa, związanej z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych. W tej kategorii nastąpił wzrost o ponad 34% w porównaniu z 2019.

ATP w akcji

Jak wynika z cytowanego raportu, największą grupę incydentów w 2020 roku stanowiły te dotyczące urzędów państwowych (8 356). Tu nastąpił przyrost w stosunku do roku 2019 prawie o 118%. Mniej ilościowo, ale więcej w stosunku do porównywanego 2019 roku wzrosły incydenty dotyczące infrastruktury krytycznej (około 283%) oraz służb i wojska (prawie 311%).

Coraz częściej są to ataki typu ATP (zaawansowane długotrwałe ataki – Advanced Persistent Threats), należące do grupy najniebezpieczniejszych działań cyberprzestępczych.

• ATP Kimsuky Velvet Chollima - kampania Kimsuky została wykryta jako ataki ukierunkowane na polskie instytucje rządowe oraz podmioty prowadzące działania w ramach Organizacji Narodów Zjednoczonych. W atakach wykorzystywano „spearphishing”, a wiadomości zawierające pliki ze złośliwym oprogramowaniem kierowane były do ściśle określonych osób, np. pracujących w departamentach związanych z kontaktami międzynarodowymi.

• APT Gamaredon (Primitive Bear) – te ataki dotyczyły polskich placówek dyplomatycznych oraz innych polskich instytucji funkcjonujących na terenie Ukrainy. Były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano jedynie na wybrane hosty. Na podstawie analiz przeprowadzonych ataków zaobserwowano wykorzystanie wyspecjalizowanego złośliwego oprogramowania.

• APT 36 (Mythic Leopard) - to ataki wymierzone w polskie ministerstwa z wykorzystaniem przejętej wcześniej przez grupę APT 36 infrastruktury rządowej innych państw. Zidentyfikowano złośliwe oprogramowanie, które było zmodyfikowaną wersją oprogramowania RAT o nazwie Quasar. Podejmowane przez grupę hackerów działania ukierunkowane były na pozyskanie informacji powszechnie niedostępnych.
Inżynieria społeczna nadal skuteczna

Według raportu o 24% w stosunku do roku 2019 wrosły incydenty z kategorii PHISHING i PODSZYWANIE. To obecnie jeden z głównych wektorów ataków stosowanych przez cyberprzestępców. W okresie objętym raportem najczęściej występującą kampanią phishingową były wiadomości e-mail podszywające się pod dział helpdesk lub administratorów oraz wykorzystujące logo i emblematy instytucji administracji publicznej lub operatorów infrastruktury krytycznej, aby dodatkowo uwiarygodnić korespondencję. Prawdopodobnie celem tych akcji było pozyskanie danych uwierzytelniających do skrzynek administracji publicznej i przejęcie zawartych w nich informacji. Administracja publiczna stała się również celem kampanii phishingowych zakrojonych na szeroką skalę w Internecie, w których wykorzystywano wizerunek m.in. firm kurierskich takich jak Poczta Polska, InPost, a także operatorów telekomunikacyjnych Orange i Play. Celem tych ataków najczęściej była próba infekcji złośliwym oprogramowaniem lub pozyskanie danych autoryzacyjnych do serwisów bankowości elektronicznej i wykradanie środków finansowych. Wiadomości tego typu zawierały informacje dotyczące rzekomych przesyłek pocztowych oraz link, pod którym można było uiścić dopłatę do przesyłki. W innych przypadkach treść korespondencji nawiązywała do konieczności opłacenia faktury za usługi telekomunikacyjne.

COVID jako okazja do ataku

W związku z panującą na świecie w roku 2020 sytuacją epidemiczną, pojawiło się też wiele kampanii phishingowych próbujących wykorzystać pandemię do propagacji zagrożeń.

Zespół CSIRT GOV zidentyfikował między innymi takie kampanie:

• podszywanie się pod stronę łudząco przypominającą mapę rozprzestrzeniania się koronawirusa, zawierającą plik .exe ze złośliwym oprogramowaniem o nazwie AZORult. To malware, który wykradał takie informacje jak hasła, pliki cookies (tzw. ciasteczka) czy historię przeglądania. Ponadto miał możliwość pobierania dodatkowych modułów na zainfekowane maszyny.

• kampania phishingowa rozsyłająca wiadomości e-mail, których motyw opierał się na rzekomo oficjalnym komunikacie wystosowanym przez WHO - Światową Organizację Zdrowia. Wiadomość zawierała złośliwy załącznik o nazwie "official statement by who.img", który w rzeczywistości okazywał się plikiem wykonywalnym "OfficialStatement By WHO.exe".
Metoda „na pocztę”

W roku 2020 zaobserwowano także zwiększoną ilość incydentów związanych z wykorzystywaniem wizerunku Poczty Polskiej. Pojawiały się one cyklicznie, choć najbardziej wzmożoną aktywność można było zaobserwować w okresie nadchodzących wyborów na urząd Prezydenta RP, które miały odbyć się korespondencyjnie. Były to zarówno wiadomości elektroniczne jak i wiadomości SMS, zawierające zawierały złośliwy załącznik lub odnośnik przekierowujący do złośliwego oprogramowania.

Również regularnie obserwowano zmasowaną wysyłkę wiadomości e-mail, w której użytkownik dostaje informacje o przejęciu komputera i zainfekowaniu go złośliwym oprogramowaniem, dzięki któremu przestępca uzyskuje prywatne informacje na temat ofiary. Kampania ta miała na celu wyłudzenie środków finansowych w postaci kryptowaluty Bitcoin.
ARAKIS czuwa

System ARAKIS 3.0 GOV to dedykowany, rozproszony system wczesnego ostrzegania o zagrożeniach teleinformatycznych występujących na styku sieci wewnętrznej z siecią Internet. Głównym zadaniem systemu jest wykrywanie i zautomatyzowane opisywanie zagrożeń występujących w sieciach teleinformatycznych na podstawie agregacji, analizy i korelacji danych z różnych źródeł. W 2020 roku, w sieciach teleinformatycznych podmiotów uczestniczących w projekcie ARAKIS 3.0 GOV, zanotowano łącznie 1 813 243 995 przepływów, co przełożyło się na 1 758 813 wygenerowanych przez system alarmów.

A gdzie aktualizacja?

Zespół CSIRT GOV przeprowadził w 2020 roku badanie w czternastu instytucjach administracji rządowej oraz infrastruktury krytycznej, w którym przyjrzał się 82 systemom teleinformatycznym.

W ramach przeprowadzonych ocen bezpieczeństwa zespół CSIRT GOV zrealizował szereg testów mających na celu identyfikację istotnych podatności wpływających na bezpieczeństwo infrastruktur teleinformatycznych instytucji. Eksperci zidentyfikowali szereg podatności - od stopnia informacyjnego aż do błędów należących do kategorii krytycznych. Zidentyfikowano łącznie 4 325 podatności, w tym 95 podatności o stopniu krytycznym oraz 223 o stopniu wysokim, co mogło skutkować przełamaniem zabezpieczeń przez atakujących i tym samym prowadzić do eskalacji ataku. Ponownie, do najistotniejszych (krytycznych oraz wysokich) podatności zidentyfikowanych w ramach przeprowadzonych ocen bezpieczeństwa systemów teleinformatycznych należały wersje oprogramowania zawierające podatności, których ujawnienie często było spowodowane wykorzystywaniem ich nieaktualnych wersji.


źródło: CSIRT GOV
  



^ Wróć do góry ^
Powered by MRT Net 2004-2022.