Choć o roku 2015 możemy powoli zapominać przenosząc backupy na bardziej archiwalne serwery, to wydany niedawno przez CERT raport jest dobrym momentem, by zrobić małe podsumowanie tego, czym żyliśmy w minionym roku.

Przez cały rok największym zagrożeniem dla polskiego internauty były trojany wycelowane w sektor bankowy. Jednym z bardziej spotykanych w Polsce trojanów był Dyre, który choć na świecie pojawił się w połowie 2014 roku, to zaczął infekować oraz próbować okradać polskich internautów dopiero na początku zeszłego roku. Wyróżnić możemy również takie jak VBKlip/Banatrix, których zadaniem było podmienić numer konta bankowego odbiorcy przelewu.

liczne ataki wycelowane w mniejsze firmy w Polsce i ukierunkowane były na kradzież danych

Zdaniem zespołu CERT zeszły rok kalendarzowy przyniósł również liczne ataki wycelowane w mniejsze firmy w Polsce i ukierunkowane były na kradzież danych. Nie można jednak nie wspomnieć o oprogramowaniach typu ransomware (w rodzaju Cryptolockera), które występowały w Polsce zdecydowanie nierzadko, jednak na tle krajów zachodnich są w naszym kraju rzadko spotykane. Jednym z bardziej ciekawych form ataku jest CozyDuke, zwany też CozyBear lub EuroAPT. Należy on do rodziny zestawów narzędzi APT nazwanych Diukami39. Cozy Duke wycelowany był w Polskie instytucje, jednak używano go również przeciwko celom w innych krajach. Sam schemat infekcji był zazwyczaj taki sam i zapewne choć raz każdy internauta się z tym spotkał. Użytkownik otrzymywał zwykle wiadomość e-mail z podrobionym adresem nadawcy (fałszywy nadawca udawał np Pocztę Polską, kuriera, firmę Apple, Adobe lub inną firmę, z której usług korzysta sporo polskich internautów). Wspomniana wiadomość zawierała link do pliku PDF (zdarza się że rzekomy plik PDF jest załącznikiem do maila). Plik okazywał się archiwum ZIP, który wewnątrz posiadał automatycznie rozpakowywujące się kolejne archiwa. Jednym z rozpakowanych plików był wirus typu malware, który instalowany był w tle bez wiedzy użytkownika. Cozy Duke potrafił wykradać hasła użytkowników, tworzyć zrzuty ekranu, czy też zdalnie wykonywać polecenia w systemowej linii komend.

binary-715831_1280

W tym miejscu możemy wymieniać szereg innych zagrożeń, jednak z racji profilu tego serwisu chciałbym skupić się na atakach ukierunkowanych na strony i serwisy internetowe. Jedną z branż, która najbardziej odczuła działania cyberprzestępców byli prawnicy, a konkretnie kancelarie prawne. Bardzo często atakujący podszywali się pod firmę, która rzekomo chciała nawiązać współpracę w zakresie obsługi prawnej z atakowaną kancelarią. Przestępcy przygotowywali stronę „wydmuszkę”, która miała za zadanie udawać witrynę internetową fikcyjnej firmy. Kolejnym krokiem było wysłanie na adres e-mailowy kancelarii maila z prośbą o odpowiedzenie na kilka podstawowych pytań. Jeżeli kancelaria nawiązywała dialog, w jednej z kolejnych wiadomości wysyłany był w załączniku infekujący plik (np. udający plik PDF). Operacja ta wyglądała podobnie jak w przypadku opisywanego wcześniej Cozy Duke’a. Następnie złośliwy plik nakłaniał osobę atakowaną do instalacji kolejnego złośliwego oprogramowania np. pod pozorem ważnej aktualizacji wtyczki, przeglądarki, czy nawet samego pakietu Microsoft Office.

 

Najczęstszym wektorem ataków były przedsiębiorstwa

W roku 2015 CERT otrzymywał również sygnały o innych formach ataku. Najczęściej wektorem byli przedsiębiorcy, a atakujący podszywając się pod kontrahentów uzyskiwali dostęp do wewnętrznej sieci firmy i mogli odczytać wymianę firmowej korespondencji. Instalowanie kolejnych złośliwych aplikacji w celu infekowaniu następnych maszyn było niebywało proste łatwe biorąc pod uwagę świadomość użytkowników oraz samo przestrzeganie przez nich polityki bezpieczeństwa, która nadal znajduje się w firmach bardzo nielicznie. Po wykradnięciu wystarczającej ilości wrażliwych i poufnych danych najczęściej dochodziło do sabotażu ze strony atakujących.

W roku ubiegłym bardzo często dochodziło do włamań na strony internetowe wykorzystujące znane systemu CMS jak WordPress czy Joomla, które nie były aktualizowane. Nie oznacza to że autorskie systemy CMS były w mniejszym stopniu atakowane. Równie popularna była błędna konfiguracja serwerów i usług takich jak: DNS, NTP, SNMP, SSDP, NetBIOS, QOTD i Chargen. Na tej liście oczywiście nie mogło zabraknąć usługi SSL 3.0 (POODLE) i TLS (FREAK), IPMI, Unix port mapper oraz bazy danych (Elasticsearch, MSSQL, Redis, MongoDB). Patrząc na nasze dane z tego roku możemy mieć jednak pewność, że rok 2016 oznaczać będzie jeszcze większą ilość pracy dla specjalistów od cyberbezpieczeństwa, czy samych sztabów IT nawet w małych firmach.

PODZIEL SIĘ
Poprzedni artykułGhost Plugin – 0.5.5
Następny artykułbbPress – 2.5.8
Redaktor naczelny serwisu WPhaker.pl. Na co dzień administrator kilkudziesięciu stron na systemie WordPress oraz audytor bezpieczeństwa stron.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ