CyberbezpieczeństwoPolecane tematy

Cyberbezpieczeństwo AD 2022 okiem CERT Orange Polska

Raport CERT Orange Polska podsumowuje ubiegły rok pod kątem cyberbezpieczeństwa: phishing, ataki DDoS i złośliwe oprogramowanie w czołówce zagrożeń. Na 2023 rok zapowiadany jest dalszy wzrost skali oraz złożoności incydentów z obszaru cybersec.

Cyberbezpieczeństwo AD 2022 okiem CERT Orange Polska

Według raportu CERT Orange Polska, w 2022 r. oszustwa polegające na wyłudzaniu danych, czyli głównie phishing, podobnie jak w ubiegłym roku, stanowiły ponad 40% wszystkich zdarzeń zachodzących w sieci operatora.

Najwięcej zarażonych ofert dotyczyło szybkiego zarobku ogromnych kwot poprzez różnego rodzaju inwestycje, m.in. w akcje znanych firm czy giełdy kryptowalut. Wyłudzaniu danych służyły także sensacyjne fake newsy, a pieniędzy – fałszywe sklepy i popularne także w 2021 tzw. oszustwo na kupującego.

Znaczny odsetek cyberzagrożeń stanowiły także ataki DDoS (20%) oraz złośliwe oprogramowanie (16%). Średnia siła ataków DDoS była nieco słabsza niż rok wcześniej (2,5 Gbps w 2022 wobec niemal 3 Gbps w roku 2021), jednak w ubiegłym roku częstsze były wyrafinowane ataki, dostosowane do atakowanego celu. W 2022 roku nie został natomiast pobity rekord DDoS z 2021 roku (476 Gb/s). Rekord padł za to już w styczniu 2023 – w sieci Orange Polska odparto atak o sile 543,9 Gb/s.

Podział zagrożeń według metodologii opartej na rodzaju działań i technik atakujących układa się w następujący ranking (oparty o zgłoszenia użytkowników): hakowanie (73%), obejmujące m.in. przełamywania haseł, ataki DDoS, ale też użycie skradzionych danych logowania; złośliwe oprogramowanie (65%), czyli działania z wykorzystaniem oprogramowania przejmującego kontrolę nad urządzeniem, wykradającego dane czy szpiegującego; oraz socjotechnika (niemal 60%), czyli manipulacja, podszycie się.

Średnia wielkość szczytowego natężenia ataku DDoS w sieci Orange Polska sięgnęła poziomu ponad 2,5 Gbps (wobec 3 Gbps w 2021). Największa odnotowana wartość natężenia ruchu w szczycie ataku to ok. 462 Gbps / 56 Mpps (przy niemal 476 Gbps / 267 Mpps w 2021).

Ataki są złożone, obejmują elementy socjotechniki, zastosowanie złośliwego oprogramowania i technik hakowania. W odpieraniu zautomatyzowanych, złożonych i masowych ataków w przypadku CyberTarczy Orange pomaga sztuczna inteligencja wykrywająca ataki phishingowe czy złośliwe oprogramowanie. W ubiegłym roku CyberTarcza skutecznie radziła sobie dzięki temu z tworzonymi na masową skalę fałszywymi stronami na bazie jednej domeny. W 2022 roku zablokowano w ten sposób 130 tysięcy fałszywych domen. Aż 13 tysięcy blokad stanowiły blokady wildcard, polegające na blokowaniu dużej liczby subdomen przy pomocy jednego wpisu w CyberTarczy. W sumie złośliwe strony nie zostały dostarczone do ponad 5 milionów osób.

Pitaval CyberSec 2022

Stałym elementem raportów CERT Orange Polska jest roczne kalendarium wydarzeń z zakresu cyberbezpieczeństwa. Przypomina ono raczej kronikę cyberkryminalną, w której autorzy raportu wyliczają godne zachowania „ku pamięci” wydarzenia z 2022.

W styczniu w Polsce kampanię z motywem phishingową z motywem COVID-19 oraz kampanie scamingowe prowadzone w mediach społecznościowych, głównie na Facebooku; a na świecie udane ataki na międzynarodowy komitet Czerwonego Krzyża i włamanie do platformy kryptowalut Wormhole.

W lutym obok kampanii podszywajacej się pod Orange Polska oraz kampanii phishingowych na czołowe polskie banki, zachęcającej do zakładania fałszywych aplikacji, na świecie widoczne były echa rosyjskiej inwazji na Ukrainę: szereg kampanii ukrytych pod rzekomymi informacjami z frontu, ale także zawieszenie rosyjskiego CERT-u w Trusted Introducer (TI), powołanej przez europejski CERT instytucji gromadzenia i wymiany incydentów zgłaszanych przez zespoły CERT i CSIRT. W lutym doszło także do zakłóceń sygnału GPS w pasie granicznym Rosji i państw europejskich.

W marcu najważniejsze wydarzenie z perspektywy prawnej stanowiło uchwalenie ustawy o obronie Ojczyzny, w której znalazły się zapisy dotyczące wojsk cyberprzestrzeni; na „cyberfroncie” odnotować należy natomiast zhakowanie stron money.pl, kampanie podszywające się pod Orange kierowane do klientów korporacyjnych oraz opartą o dystrybucję złośliwego oprogramowania kampanię Qakbota; FIRST, czyli Forum of Incident Response and Security Teams, zawiesza, w ślad za TI, zespoły rosyjskie i białoruskie.

Kwiecień – to był m.in. dobry czas na kampanie podszywające się pod informacje ministerstwa finansów o zwrocie podatków; ponadto CSIRT KNF przestrzegał przed fałszywymi reklamami wykupionymi w wyszukiwarce Google.

W maju ożywił się androidowi malware Flubot, infekując w kampanii SMS-owej i MMS-owej systemy użytkowników, którym podsuwał następnie nakładki na przeglądane strony internetowe w celu wykradania danych do logowania.

W czerwcu Flubot został skutecznie zdezaktywowany – akcja policji 11 rajów pozwoliła na zamknięcie jego infrastruktury, ale śledztwo w sprawie sprawców trwa.

W lipcu doszło do rekordowego ataku Distributed Denial of Service (DDoS) w sieci Orange w 2022: osiągnął on w szczytowym momencie 462 Gps.

W sierpniu autorzy raportu odnotowali wzrost liczby kampanii phishingowych z linkami do fałszywych bramek płatniczych.

Wrzesień przyniósł pewne urozmaicenie, ponieważ obiektem udanych ataków stały się strony państwowe, m.in. biznes.gov.pl ale także eFaktura, na której podmieniano treści. Wyciekły także dane studentów Szkoły Głównej Handlowej oraz Warszawskiego Uniwersytetu Medycznego. Ofiarą hakerów padły Revolut oraz Samsung, w obu przypadkach wiązało się to z dostępem do danych użytkowników, natomiast zhakowany Uber twierdzi, że dane klientów pozostały bezpieczne.

W październiku miała miejsce kolejna odsłona kampanii, w której przynętę stanowi wizerunek prezesów dużych firm, po Orlenie i PZU przyszedł czas na prezesa Orange Polska; ożyły także kampanie oparte na Qakbocie i kampania wysokopłatnych SMS-ów, która została zablokowana przez Orange.

W listopadzie pojawił się w polskich sieciach trojan SMS Factory, który po zainstalowaniu się rozsyła SMS-y premium na koszt ofiary; ofiarą ataków padły w tym miesiącu ponadto Dropbox, Parlament europejski, Instytut Centrum Zdrowia Matki w Łodzi oraz strona eZamówienia Urzędu Zamówień Publicznych.

W grudniu pojawiły się kampanie wyłudzające, które stosowały motyw kary pieniężnej za oglądanie stron pornograficznych, pojawiły się także kampanie phishingowe na Netflix, wykorzystujące porządki jakie operator prowadził likwidując Współdzielenie kont; warto wreszcie odnotować kolejne ostrzeżenie CSIRT KNF, tym razem przed kampanią podszywającą się pod system e-Toll.

Większość incydentów bezpieczeństwa 2022 to udane zapobieżenia przestępstwom

  • Gros obsłużonych przez CERT Orange Polska incydentów dotyczyło w 2022 gromadzenia informacji (42%), stanowiące wstęp do prób uzyskania nieautoryzowanego dostępu.
  • Około 1/5 incydentów to blokowanie dostępności zasobów sieciowych ofiary, czyli ataki typu DDoS. Ich odsetek i liczba wzrosły w stosunku do 2021 r.
  • Nieznacznie spadł natomiast udział incydentów związanych z dystrybucją złośliwego oprogramowania, prowadzącą do infekcji (ok. 16% incydentów w 2022 r.).
  • Obniżył się także odsetek incydentów związanych z rozsyłaniem nielegalnych (nieuprawnionych) i obraźliwych treści – w tej pojemnej kategorii znajduje się zarówno spam jak i treści pedofilskie czy otwarte groźby.
  • Najmniej obsłużonych incydentów dotyczyło kategorii próby włamania, naruszenia poufności i integralności danych oraz oszustw sieciowych (odpowiednio 4,5%, 2,3% i 1,9%). Udane włamania, które doprowadziły do dostępu i wykorzystania zasobów ofiar to 0,2% obsłużonych incydentów.

Działania powodujące występowanie incydentów zostały uporządkowane wg klasyfikacji modeli VERIS (Vocabulary for Event Recording and Incident Sharing – http://veriscommunity.net/). Klasyfikacja opiera się na czterech elementach:

  • Actors (Aktorzy): Czyje działania dotknęły zasoby?
  • Actions (Akcje): Jakie działania dotknęły zasoby?
  • Assets (Aktywa): Jakie zasoby zostały dotknięte?
  • Attributes (Atrybuty): Jak zostały dotknięte zasoby?

W tym ujęciu trzy kategorie najczęściej wywołujące incydenty obsługiwane przez Orange Polska, to w 2022 r. hakowanie (73%), złośliwe oprogramowanie (65%) oraz socjotechnika (60%).

DDoS to codzienność w sieci

W kolejnych latach raporty CERT Orange Polska przynoszą informacje o wzrostowej tendencji skali i liczby ataków służących zablokowanie zasobów i usług sieciowych ofiary poprzez wysyłanie jej serwerom wielkiej liczby zapytań (ataki DDoS).

W 2022 r. w trzystopniowej klasyfikacji poziomu nastąpiła natomiast ważna zmiana – największy udział alertów stanowiły te o najniższym stopniu krytyczności (53%), co oznacza, że przybyło ich w stosunku do 2021 r. o 27,2 pp.  Udział ataków o średnim stopniu krytyczności zmniejszył się o 19,2 pp. do 37%, podobnie jak udział ataków o najwyższym poziomie krytyczności – który spadł o blisko 8 p.p, do 10%.

Wzorem lat ubiegłych, najczęściej występującymi rodzajami ataków wolumetrycznych obok IP/UDP Fragmentation (48,2%, o 22,1 pp. mniej niż w 2021 r.) były ataki Reflected DDoS przy użyciu protokołów UDP; najczęściej wykorzystywane były nich otwarte serwery DNS (32,5%, o 16,5 pp. mniej niż 2021), niepoprawnie skonfigurowane serwery czasu (NTP) – 23,3% oraz otwarte serwery LDAP – 7,1% (spadek w porównaniu z 2021 r. o blisko 20 pp.).

Średnia wielkość szczytowego natężenia ataku DDoS w sieci Orange Polska sięgnęła poziomu ponad 2,5 Gbps (wobec 3 Gbps w 2021). Największa odnotowana wartość natężenia ruchu w szczycie ataku to ok. 462 Gbps / 56 Mpps (przy niemal 476 Gbps / 267 Mpps w 2021).

W porównaniu do roku 2021 wzrosła liczba ataków w przedziale 0,5-2 Gbps (o ponad 8 pp.) oraz ataków o sile poniżej 0,2 Gbps (o niemal 10 pp.). Jak zauważają autorzy raportu, Pomimo, że średnia szczytowa wielkość ataków była w 2022 r. niższa niż w 2021, ale na przestrzeni ostatnich lat panuje ogólna tendencja wzrostowa. Coraz częściej ataki dopasowane są do dobrze rozpoznanego celu ataku, co podnosi ich dotkliwość i efektywność.

Co przed nami?

CERT Orange Polska przewidział w ub. roku wzrost wolumenu ataków DDoS, aktywację kampanii dezinformacyjnych związanych z działaniami politycznymi, gospodarczymi oraz militarnymi. Zwiększyła się liczba usług (w tym duże serwisy społecznościowe), w których stosowane jest dwustopniowe uwierzytelnianie oraz klucze bezpieczeństwa. Utrzymały się ataki związane z kradzieżą cyfrowej tożsamości, w szczególności o podłożu o podłożu politycznym lub gospodarczym. Spadła ilość koparek kryptowalut na stacjach użytkowników, ale zwiększyła się skala kradzieży portfeli kryptowalut.

W 2023 r. specjaliści CERT Orange Polska prognozują m.in.:

  • Wzrost phishingu i spoofingu wykorzystującego wyniki prac nad sztuczną inteligencją w obszarze rozpoznawania i wykorzystywania głosu ludzkiego. Potencjał nowych modeli językowych i sztucznej inteligencji dostępnej dla użytkowników z pewnością znajdzie zastosowanie w kolejnych oszustwach.
  • Wzrost kradzieży tożsamości w celu wyłudzania towarów. Przestępcy są dobrze wyposażeni w dane pozyskane od instytucji finansowych, z drugiej strony rośnie więc wykorzystanie „markerów biometrycznych” w identyfikacji klienta.
  • Wojna w Ukrainie pokazała, że dane są wykradane bez żądania okupu. Wojna hybrydowa w tym obszarze ma kompromitować ofiary a ich celem nie są finanse.
  • Może powstać nowa odmiana ransomware ukierunkowanego na ataki na infrastrukturę chmurową.
  • Wciąż zagrożone są repozytoria plików, które mogą być „zatruwane” w celu dystrybucji złośliwego kodu.
  • Zmniejszy się występowanie ataków typu DDoS Amplification wykorzystujących protokół UDP. Jednocześnie następuje wzrost liczby ataków przy użyciu protokołu TCP, w tym wykorzystujących techniki reflection and amplification.
  • Indywidualizują się nazwy domen wykorzystywanych w atakach phishingowych oraz SCAM pod konkretnego klienta albo grupy użytkowników. Może to w niektórych przypadkach ograniczać skuteczność wprowadzanych blokad po stronie operatorów.

Źródło: https://cert.orange.pl/raporty-cert

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *