Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2015. Najważniejsze historie dotyczące bezpieczeństwa

Tagi:

Koniec roku to tradycyjnie czas refleksji – okres, w którym dokonujemy rozrachunku naszego życia, zanim zastanowimy się, co przed nami. Proponujemy naszą własną retrospektywę kluczowych wydarzeń, które ukształtowały krajobraz zagrożeń w 2015 r.   

 

Ataki ukierunkowane i kampanie szkodliwego oprogramowania

Ataki ukierunkowane stanowią obecnie stały element naszego krajobrazu zagrożeń, dlatego zarezerwowaliśmy dla nich miejsce również w naszym rocznym przeglądzie. W zeszłym roku w naszej prognozie dot. bezpieczeństwa (tekst w j. angielskim) opisaliśmy, jak według nas rozwiną się w przyszłości kampanie APT.    

  • Połączenie się cyberprzestępczości i ataków APT
  • Fragmentacja większych ugrupowań APT
  • Ewoluujące technik szkodliwego oprogramowania
  • Nowe metody wyprowadzania danych
  • Wyścig zbrojeń APT

Poniżej przedstawiamy główne kampanie APT, o których pisaliśmy w tym roku. 

Carbanak stanowił połączenie cyberprzestępczości – w tym przypadku, kradzieży pieniędzy z instytucji finansowych – z technikami infiltracji typowymi dla ataku ukierunkowanego. Kampania ta została wykryta wiosną 2015 r.: Kaspersky Lab został poproszony o przeprowadzenie badania kryminalistycznego obejmującego systemy banku, po tym jak niektóre z jego bankomatów zaczęły „losowo” wypłacać gotówkę. Okazało się, że system banku został zainfekowany. Carbanak jest backdoorem, którego celem jest szpiegowanie, wyprowadzanie danych oraz zdalna kontrola zainfekowanych komputerów. Osoby atakujące stosowały metody w stylu APT, wysyłając pracownikom banku e-maile spear-phishing. Po uzyskaniu dostępu do komputera bankowego osoby atakujące przeprowadzały rekonesans w celu zidentyfikowania systemów związanych z przetwarzaniem, księgowością i bankomatami, naśladując działania rzeczywistych pracowników banku. Carbanak wykorzystywał trzy metody kradzieży pieniędzy: (1) wypłacanie gotówki z bankomatów, (2) przelewanie pieniędzy cyberprzestępcom przy użyciu sieci SWIFT oraz (3) tworzenie fałszywych kont i wykorzystywanie usług słupów pieniężnych w celu pobrania pieniędzy. Zaatakowano około 100 instytucji finansowych, przy czym łączne straty wyniosły prawie 1 miliard dolarów.       

security_stories_eng_1_auto.jpg

W I kwartale 2015 r. najwięcej mówiło się na temat incydentów związanych z ugrupowaniem cyberszpiegowskim Equation. Ugrupowanie to zainfekowało komputery tysięcy ofiar w Iraku, Rosji, Syrii, Afganistanie, Stanach Zjednoczonych i w innych miejscach – wśród ofiar znalazły się instytucje rządowe i dyplomatyczne, firmy telekomunikacyjne oraz energetyczne. Jest to jedna z najbardziej wyrafinowanych kampanii APT, jakie dotąd widzieliśmy: jeden z wielu opracowanych przez tę grupę modułów modyfikuje oprogramowanie układowe dysków twardych – zapewniając ukradkowość i długotrwałość na poziomie przewyższającym inne ataki ukierunkowane. Wiadomo, że rozwój kodu miał miejsce już w 2001 r. lub nawet wcześniej. Jest on również związany z innymi znanymi atakami, takimi jak na przykład Stuxnet i Flame. Jego arsenał zawierał dwie luki zero-day, które zostały później wykorzystane w Stuxnecie.        

Podczas badania incydentu na Bliskim Wschodzie odkryliśmy aktywność nieznanej wcześniej grupy przeprowadzającej ataki ukierunkowane. Desert Falcons to pierwsza arabskojęzyczna grupa, która przeprowadzała operacje cyberszpiegowskie na pełną skalę – prawdopodobnie związane z sytuacją polityczną w tym regionie. Pierwsze ślady tej kampanii sięgają 2011 roku. Pierwsze infekcje miały miejsce w 2013 r., chociaż szczyt aktywności tego ugrupowania przypadł na przełom lat 2014/2015. Grupa ta ukradła ponad 1 milion plików ponad 3 000 ofiarom. Wśród ofiar znaleźli się aktywiści polityczni i liderzy, organizacje rządowe i wojskowe, media oraz instytucje finansowe – zlokalizowane głównie w Palestynie, Egipcie, Izraelu i Jordanii. Nie ma wątpliwości, że członkowie ugrupowania Desert Falcons nie są żółtodziobami: stworzyli od zera szkodliwe oprogramowanie dla systemu Windows i Android oraz zręcznie zorganizowali ataki wykorzystujące phishingowe wiadomości e-mail, fałszywe strony internetowe oraz fałszywe konta na portalach społecznościowych.     

W marcu 2015 r. opublikowaliśmy raport dotyczący Animal Farm APT, chociaż informacje dotyczące narzędzi wykorzystywanych w tej kampanii zaczęły się pojawiać już w poprzednim roku. W marcu 2014 r. francuska gazeta Le Monde opublikowała artykuł dotyczący zestawu narzędzi cyberszpiegowskich zidentyfikowanego przez Communications Security Establishment Canada (CSEC): narzędzia te były wykorzystywane w operacji „Snowglobe”, której celem były francuskojęzyczne media w Kanadzie jak również Grecji, Francji, Norwegii oraz niektórych państwach afrykańskich. CSEC uważał, że operacja ta mogła zostać zainicjowana przez francuskie agencje wywiadowcze. Rok później badacze bezpieczeństwa opublikowali analizy (tutaj, tutaj i tutaj) dotyczące szkodliwych programów, które miały wiele wspólnego z operacją „Snowglobe”: w szczególności, badanie obejmowało próbki o wewnętrznej nazwie „Babar” – nazwie programu wspominanego przez CSEC. Po analizie szkodliwych programów oraz powiązań między nimi Kaspersky Lab nazwał stojącą za tymi atakami grupę Animal Farm. Jej arsenał zawierał dwie spośród trzech luk zero-day, które zidentyfikowaliśmy w 2014 r. a które były wykorzystywane przez cyberprzestępców: np. atak ze skompromitowanej strony Syryjskiego Ministerstwa Sprawiedliwości wykorzystujący exploity CVE-2014-0515 powodował pobieranie narzędzia Animal Farm o nazwie „Casper”. Jedną z ciekawszych cech tej kampanii jest to, że jeden z jej programów, „NBOT”, został stworzony w celu przeprowadzania ataków DDoS (Distributed Denial of Service). Jest to rzadkość w przypadku grup APT. Jedno ze szkodliwych „zwierząt” na tej farmie posiada nietypową nazwę „Tafacalou” – która stanowi prawdopodobnie oksytańskie słowo (w języku używanym we Francji i kilku innych miejscach).    

W kwietniu 2015 r. informowaliśmy o pojawieniu się nowego członka rozrastającej się rodziny „Duke”, która już teraz zawiera takie programy jak: MiniDuke, CosmicDuke oraz OnionDuke. Ugrupowanie APT CozyDuke (znane również jako „CozyBear”, „CozyCat” czy „Office Monkeys”) atakuje organizacje rządowe oraz firmy w Stanach Zjednoczonych, Niemczech, Korei Południowej oraz Uzbekistanie. W ataku wykorzystano wiele wyrafinowanych technik, w tym szyfrowanie, zapobieganie wykrywaniu oraz dobrze rozwinięty zestaw komponentów, które strukturalnie przypominają wcześniejsze zagrożenia z rodziny „Duke”. Jednak jedną z jego najbardziej istotnych cech jest wykorzystywanie socjotechniki. Niektóre z e-maili typu spear-phishing zawierają odsyłacz do zhakowanych stron internetowych – łącznie z tymi znanymi, legalnymi – które hostują archiwum ZIP. Archiwum to zawiera program RAR SFX, który instaluje szkodliwe oprogramowanie, pokazując jako przynętę pusty PDF. Inne podejście polega na rozsyłaniu w załącznikach e-mail fałszywych filmików flash. Dobrym przykładem (od którego pochodzi jedna z nazw szkodnika) jest „OfficeMonkeys LOL Video.zip”. Po uruchomieniu umieszcza on na komputerze plik wykonywalny CozyDuke, odtwarzając śmieszny „film” pokazujący małpy pracujące w biurze. Zachęca to ofiary do rozesłania filmiku po całym biurze, co zwiększa liczbę zainfekowanych komputerów. Skuteczne wykorzystywanie socjotechniki w celu nakłonienia ofiary, aby zrobiła coś, co zagraża bezpieczeństwu korporacyjnemu – między innymi przez ugrupowanie CozyDuke i wielu innych cyberprzestępców stosujących ataki ukierunkowane – zwraca uwagę na potrzebę włączenia edukacji personelu do każdej firmowej strategii bezpieczeństwa jako podstawowego elementu.          

Ugrupowanie Naikon APT skoncentrowało się na wrażliwych celach w Azji południowo-wschodniej oraz w regionie wokół Morza Południowochińskiego. Osoby atakujące, które wydają się być chińskojęzyczne i są aktywne od co najmniej pięciu lat, biorą na celownik agencje rządowe najwyższego szczebla oraz organizacje cywilne i wojskowe na Filipinach, w Malezji, Kambodży, Indonezji, Wietnamie, Birmie, Singapurze, Nepalu, Tajlandii, Laosie oraz Chinach. Jak w przypadku wielu kampanii ataków ukierunkowanych, Naikon wykorzystuje w szerokim zakresie socjotechnikę, aby nakłonić pracowników atakowanych organizacji do zainstalowania szkodliwego oprogramowania. Głównym modułem jest narzędzie zdalnej administracji, które obsługuje 48 poleceń sprawowania kontroli nad zainfekowanymi komputerami: obejmują one polecenia przeprowadzenia pełnej inwentaryzacji, pobrania i zrzucenia danych, zainstalowania modułów dodatkowych oraz wykorzystania keyloggerów w celu uzyskania danych uwierzytelniających pracowników. Osoby atakujące przypisały do każdego atakowanego państwa operatora, który potrafi wykorzystywać specyfikę lokalną – np. tendencję do wykorzystywania prywatnych kont e-mail do celów związanych z pracą. Ugrupowanie to wykorzystuje również określony serwer proxy w granicach danego państwa w celu zarządzania połączeniami z zainfekowanymi komputerami oraz przesyłania danych do serwerów kontroli (C2) osób atakujących. Na naszej stronie znajduje się główny raport oraz raport uzupełniający na ten temat.        

Podczas badania ugrupowania Naikon odkryliśmy również działania grupy APT Hellsing. Grupa ta koncentrowała się głównie na organizacjach rządowych i dyplomatycznych w Azji: większość ofiar jest zlokalizowanych w Malezji i na Filipinach, chociaż zidentyfikowaliśmy je również w Indiach, Indonezji oraz Stanach Zjednoczonych. Hellsing to w rzeczywistości niewielkie ugrupowanie, które nie wyróżnia się niczym szczególnym pod względem technicznym (około 20 organizacji znalazło się na celowniku tej grupy). Interesujące jest to, że ugrupowanie to stało się celem ataku typu spear-phishing przeprowadzonego przez grupę APT Naikon – i postanowiło wziąć odwet! Odbiorca takiego e-maila zakwestionował jego autentyczność u nadawcy. Otrzymał następnie odpowiedź od osoby atakującej, ale nie otworzył załącznika. Zamiast tego wysłał do atakujących e-mail, który zawierał ich własne szkodliwe oprogramowanie. Nie ulega wątpliwości, że zorientowawszy się, że jest celem ataku, grupa Hellsing zamierzała zidentyfikować osoby atakujące i zebrać dane dotyczące ich aktywności. Wcześniej zsarzało się już, że grupy APT niechcący nadepnęły sobie na palce – np. kradnąc książki adresów swoich ofiar, a następnie wysyłając do każdej osoby z takich list wiadomości masowe. Jednak atak ugrupowania APT na ugrupowanie APT jest czymś nietypowym.      

 security_stories_eng_2_auto.jpg

Wiele kampanii ataków ukierunkowanych koncentruje się na dużych przedsiębiorstwach, agencjach rządowych oraz innych znanych organizacjach. Nietrudno zatem odnieść wrażenie na podstawie przeczytanych nagłówków, że organizacje te są jedynymi, które znajdują się na celowniku osób stosujących ataki ukierunkowane. Jednak jedna z kampanii, jaką zarejestrowaliśmy w zeszłym kwartale, udowodniła, że cyberprzestępcy interesują się nie tylko „grubymi rybami”. Celem kampanii cyberszpiegowskiej Grabit była kradzież danych z małych i średnich organizacji – znajdujących się głównie z Tajlandii, Wietnamie oraz Indiach - aczkolwiek ofiary zidentyfikowaliśmy również w Stanach Zjednoczonych, Zjednoczonych Emiratach Arabskich, Turcji, Rosji, Chinach, Niemczech oraz innych państwach. Atakowany był sektor chemiczny, nanotechnologiczny, edukacyjny, rolniczy, mediów oraz budowniczy. Szacujemy, że stojąca za tymi atakami grupa zdołała ukraść około 10 000 plików. Nie ma wątpliwości, że każda firma stanowi potencjalny cel – ze względu na swoje zasoby lub pośrednio, w celu przeniknięcia do innej organizacji.   

Wiosną 2015 r. podczas badania bezpieczeństwa Kaspersky Lab wykrył cyberwłamanie do kilku swoich wewnętrznych systemów. W wyniku pełnego śledztwa, które nastąpiło, wykryto nową platformę szkodliwego oprogramowania stworzoną przez jedno z najzdolniejszych, najbardziej tajemniczych i potężnych ugrupowań w świecie APT, Duqu, określane niekiedy jako brat przyrodni Stuxneta. Nazwaliśmy tę nową platformę „Duqu 2.0”. W ataku na Kaspersky Lab wykorzystano lukę „zero-day” w jądrze Windowsa (załataną przez Microsoft 9 czerwca 2015 r.) oraz prawdopodobnie dwie inne (załatane już) dziury, które w tym czasie również stanowiły luki „zero-day”. Głównym celem osób atakujących było szpiegowanie technologii firmy Kaspersky Lab, jej bieżących badań i procesów wewnętrznych. Jednak Kaspersky Lab nie był jedynym celem. Niektóre infekcje Duqu 2.0 miały związek z wydarzeniami P5+1 dotyczącymi negocjacji z Irakiem odnośnie umowy nuklearnej: wygląda na to, że osoby atakujące przeprowadziły ataki w miejscach, w których odbywały się niektóre z tych rozmów na wysokim szczeblu. Ponadto, ugrupowanie przeprowadziło podobny atak w związku z obchodami 70-lecia wyzwolenia obozu Auschwitz-Birkenau. Jedną z najistotniejszych cech Duqu 2.0 był brak aspektu „długotrwałości”, co spowodowało niemal całkowity brak śladów pozostawionych w systemie. Szkodnik ten nie dokonał żadnych zmian na dysku czy w ustawieniach systemu: platforma szkodliwego oprogramowania została zaprojektowana w taki sposób, aby przetrwała niemal wyłącznie w pamięci zainfekowanych systemów. To sugeruje, że osoby atakujące były przekonane, że mogą utrzymać swoją obecność w systemie nawet w przypadku ponownego uruchomienia systemu ofiary oraz usunięcia szkodnika z pamięci. Na naszej stronie można znaleźć artykuł techniczny dotyczący Duqu 2.0 oraz analizę modułu długotrwałości.           

W sierpniu informowaliśmy o kampanii APT Blue Termite, której celem była kradzież informacji z organizacji w Japonii. Obejmowały one agencje rządowe, instytucje samorządowe, grupy interesu publicznego, uniwersytety, banki, serwisy finansowe, firmy z branży energetycznej, komunikacyjnej, przemysłu ciężkiego, chemicznego, motoryzacyjnego, elektrycznego, informacyjnego, nieruchomości, spożywczego, półprzewodników, robotyki, budownictwa, ubezpieczeń, służby zdrowia, transport i innych. Jednym z istotniejszych celów był japoński fundusz emerytalny. Szkodliwe oprogramowanie było dostosowane do określonej ofiary. Backdoor Blue Termite przechowuje dane dotyczące siebie – w tym: C2, nazwa API, ciągi do anty-analizy, wartości muteksów jak również sumę kontrolną MD5 poleceń backdoora oraz wewnętrzne informacje dotyczące proxy. Dane te są przechowywane w postaci zaszyfrowanej, utrudniając analizę szkodliwego oprogramowania – dla każdej próbki wymagany jest unikatowy klucz deszyfrowania. Główną metodą infekcji, jak w przypadku wielu kampanii ataków ukierunkowanych, są e-maile typu spear-phishing. Stosowane były również inne metody infekcji. Obejmują one drive-by downloads przy użyciu exploita Flash (CVE-2015-5119) – w ten sposób skompromitowanych zostało kilka japońskich stron internetowych. Zidentyfikowaliśmy również kilka ataków przy wodopoju (watering-hole), w tym jeden przeprowadzony na strony internetowe należące do znanego członka rządu japońskiego.

Ugrupowanie stojące za kampanią cyberszpiegowską Turla działa od ponad ośmiu lat, infekując setki komputerów w ponad 45 krajach. Osoby atakujące profilują swoje ofiary przy użyciu ataków przy wodopoju w początkowej fazie. Jednak w późniejszych operacjach ugrupowanie to wykorzystuje komunikację satelitarną w celu zarządzania swoim ruchem C2. Metoda wykorzystywana przez Turla w celu przechwytywania połączeń satelitarnych do klienta (downstream) nie wymaga ważnego abonamentu na internet satelitarny. Główną zaletą jest anonimowość – zidentyfikowanie osób atakujących jest bardzo trudne. Odbiorniki satelitarne mogą być zlokalizowane w dowolnym miejscu w obszarze zasięgu satelity (zwykle jest to spory obszar), nie można również łatwo zidentyfikować prawdziwej lokalizacji sprzętu serwera C2 ani przechwycić go fizycznie. Opcja ta jest również tańsza niż zakup łącza satelitarnego i łatwiejsza niż przechwytywanie ruchu pomiędzy ofiarą a operatorem satelity i wstrzykiwanie pakietów. Ugrupowanie Turla koncentruje się na dostawcach internetu satelitarnego zlokalizowanych na Bliskim Wschodzie i w Afryce, w tym w Kongo, Libanie, Libii, Nigerii, Somalii oraz Zjednoczonych Emiratach Arabskich. Emisje satelitarne z tych państw zwykle nie obejmują Europy oraz państw Ameryki Północnej, co znacznie utrudnia badaczom bezpieczeństwa analizowanie takich ataków. Wykorzystanie łączy internetowych opartych na satelicie jest interesującym zjawiskiem. Porywanie komunikacji downstream jest tanie (około 1 000 dolarów inwestycji początkowej i około 1 000 dolarów rocznie za utrzymanie), łatwe do przeprowadzenia i oferuje wysoki stopień anonimowości. Z drugiej strony, nie zawsze jest tak niezawodne jak tradycyjne metody (hosting bullet-proof, wiele poziomów proxy oraz zhakowane strony internetowe) – które również znajdują się w arsenale tego ugrupowania. To zmniejsza prawdopodobieństwo wykorzystywania go do utrzymywania dużych botnetów. Niezależnie od tego, jeżeli metoda ta stanie się popularna wśród ugrupowań APT lub cyberprzestępców, będzie stanowić poważny problem dla branży bezpieczeństwa IT oraz organów ścigania.         

 satturla_ani_auto.gif

W sierpniu 2015 r. opublikowaliśmy uaktualnione informacje na temat Darkhotel APT. Ataki te charakteryzowały się wykorzystywaniem skradzionych certyfikatów do szkodliwych celów, instalacją plików HTA przy użyciu wielu metod oraz infiltracją hotelowej sieci Wi-Fi w celu wprowadzenia backdoorów do atakowanych komputerów. Osoby atakujące stojące za tę kampanią APT wprawdzie nadal stosują te metody, jednak uzupełniły swój arsenał, kierując w większym stopniu swoją uwagę ku atakom spear-phishing na wybrane ofiary. Oprócz wykorzystywania plików HTA stosują również zainfekowane pliki RAR, wykorzystując mechanizm RTLO (right to left override) w celu zamaskowania prawdziwego rozszerzenia pliku. Atakujący wykorzystują również exploity Flash, łącznie z exploitem zero-day, który wyciekł na skutek incydentu naruszenia bezpieczeństwa związanego z Hacking Team. Grupa ta rozszerzyła również swój zasięg geograficzny i wśród jej ofiar znalazły się również osoby z Korei Północnej, Rosji, Korei Południowej, Japonii, Bangladeszu, Tajlandii, Indii, Mozambiku oraz Niemiec.

Naruszenie bezpieczeństwa danych

Bieżący rok obfitował w incydenty naruszenia bezpieczeństwa. To, że incydenty te znajdują się na porządku dziennym, nie powinno dziwić: informacje osobiste stanowią cenny towar – nie tylko dla legalnych firm, ale również dla cyberprzestępców. Do największych incydentów tego roku można zaliczyć ataki na Anthem, LastPass, Hacking Team, amerykański Office of Personnel Management, Ashley Madison, Carphone Warehouse, Experian oraz TalkTalk. Efektem niektórych z tych ataków była kradzież ogromnych ilości danych, co świadczy o tym, że wiele firm nie podejmuje odpowiednich działań w celu zabezpieczenia się. Trzeba pamiętać, że nie jest to jedynie kwestia ochrony granic sieci firmowej. Nie istnieje coś takiego jak 100 procentowe bezpieczeństwo, dlatego nie można zagwarantować, że nikt nie włamie się do systemu, szczególnie gdy ktoś wewnątrz zostanie nakłoniony do zrobienia czegoś, co zagrozi bezpieczeństwu korporacyjnemu. Jednak każda organizacja, która przechowuje dane osobiste, ma obowiązek zadbać o skuteczne ich zabezpieczenie. Obejmuje to zabezpieczanie haseł klientów przy użyciu hashowania i techniki salt jak również szyfrowanie innych poufnych danych.      

Z drugiej strony, klienci mogą ograniczyć szkody powstałe w wyniku incydentu naruszenia bezpieczeństwa dostawcy online poprzez wybór niepowtarzalnych i złożonych haseł: idealne hasło ma co najmniej 15 znaków i stanowi połączenie liter, liczb oraz symboli z całej klawiatury. Jako alternatywę można również wykorzystać aplikację menadżera haseł, która będzie wpisywała hasła automatycznie. 

Problem haseł pojawia się co jakiś czas. Jeśli wybierzemy hasło, które można zbyt łatwo odgadnąć, narazimy się na kradzież tożsamości. Problem wzrasta, jeśli wykorzystujemy to samo hasło do różnych kont online – jeśli jedno konto zostanie złamane, zagrożone będą wszystkie! Z tego powodu wielu dostawców, w tym Apple, Google oraz Microsoft, oferuje obecnie uwierzytelnienie dwuskładnikowe – tj. wymaga od klientów, aby podali kod wygenerowany przez token sprzętowy lub przesłany na urządzenie mobilne w celu uzyskania dostępu do strony lub dokonania zmian w ustawieniach konta. Uwierzytelnienie dwuskładnikowe z pewnością zwiększa bezpieczeństwo – ale tylko wtedy, gdy jest to wymóg a nie jedynie opcja.   

Kradzież danych osobistych może mieć poważne konsekwencje dla ofiar kradzieży. Czasami jednak mogą wystąpić poważne skutki pośrednie. W wyniku incydentu związanego z Hacking Team opublikowano 400GB danych: obejmowały one exploity wykorzystane przez włoską firmę w swoim oprogramowaniu inwigilacyjnym. Niektóre z exploitów były wykorzystywane w atakach APT - Darkhotel i Blue Termite. Po incydencie usiłowano załatać luki w zabezpieczeniach ujawnione przez osoby atakujące.    

Inteligentne (ale niekoniecznie bezpieczne) urządzenia

Internet przeniknął do naszego życia – dosłownie, i to w przypadku coraz większej liczby przedmiotów dnia codziennego wykorzystywanych we współczesnym domu: telewizorów smart TV, inteligentnych liczników, elektronicznych nianiek, czajników itd. Czytelnicy być może pamiętają, że w zeszłym roku jeden z naszych badaczy bezpieczeństwa zbadał własny dom, aby sprawdzić, czy naprawdę jest bezpieczny pod względem cybernetycznym. Kontynuacja tego badania znajduje się w tym miejscu. Trzeba tu podkreślić, że „Internet Rzeczy” obejmuje coś więcej niż tylko urządzenia gospodarstwa domowego.  

Od kilku lat badacze analizują potencjalne zagrożenia bezpieczeństwa związane z samochodami z dostępem do sieci. W lipcu 2014 r. Kaspersky Lab oraz IAB opublikowali badanie, w którym przyjrzeli się potencjalnym obszarom problematycznym takich pojazdów. Do tego roku skupiano się na uzyskaniu dostępu do systemów samochodowych przy użyciu połączenia fizycznego z pojazdem. Sytuacja zmieniła się, gdy badacze Charlie Miller oraz Chris Valasek znaleźli sposób na uzyskanie dostępu bezprzewodowego do krytycznych systemów jeepa Cherokee – skutecznie przejmując kontrolę nad pojazdem i sprowadzając go na pobocze drogi (Można przeczytać o tym tutaj).  

Historia ta zwraca uwagę na niektóre z problemów dotyczących urządzeń podłączonych do sieci, nie tylko z branży motoryzacyjnej – każdego urządzenia podłączonego do sieci. Niestety, funkcje bezpieczeństwa sprzedaje się trudno; na konkurencyjnym rynku pierwszeństwo mają zwykle przedmioty, które ułatwiają życie klientom. Ponadto, łączność jest często dodawana do istniejącej już sieci komunikacyjnej, która nie została stworzona z myślą o bezpieczeństwie. Historia pokazuje, że ochrona zostaje zwykle rozszerzona dopiero wtedy, gdy zdarzy się coś złego. Więcej na ten temat można przeczytać w poście napisanym przez Jewgienija Kasperskiego, opublikowanym po wspomnianym wcześniej badaniu.      

Takie problemy odnoszą się również do inteligentnych miast (smart cities). W ciągu ostatnich lat zwiększyło się znacznie wykorzystanie systemów kamer przemysłowych (CCTV) przez rządy oraz organy ścigania w celu monitorowania miejsc publicznych. Wiele kamer przemysłowych jest podłączonych bezprzewodowo do internetu, dzięki czemu policja może je zdalnie monitorować. Nie zawsze jednak są one bezpieczne: cyberprzestępcy mogą biernie monitorować nagrania z kamer bezpieczeństwa, wstrzykiwać kod do sieci – zastępując tym samym film z kamery fałszywym – lub odłączyć systemy od sieci. Dwóch badaczy bezpieczeństwa (Vasilios Hioureas z Kaspersky Lab oraz Thomas Kinsey z Exigent Systems) przeprowadziło niedawno badanie potencjalnych słabych punktów w bezpieczeństwie systemów kamer przemysłowych w jednym z miast (Na naszej stronie internetowej można przeczytać raport Vasiliosa). 

Niestety, nie zamaskowano kamer, dlatego bez trudu można było ustalić marki i modele wykorzystywanego sprzętu, zbadać odpowiednie specyfikacje i stworzyć własny model w laboratorium. Wykorzystywany sprzęt zapewniał skuteczne kontrole bezpieczeństwa, które nie były jednak implementowane. Pakiety danych przekazywane w sieci typu mesh nie były zaszyfrowane, w związku z czym osoba atakująca mogłaby stworzyć własną wersję oprogramowania i manipulować przepływającymi przez nie danymi. Jednym ze sposobów możliwego wykorzystania tego przez osoby atakujące byłoby spreparowanie materiałów wysyłanych na posterunek policji, sugerując, że w jednym miejscu doszło do incydentu, aby w ten sposób odciągnąć uwagę policji od prawdziwego ataku, który miał miejsce gdzieś indziej.   

Badacze zgłosili te problemy osobom nadzorującym system monitoringu miasta, którzy usuwają obecnie problem bezpieczeństwa. Istotne znaczenie ma zaimplementowanie w takich sieciach szyfrowania WPA, chronionego mocnym hasłem, usunięcie ze sprzętu etykietek, aby utrudnić potencjalnym atakującym poznanie, jak działa sprzęt oraz zaszyfrowanie materiałów filmowych wysyłanych przez sieć. 

Szerszy problem polega tutaj na tym, że coraz więcej aspektów życia codziennego ulega cyfryzacji: jeśli już na etapie projektowania nie uwzględni się bezpieczeństwa, potencjalne zagrożenia mogą być dalekosiężne – „zmodernizowanie” ochrony może nie być prostą sprawą. Inicjatywa Securing Smart Cities wspierana przez Kaspersky Lab, ma przyczynic się do tego, aby ci, którzy są odpowiedzialni za rozwój inteligentnych miast, mieli na względzie cyberbezpieczeństwo.    

Współpraca międzynarodowa w celu zwalczania cyberprzestępców

Cyberprzestępczość na dobre zagościła już na świecie, wykorzystując nasze coraz większe uzależnienie od sieci. Znajduje to odbicie w oficjalnych statystykach. W Wielkiej Brytanii, na przykład, Urząd statystyk narodowych uwzględnia cyberprzestępczość w swoich szacunkach skali przestępczości, co odzwierciedla zmianę charakteru przestępczości w społeczeństwie. Nie ma wątpliwości, że cyberprzestępczość może być dochodowym biznesem, jednak cyberprzestępcy nie zawsze mogą działać bezkarnie, a działania organów ścigania na całym świecie mogą odegrać tu dużą rolę.  Biorąc pod uwagę globalny charakter cyberprzestępczości szczególne znaczenie ma współpraca międzynarodowa. W tym roku policja przeprowadziła kilka istotnych operacji.    

W kwietniu Kaspersky Lab brał udział w operacji rozbicia botnetu Simda (tekst w j. ang.), koordynowanej przez Interpol Global Complex for Innovation. Dochodzenie zostało zapoczątkowane przez Microsoft i rozszerzone na innych uczestników, w tym Trend Micro, the Cyber Defense Institute, oficerów z Holenderskiej krajowej jednostki do zwalczania przestępczości z wykorzystaniem zaawansowanych technologii (NHTCU), FBI, the Police Grand-Ducale Section Nouvelles Technologies w Luxemburgu oraz Departament ds. cyberprzestępczości „K” Rosyjskiego Ministerstwa Spraw Wewnętrznych, wspierany przez krajowe biuro Interpolu w Moskwie.     

We wrześniu policja holenderska aresztowała dwóch mężczyzn podejrzanych o udział w atakach z wykorzystaniem oprogramowania ransomware CoinVault w wyniku wspólnych działań firm Kaspersky Lab, Panda Security oraz Holenderskiej jednostki ds. zwalczania przestępczości z wykorzystaniem zaawansowanych technologii (ang. NHTCU). Ta kampania szkodliwego oprogramowania została zapoczątkowana w maju 2014 r. i trwa do bieżącego roku, a jej ofiary znajdują się ponad 20 państwach, głównie w Holandii, Niemczech, Stanach Zjednoczonych, Francji oraz Wielkiej Brytanii. Cyberprzestępcom udało się zaszyfrować pliki na ponad 1 500 komputerach z systemem Windows, żądając zapłaty w bitcoinach w zamian za odszyfrowanie danych. Osoby odpowiedzialne za tę kampanię ransomware kilkakrotnie zmodyfikowały swoje szkodniki, aby móc atakować nowe ofiary. W listopadzie 2014 r. Kaspersky Lab i holenderska jednostka NHTCU stworzyli stronę internetową pełniącą funkcję repozytorium kluczy deszyfrowania; ze swojej strony udostępniliśmy również online narzędzie deszyfrowania, aby pomóc ofiarom w odzyskaniu swoich danych bez konieczności zapłacenia okupu. Nasza analiza sztuczek stosowanych przez CoinVault jest dostępna w tym miejscu. Ransomware stał się istotnym stałym elementem krajobrazu zagrożeń. O ile przypadek ten pokazuje, że współpraca między badaczami oraz organami ścigania może dać pozytywne wyniki, ważne jest, aby zarówno klienci indywidualni jak i firmy podejmowały działania w celu łagodzenia ryzyka związanego z tego rodzaju szkodliwym oprogramowaniem. Warunkiem powodzenia operacji wykorzystujących ransomware jest zapłacenie okupu przez ofiarę. We wrześniu agent FBI wywołał kontrowersje sugerując, że ofiary powinny zapłacić okup w celu otrzymania swoich danych. Rozwiązanie to, jakkolwiek wydaje się pragmatyczne (chociażby z tego względu, że w niektórych sytuacjach odzyskanie danych nie jest możliwe), stanowi niebezpieczną strategię. Po pierwsze, nie ma gwarancji, że cyberprzestępcy dostarczą niezbędny mechanizm w celu odszyfrowania danych. Po drugie, takie działanie wzmocni ich model biznesowy i zwiększy prawdopodobieństwo dalszego rozwoju oprogramowania ransomware. Zarówno firmom jak i użytkownikom indywidualnym zalecamy wykonywanie regularnych kopii zapasowych swoich danych, aby nie znaleźć się w tak niewdzięcznym położeniu.         

Ataki na obiekty przemysłowe

Incydenty spowodowane problemami dotyczącymi cyberbezpieczeństwa dość często występują w obiektach przemysłowych. Na przykład, według danych US ICS CERT, w 2014 roku fiskalnym w Stanach Zjednoczonych odnotowano 245 takich incydentów oraz 22 incydenty w lipcu i sierpniu 2015. Uważamy jednak, że liczby te nie odzwierciedlają rzeczywistości: cyberincydentów jest znacznie więcej. Niektóre firmy wolą nie nagłaśniać niektórych z takich incydentów, innych nie są po prostu świadome. 

Przyjrzyjmy się dwóm przypadkom, które zwróciły naszą uwagę w 2015 r.

Pierwszy to incydent, który miał miejsce w niemieckiej stalowni. Pod koniec 2014 r. niemiecki urząd federalny ds. bezpieczeństwa informacji (BSI) opublikował raport zawierający wzmiankę o cyberincydencie w niemieckiej stalowni. Incydent ten spowodował szkody fizyczne w wielkim piecu.

Jest to drugi atak cybernetyczny, o którym wiemy, oprócz Stuxneta, który spowodował fizyczne szkody w obiektach przemysłowych. Według BSI, osoby atakujące wykorzystały najpierw e-maile phishingowe w celu zainfekowania sieci przedsiębiorstwa, a następnie hakerzy zdołali zainfekować komputer SCADA oraz zaatakować sprzęt fizyczny. Niestety BSI nie dostarczył żadnych dodatkowych informacji, dlatego nie wiemy, które szkodliwe oprogramowanie zostało wykorzystane i jak działało.

Ten brak informacji nie służy nikomu: w ten sposób atak ten nie zostanie przeanalizowany przez podobne przedsiębiorstwa w celu zastosowania środków zaradczych; eksperci ds. cyberbezpieczeństwa również nie posiadają niezbędnych informacji i nie mogą zasugerować swoim klientom żadnych działań.   

Innym ciekawym incydentem był atak na Lotnisko Chopina w Warszawie, który miał miejsce w czerwcu 2015 r. Awarii trwającej około pięć godzin uległ system komputerowy odpowiedzialny za przygotowywanie planów lotu polskich międzynarodowych linii lotniczych LOT. Według agencji Reuters spowodowało to opóźnienia kilkunastu lotów.

Zarząd lotniska nie przedstawił żadnych szczegółów, a eksperci musieli wyrobić sobie opinie na podstawie własnego doświadczenia. Ruben Santamarta, główny konsultant ds. bezpieczeństwa w IOActive, zwracał wcześniej uwagę na kwestie bezpieczeństwa IT w branży lotniczej. Na podstawie tego, co powiedzieli przedstawiciele LOT-u, zasugerował, że firma padła ofiarą ataku ukierunkowanego: system nie mógł generować planów lotów, ponieważ zostały skompromitowane główne węzły w zapleczu organizacyjnym lub też celem ataku były urządzenia komunikacji naziemnej, co uniemożliwiło wykonanie lub weryfikację ładowania danych do samolotu (w tym planów lotu).   

O incydencie tym wypowiedzieli się również nasi eksperci, sugerując, że możliwe są dwa scenariusze. Przyczyną mógł być błąd ludzki lub awaria sprzętu. Incydent ten, który wydarzył się na stosunkowo niewielkim lotnisku w Warszawie, może być prekursorem ataków na większą skalę na innych, znacznie większych lotniskach.

Później ogłoszono, że miał miejsce atak DDoS i nie doszło do penetracji systemu. Tym razem również nie opublikowano szczegółowych informacji na temat incydentu i możemy jedynie wierzyć oficjalnym informacjom lub zgadywać, jakie były przyczyny oraz cele tego ataku.

Ktokolwiek stał za opisanymi wyżej atakami i jakikolwiek cel mu przyświecał, incydenty te wyraźnie pokazują, jak istotną częścią naszego życia stały się komputery i jak podatne na ataki stały się w ostatnich latach obiekty infrastruktury.

Niestety, obecnie wiele rządów i organów regulacyjnych stosuje politykę niejawności. My z kolei uważamy, że przejrzystość i wymiana informacji dotyczących cyberataków stanowi istotny element zapewnienia odpowiedniej ochrony obiektom przemysłowym. Bez tej wiedzy bardzo trudno zabezpieczyć tego rodzaju obiekty przez przyszłymi zagrożeniami.

Podsumowując, chcielibyśmy wspomnieć o jeszcze jednym trendzie, który już teraz ma istotne znaczenie i nadal będzie obowiązywał w nadchodzących latach: sprzęt wykorzystywany przez przedsiębiorstwa przemysłowe jest aktywnie połączony z siecią. Internet wprawdzie pojawił się dawno temu, jednak dopiero teraz jest wykorzystywany w procesach przemysłowych. Nie będzie przesadą stwierdzenie, że stanowi to nową rewolucję przezemsłową: jesteśmy świadkami narodzin „Przemysłowego Internetu Rzeczy” lub Enterprise 4.0. Dzięki temu przedsiębiorstwa uzyskują wiele dodatkowych korzyści i mogą zwiększyć swoją wydajność wytwórczą. 

Aby wpisać się w ten trend, producenci sprzętu dodają po prostu czujniki i kontrolery do sprawdzonego, bezpiecznego i niezawodnego sprzętu, tworzonego pierwotnie dla świata „bez internetu”, zapewniają swoim urządzeniom połączenie z internetem, a następnie oferują klientom „nowy sprzęt”. Zapominają jednak, że kiedy do urządzenia dodawane są nowe funkcje online, powstają nowe ryzyka i zagrożenia związane z cyberprzestępczością. Nie jest to już urządzenie „fizyczne”, ale „cyberfizyczne”.   

W świecie urządzeń fizycznych wszystkie urządzenia przemysłowe, instrumenty, protokoły komunikacji itd. zostały zaprojektowane z uwzględnieniem bezpieczeństwa – innymi słowy, zostały tak stworzone, aby były odporne na awarię. To oznaczało, że jeżeli urządzenie zostało tak zaprojektowane, aby spełnić wymogi bezpieczeństwa działania, korzystanie z niego bez naruszenia zasad bezpieczeństwa nie spowodowałoby żadnej awarii lub szkody dla człowieka czy środowiska naturalnego.  

Trend Enterprise 4.0 niesie ze sobą nowy wymiar bezpieczeństwa: bezpieczeństwo IT lub ochronę przed celową manipulacją zewnętrzną. Nie można po prostu podłączyć do internetu obiektu lub urządzenia z ery sprzed internetu: konsekwencje tego mogą być – i często są – katastrofalne.

Inżynierowie, którzy preferują stare „przedrewolucyjne” zasady projektowania często nie zdają sobie sprawy, że ich urządzenia mogą być teraz „obsługiwane” nie tylko przez inżynierów, którzy wiedzą, które działania są dopuszczalne a które nie, ale również przez hakerów, dla których nie istnieje coś takiego jak niedopuszczalne zdalne operacje na obiektach. Jest to jedna z głównych przyczyn, dla których firmy z ugruntowaną pozycją i wieloletnim doświadczeniem  oferują sprzęt, który jest niezawodny z punktu widzenia bezpieczeństwa działania, ale nie zapewnia odpowiedniego poziomu cyberbezpieczeństwa.   

W świecie urządzeń cyberfizycznych komponenty fizyczne i cybernetyczne są ze sobą ściśle zintegrowane. Cyberatak może zakłócić proces przemysłowy, uszkodzić sprzęt lub spowodować katastrofę technogenną. Hakerzy stanowią rzeczywiste zagrożenie i wszystko, co jest połączone z Internetem, może stać się celem ataku. Dlatego też podczas projektowania nowego sprzętu przemysłowego połączonego do internetu producenci powinni być tak samo ostrożni w dziedzinie implementacji ochrony przed cyberzagrożeniami jak podczas projektowania funkcji bezpieczeństwa działania.

Zakończenie

W 2015 r., być może po raz pierwszy w całej historii internetu, kwestie dotyczące ochrony sieci oraz bycia chronionym online, były omawiane w odniesieniu do każdego sektora gospodarki oraz życia codziennego. Jeśli wybrać dowolny sektor współczesnej cywilizacji – finanse, produkcję przemysłową, motoryzację, przemysł samolotowy, galanterię elektroniczną, służbę zdrowia czy inne – z pewnością znajdziemy w tym roku publikacje dotyczące incydentów lub problemów dotyczących cyberbezpieczeństwa związanych z tym sektorem.

Niestety, cyberbezpieczeństwo stało się obecnie nierozerwalnie związane z terroryzmem. Wiele zainteresowania ze strony nielegalnych organizacji oraz grup wzbudzają zarówno defensywne jak i ofensywne metody stosowane online.

Kwestie cyberbezpieczeństwa nie ominęły również głównych dyplomatów i urzędników rządowych. W 2015 r. podpisano umowy dotyczące cyberbezpieczeństwa pomiędzy Rosją i Chinami, Chinami i Stanami Zjednoczonymi, Chinami i Wielką Brytanią. W dokumentach tych rządy nie tylko zgadzają się na współpracę, ale również zobowiązują się powstrzymać od wszelkich ataków na siebie nawzajem. Jednocześnie szeroko dyskutowano na temat niedawnych zmian w porozumieniu Wassenaar Arrangement ograniczającym eksport oprogramowania spyware. Tematem, który powracał w tym roku, było wykorzystywanie niezabezpieczonych serwisów e-mail przez różne osoby z kręgów politycznych na całym świecie, w tym Sekretarz Stanu Stanów Zjednoczonych Hillary Clinton.     

Wszystko to spowodowało wzrost zainteresowania kwestiami cyberbezpieczeństwa, nie tylko w branży mediów, ale również w przemyśle rozrywkowym. Powstały filmy fabularne i seriale telewizyjne, a w niektórych z nich wystąpili eksperci ds. cyberbezpieczeństwa, którzy niekiedy grali samych siebie.

Słowo cyberbezpieczeństwo stało się modne w 2015 r., co jednak nie znaczy, że problem został rozwiązany. Obecnie jesteśmy świadkami wykładniczego wzrostu dotyczącego wszystkiego, co ma związek z cyberprzestępczością, w tym wzrostu liczby ataków oraz atakujących, liczby ofiar, kosztów związanych z obroną i ochroną, ustaw i umów regulujących cyberbezpieczeństwo lub ustanawiających nowe standardy. Dla nas szczególne znaczenie ma wyrafinowanie wykrywanych ataków. Konfrontacja znajduje się obecnie w fazie aktywnej, a etap końcowy nie jest jeszcze widoczny.

Aby dowiedzieć się więcej o tym, czego można oczekiwać w najbliższej przyszłości, przeczytaj nasze prognozy na 2016 rok.