W jednym z ataków, które miały miejsce ostatnio, ofiarą padł producent zabawek VTech Learning Lodge, któremu wykradziono dane 5 milionów dorosłych oraz 200 tys. dzieci, włączając w to zdjęcia rodziców i dzieci. Łącząc wykradzione dane dzieci z danymi rodziców włamywacze mogą ustalić nazwiska dzieci i adresy ich zamieszkania.

Kto mieczem wojuje…

Głośno było wokół włoskiej firmy Hacking Team, która sprzedawała instytucjom rządowym podatności typu zero-day, umożliwiające przeprowadzanie włamań. Firma bowiem sama stała się celem ataku. Włamywacze dostali się do komputera jednego z pracowników, podczas gdy ten był zalogowany do sieci (używał hasła Passw0rd). Nie ujawniono, jak długo atakujący pozostawali nie wykryci. Ujawnili się sami, przejmujące konto Hack Team na Twitterze i zmieniając jego nazwę na Hacked Team. Publikacja gigabajtów wykradzionych danych pokazała, że pracownicy używali prostych do złamania haseł, a ich pracodawca handlował z rządami oskarżanymi o łamanie praw obywatelskich. Atakujący udostępnili również exploity zero-day, które firma miała w swoim arsenale. W efekcie niektóre z nich poszły w świat i zostały wykorzystane poza wszelką kontrolą. Łącznie wykradziono aż 400 GB danych, które zawierały oprócz wymienionych elementów, również kody źródłowe czy wiadomości e-mail.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• FBI ostrzega - masowy atak phishingowy w USA
• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Zdrada milionów wychodzi na jaw

Kolejny spektakularny przykład włamania to atak na Ashley Madison, serwis dla zamężnych i żonatych, szukających możliwości skoku w bok. Rekordy użytkowników serwisu zostały udostępnione publicznie, co w najlepszym wypadku doprowadziło do wielu kryzysów małżeńskich, podobno również do dwóch samobójstw. Ten atak to przykład, jaki potencjał tkwi w atakach phishingowych personalizowanych pod kątem określonej grupy użytkowników. Wyciekły dane aż 37 milionów użytkowników, ujawniono również hasła do kont, ponieważ były zaszyfrowane z wykorzystaniem błędnej implementacji MD5. Nie jest do końca jasne, jak włamywacze dostali się do serwisu i jak długo po nim buszowali. Ujawnili się 12 czerwca, wysyłając informację o włamaniu do jednego z pracowników serwisu.

Następny interesujący przypadek to włamanie do firmy Experian, które odbiło się czkawką operatorowi T-Mobile. Atakujący wykradli nazwiska, adresy, daty urodzin oraz zaszyfrowane numery ubezpieczenia społecznego, a także inne numery identyfikacyjne. Nie ujawniono, jak doszło do ataku, wiadomo natomiast, że włamywacze przez 15 dni pozostawali nie wykryci. Atak jest wart wspomnienia, ponieważ naruszył zaufanie, jakie istnieje w biznesie oraz pokazał, że klienci mogą odczuć skutki ataku na firmy, z których oferty nie korzystają bezpośrednio.

Sektor publiczny

Celem ataków są nie tylko firmy prywatne, ale również instytucje publiczne, czego przykładem jest amerykańska Office of Personel Management. Z agencji wykradziono ponad 21,5 miliona rekordów dotyczących obecnych i byłych pracowników różnych instytucji federalnych (początkowo sądzono, że skradziono dane tylko 4 milionów osób). Włamywacze dostali się do sieci tej agencji już w czerwcu 2014 r., ale udawało im się pozostawać w ukryciu aż przez 343 dni. Ich obecność zdradziły anomalie w ruchu SSL oraz wykrycie używania w sieci narzędzi deszyfrujących, co doprowadziło do wszczęcia śledztwa. Przez przedstawicieli władz federalnych atak został opisany jako jedno z największych włamań do instytucji rządowych w historii Stanów Zjednoczonych.

To włamanie jest przykładem próby zdobycia określonych informacji. Włamywacze rozglądali się za danymi określonych osób w celach wywiadowczych, w przeciwieństwie do najczęstszej praktyki, kiedy to włamywacze spieniężają wykradzione dane. Wykradzione rekordy pracowników zawierały, m.in. informacje o osobach wykonujących poufne czy tajne zadania w agencjach wywiadowczych czy siłowych. Były tam nawet odciski palców.

Poborcy podatków zhakowani

Informacja o ataku na amerykańską agencję Internal Revenue Service zajmującą się ściąganiem podatków pojawiła się maju. Włamywacze wykradli informacje o kontach 334 tysięcy podatników. Do włamania wykorzystano wykradzione dane uwierzytelniające oraz dodatkowe informacje wymagane przy logowaniu. W ten sposób przestępcy dostali się do systemu Get Script, umożliwiającego użytkownikom przeglądanie informacji o podatkach (system ten został zamknięty w maju). Nie wiadomo natomiast jak długo atakujący pozostawali niewykryci. Do wykrycia ataku doszło, ponieważ atakujący wysyłali bardzo dużo zapytań o zwrot zapłaconych podatków. Dział IT agencji początkowo myślał, że ma do czynienia z atakiem DDoS i przystąpił do analizy zdarzenia. Przestępcom udało się wykraść dziesiątki milionów dolarów poprzez doprowadzenie do niesłusznego zwrotu podatku. Ponadto weszli w posiadanie dużej ilości danych z formularzy wykradzionych z IRS.

To zdarzenie jest przykładem ataku, w którym nie wykorzystano luk w oprogramowaniu, lecz wykradzione dane uwierzytelniające. Mimo że od ataku minęło już kilka miesięcy, IRS nadal nie ma pewności, czy ustalił pełną skalę szkód.

Zagrożona służba zdrowia

Przez kilka miesięcy włamywacze penetrowali sieć działającej w branży medycznej firmy Premera. Wyciekły nazwiska, daty urodzenia, adresy, numery telefonów, informacje o stanie zdrowia oraz informacje finansowe 11 milionów klientów. Prawdopodobnie atak rozpoczął się od wysłania spreparowanych wiadomości (phishing), mających skłonić pracowników do wejścia na strony, z których automatycznie pobierało się szkodliwe oprogramowanie. Atak trwał przez cztery i pół miesiąca. Nie podano, jak został wykryty. Dotychczas była to największa kradzież danych medycznych. W tym samym czasie i tymi samymi metodami przeprowadzono atak na inną firmą z branży medycznej – Anthem.

Atak na Slack

W lutym doszło do ataku na serwis Slack służący do prowadzenia grupowych czatów w zastosowaniach biznesowych. Z bazy danych wykradziono nazwy użytkowników, adresy, zaszyfrowane hasła (przestępcom nie udało się ich odszyfrować), numery telefonów oraz identyfikatory Skype. Nie podano, jak atak został przeprowadzony. Natomiast został dość szybko wykryty – już po czterech dniach. Nie podano, jak do tego doszło, ale wkrótce po tym wydarzeniu Slack wprowadził dwuskładnikowe uwierzytelnianie i poinformował, że po ataku obserwowano podejrzane działania z wykorzystaniem niektórych kont. Wprowadzono również funkcję umożliwiającą administratorom i osobom zarządzającym zespołami szybkie resetowanie haseł dla wszystkich członków zespołu. Skutki ataku były poważne, ponieważ serwis jest wykorzystywany w biznesie także w najważniejszych projektach, w których bezpieczeństwo jest niezbędne. Liczba jego użytkowników przekracza 500 tys.

Szpiedzy na celowniku

Na celowniku cyberprzestępców znalazła się również firma mSpy, zajmująca się produkcją i sprzedażą programów szpiegowskich. Wykradziono jej, m.in. zrzuty ekranowe, dane lokalizacyjne oraz zapisy z chatów 400 tys. użytkowników. Nie ujawniono, jak włamywacze dostali się do sieci mSpy i jak długo mieli do niej dostęp. Włamanie wyszło na jaw, gdy informacje o klientach mSpy opublikowano w sieci Dark Web. To zdarzenie pokazuje, jakie zagrożenia niesie ze sobą korzystanie z produktów służących do szpiegowania (oprogramowanie mSpy oferuje, m.in. funkcjonalność keyloggera czy możliwość monitorowania telefonów komórkowych).

Ataki DDoS

Największy atak DDoS w 2015 r. zostały wykryty przez infrastrukturę Atlas utrzymywaną przez firmę Arbor. W szczytowym momencie generował on 334 Gbit/s. Celem ataku był niewymieniony z nazwy operator sieciowy z Azji. Warto dodać, że nie był to największy atak DDoS w historii Internetu. Pod koniec 2014 r. miał miejsce atak o sile 400 Gbit/s, w którym wykorzystano mechanizm tzw. zwielokrotnienia. Polega on na wykorzystaniu różnych usług sieciowych, które generują znacznie większe odpowiedzi niż otrzymywane zapytania. Atakujący samodzielnie generuje stosunkowo mały ruch, wysyłając zapytania z podstawionymi źródłowymi adresami IP ofiary. W ten sposób odpowiedzi na te zapytania są kierowane do ofiary ataku.