W roku 2020 zespół CSIRT GOV odnotował łącznie 246 107 zgłoszeń dotyczących potencjalnego wystąpienia incydentu teleinformatycznego. 23 309 z nich okazało się faktycznym incydentem. Zarówno pierwsza jak i druga liczba zgłoszeń jest wyraźnie większa niż w 2019. Jak zaznaczają autorzy raportu, szczególnie wyraźnie widać wzrost kampanii phishingowych, które stanowią jeden z głównych wektorów ataków stosowanych przez cyberprzestępców. Ale nie tylko phishing był zmorą minionego roku. Co jeszcze?

Wzrosty, wzrosty, wzrosty…

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV to ważna jednostka w krajowym systemie cyberbezpieczeństwa. Odpowiada on między innymi za: „rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo, istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemów oraz sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli i posiadaczy obiektów, instalacji lub urządzeń infrastruktury krytycznej”.

Największą grupę incydentów w 2020 roku stanowiły te dotyczące urzędów państwowych

Liczba zdarzeń, które zostały zarejestrowane w roku 2020 jako faktyczny incydent i ujęte w raporcie, wyniosła 23 309, co stanowi wzrost o około 88% w stosunku do roku 2019 przy wzroście ilości zgłoszeń tylko na poziomie około 8%. Najwięcej zgłoszeń przypadło na kwartały I oraz IV, stanowiąc prawie trzykrotny wzrost ilości zgłoszeń w porównaniu do pozostałych kwartałów 2020 roku. Zależność ta, zdaniem specjalistów z CSIRT GOV, wynika przede wszystkim z alarmów systemu ARAKIS GOV (o systemie piszemy poniżej), których liczba we wskazanych okresach wzrosła ze względu na wykryte aktywne skanowania adresacji sieciowych należących do instytucji administracji państwowej i operatorów infrastruktury krytycznej. Dodatkowym czynnikiem był zwiększony poziom detekcji zagrożeń związany z rozwojem możliwości systemu wczesnego ostrzegania, działającego w infrastrukturze podmiotów krajowego systemu cyberbezpieczeństwa.

Największa liczba faktycznych incydentów została zarejestrowana w II kwartale 2020 roku, przy relatywnie małej ilości zgłoszeń. Wzrost ilości faktycznych incydentów w tym kwartale był prawdopodobnie spowodowany efektem tzw. lockdown-u w związku z epidemią COVID-19.

W roku 2020, podobnie jak i w 2019, najwięcej incydentów zostało sklasyfikowanych wśród trzech następujących kategorii: WIRUS, SKANOWANIE, PHISHING

• Kategoria WIRUS - najliczniejsza, stanowiła prawie 72% wszystkich incydentów (w stosunku do roku 2019 wzrost o ponad 132%) Ilość incydentów w tej kategorii związana jest przede wszystkim ze zwiększeniem się skuteczności identyfikacji oprogramowania złośliwego w oparciu o systemy detekcji, sygnatury oraz przepływy sieciowe.

• Drugą grupą są incydenty zaklasyfikowane jako SKANOWANIE. Wynikają one także z alarmów ARAKIS 3.0 GOV i dotyczą złośliwego lub podejrzanego ruchu skierowanego na adresację podmiotów podległych CSIRT GOV. W przypadku kategorii SKANOWANIE utrzymuje się wyraźna tendencja wzrostowa, przy czym w ubiegłym roku tego typu incydentów było prawie 39% więcej niż w roku 2019.

• Jednym z istotniejszych rodzajów zagrożeń są także kampanie phishingowe. Pomimo tego, że opierają się one na stosowaniu metod socjotechniki, stanowią realne zagrożenie dla bezpieczeństwa systemów teleinformatycznych i mogą również stanowić fazę inicjującą bardziej rozległy atak, pozwalający na uzyskanie dostępu do infrastruktury teleinformatycznej danego podmiotu. Wzrost zarejestrowanych incydentów dotyczących kategorii PHISHING wynosi prawie 19% w porównaniu z rokiem 2019.

Jak zaznaczają autorzy publikacji, innego rodzaju zagrożeniem, które godzi w bezpieczeństwo teleinformatyczne, są podatności w zasobach IT rozumianych jako słabość systemu teleinformatycznego, wynikająca z błędów konfiguracyjnych lub braku odpowiedniej polityki bezpieczeństwa, związanej z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych. W tej kategorii nastąpił wzrost o ponad 34% w porównaniu z 2019.

ATP w akcji

Jak wynika z cytowanego raportu, największą grupę incydentów w 2020 roku stanowiły te dotyczące urzędów państwowych (8 356). Tu nastąpił przyrost w stosunku do roku 2019 prawie o 118%. Mniej ilościowo, ale więcej w stosunku do porównywanego 2019 roku wzrosły incydenty dotyczące infrastruktury krytycznej (około 283%) oraz służb i wojska (prawie 311%).

Coraz częściej są to ataki typu ATP (zaawansowane długotrwałe ataki – Advanced Persistent Threats), należące do grupy najniebezpieczniejszych działań cyberprzestępczych.

• ATP Kimsuky Velvet Chollima - kampania Kimsuky została wykryta jako ataki ukierunkowane na polskie instytucje rządowe oraz podmioty prowadzące działania w ramach Organizacji Narodów Zjednoczonych. W atakach wykorzystywano „spearphishing”, a wiadomości zawierające pliki ze złośliwym oprogramowaniem kierowane były do ściśle określonych osób, np. pracujących w departamentach związanych z kontaktami międzynarodowymi.

• APT Gamaredon (Primitive Bear) – te ataki dotyczyły polskich placówek dyplomatycznych oraz innych polskich instytucji funkcjonujących na terenie Ukrainy. Były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano jedynie na wybrane hosty. Na podstawie analiz przeprowadzonych ataków zaobserwowano wykorzystanie wyspecjalizowanego złośliwego oprogramowania.

• APT 36 (Mythic Leopard) - to ataki wymierzone w polskie ministerstwa z wykorzystaniem przejętej wcześniej przez grupę APT 36 infrastruktury rządowej innych państw. Zidentyfikowano złośliwe oprogramowanie, które było zmodyfikowaną wersją oprogramowania RAT o nazwie Quasar. Podejmowane przez grupę hackerów działania ukierunkowane były na pozyskanie informacji powszechnie niedostępnych.

Inżynieria społeczna nadal skuteczna

Według raportu o 24% w stosunku do roku 2019 wrosły incydenty z kategorii PHISHING i PODSZYWANIE. To obecnie jeden z głównych wektorów ataków stosowanych przez cyberprzestępców. W okresie objętym raportem najczęściej występującą kampanią phishingową były wiadomości e-mail podszywające się pod dział helpdesk lub administratorów oraz wykorzystujące logo i emblematy instytucji administracji publicznej lub operatorów infrastruktury krytycznej, aby dodatkowo uwiarygodnić korespondencję. Prawdopodobnie celem tych akcji było pozyskanie danych uwierzytelniających do skrzynek administracji publicznej i przejęcie zawartych w nich informacji. Administracja publiczna stała się również celem kampanii phishingowych zakrojonych na szeroką skalę w Internecie, w których wykorzystywano wizerunek m.in. firm kurierskich takich jak Poczta Polska, InPost, a także operatorów telekomunikacyjnych Orange i Play. Celem tych ataków najczęściej była próba infekcji złośliwym oprogramowaniem lub pozyskanie danych autoryzacyjnych do serwisów bankowości elektronicznej i wykradanie środków finansowych. Wiadomości tego typu zawierały informacje dotyczące rzekomych przesyłek pocztowych oraz link, pod którym można było uiścić dopłatę do przesyłki. W innych przypadkach treść korespondencji nawiązywała do konieczności opłacenia faktury za usługi telekomunikacyjne.

COVID jako okazja do ataku

W związku z panującą na świecie w roku 2020 sytuacją epidemiczną, pojawiło się też wiele kampanii phishingowych próbujących wykorzystać pandemię do propagacji zagrożeń.

Zespół CSIRT GOV zidentyfikował między innymi takie kampanie:

• podszywanie się pod stronę łudząco przypominającą mapę rozprzestrzeniania się koronawirusa, zawierającą plik .exe ze złośliwym oprogramowaniem o nazwie AZORult. To malware, który wykradał takie informacje jak hasła, pliki cookies (tzw. ciasteczka) czy historię przeglądania. Ponadto miał możliwość pobierania dodatkowych modułów na zainfekowane maszyny.

• kampania phishingowa rozsyłająca wiadomości e-mail, których motyw opierał się na rzekomo oficjalnym komunikacie wystosowanym przez WHO - Światową Organizację Zdrowia. Wiadomość zawierała złośliwy załącznik o nazwie "official statement by who.img", który w rzeczywistości okazywał się plikiem wykonywalnym "OfficialStatement By WHO.exe".

Metoda „na pocztę”

W roku 2020 zaobserwowano także zwiększoną ilość incydentów związanych z wykorzystywaniem wizerunku Poczty Polskiej. Pojawiały się one cyklicznie, choć najbardziej wzmożoną aktywność można było zaobserwować w okresie nadchodzących wyborów na urząd Prezydenta RP, które miały odbyć się korespondencyjnie. Były to zarówno wiadomości elektroniczne jak i wiadomości SMS, zawierające zawierały złośliwy załącznik lub odnośnik przekierowujący do złośliwego oprogramowania.

Również regularnie obserwowano zmasowaną wysyłkę wiadomości e-mail, w której użytkownik dostaje informacje o przejęciu komputera i zainfekowaniu go złośliwym oprogramowaniem, dzięki któremu przestępca uzyskuje prywatne informacje na temat ofiary. Kampania ta miała na celu wyłudzenie środków finansowych w postaci kryptowaluty Bitcoin.

ARAKIS czuwa

System ARAKIS 3.0 GOV to dedykowany, rozproszony system wczesnego ostrzegania o zagrożeniach teleinformatycznych występujących na styku sieci wewnętrznej z siecią Internet. Głównym zadaniem systemu jest wykrywanie i zautomatyzowane opisywanie zagrożeń występujących w sieciach teleinformatycznych na podstawie agregacji, analizy i korelacji danych z różnych źródeł. W 2020 roku, w sieciach teleinformatycznych podmiotów uczestniczących w projekcie ARAKIS 3.0 GOV, zanotowano łącznie 1 813 243 995 przepływów, co przełożyło się na 1 758 813 wygenerowanych przez system alarmów.

A gdzie aktualizacja?

Zespół CSIRT GOV przeprowadził w 2020 roku badanie w czternastu instytucjach administracji rządowej oraz infrastruktury krytycznej, w którym przyjrzał się 82 systemom teleinformatycznym.

W ramach przeprowadzonych ocen bezpieczeństwa zespół CSIRT GOV zrealizował szereg testów mających na celu identyfikację istotnych podatności wpływających na bezpieczeństwo infrastruktur teleinformatycznych instytucji. Eksperci zidentyfikowali szereg podatności - od stopnia informacyjnego aż do błędów należących do kategorii krytycznych. Zidentyfikowano łącznie 4 325 podatności, w tym 95 podatności o stopniu krytycznym oraz 223 o stopniu wysokim, co mogło skutkować przełamaniem zabezpieczeń przez atakujących i tym samym prowadzić do eskalacji ataku. Ponownie, do najistotniejszych (krytycznych oraz wysokich) podatności zidentyfikowanych w ramach przeprowadzonych ocen bezpieczeństwa systemów teleinformatycznych należały wersje oprogramowania zawierające podatności, których ujawnienie często było spowodowane wykorzystywaniem ich nieaktualnych wersji.