Wykradli pocztę polityków


25-07-2021 15:01:42

W czerwcu media zdominowała treść maili wysyłanych przez Michała Dworczyka, szefa Kancelarii Prezesa Rady Ministrów, a opublikowanych na koncie „Poufna rozmowa” komunikatora Telegram.

Okazało się, że również premier Mateusz Morawiecki oraz jego zastępca – Jarosław Gowin, korzystają z prywatnych skrzynek pocztowych, a nie z chronionej rządowej domeny gov.pl! A dlaczego? Bo rządowe skrzynki są kontrolowane przez polskie służby!

Sprawców wycieku tropi Agencja Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego. Ale Stanisław Żaryn, rzecznik prasowy ministra koordynatora służb specjalnych, już poinformował 22.06., że za atakami na konta e-mail polskich polityków, w tym Michała Dworczyka, stoi grupa UNC1151. To element akcji „Ghostwriter”, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.

ABW podała, że na liście celów ataku grupy UNC1151 znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych (…) Na liście zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne. Atak dotknął osób pochodzących z różnych opcji politycznych, a także pracowników mediów i organizacji pozarządowych.

Politycy łatwym łupem   

- Od końca listopada 2020 r. co najmniej kilkunastokrotnie dochodziło do przejęć kont należących do polityków. CSIRT NASK bada tego typu przypadki, w ścisłej koordynacji i współpracy z pozostałymi zespołami CSIRT poziomu krajowego oraz z pełnomocnikiem rządu ds. cyberbezpieczeństwa w KPRM - powiedział w czerwcu PAP Przemysław Jaroszewski, kierownik działającego w strukturach NASK – CERT Polska, pierwszego polskiego zespołu reagowania na incydenty bezpieczeństwa komputerowego. Od lipca 2018 r. zespół realizuje część zadań CSIRT NASK (Computer Security Incident Response Team).

- Działania tego typu są częścią systematycznych ataków dezinformacyjnych, które obserwujemy co najmniej od 2018 r. Ich eskalacja nastąpiła pod koniec listopada 2020 r. - uściślił Jaroszewski. - Działania włamywaczy w takich kampaniach sprzyjają tworzeniu podziałów społecznych, wprowadzaniu zamieszania informacyjnego, a także obniżaniu wiarygodności Polski na arenie międzynarodowej. Wszystkie konta pocztowe i społecznościowe - w szczególności te służące do celów służbowych - powinny być chronione wieloskładnikowym uwierzytelnieniem, a więc nie tylko hasłem. Konieczna jest też świadomość zagrożeń związanych z phishingiem i jego rozpoznawanie..

W sieci jest dostępny stworzony w 2020 r. przez Ministerstwo Cyfryzacji poradnik: Jak chronić się przed cyberatakami? Praktyczne wskazówki dla parlamentarzystów i nie tylko. (https://www.gov.pl/attachment/5a702c24-aaaa-4da0-9502-ea1c940a31d6).

Realizacja zadań w zakresie bezpieczeństwa systemów teleinformatycznych, zwłaszcza informacji oznaczonych klauzulą „tajne” i „ściśle tajne” należy do ustawowych kompetencji Departamentu Bezpieczeństwa Teleinformatycznego ABW, a także wyspecjalizowanych zespołów  w delegaturach ABW. Zgodnie z ustawą z 5 sierpnia 2010 r. o ochronie informacji niejawnych, jako ich przetwarzanie określono ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.

Złodzieje firmowych sekretów

Ataki na maile w trakcie pandemii zauważyło 54% polskich firm. W opublikowanej w maju br. Active Adversary Playbook 2021 analitycy firmy Sophos, światowego lidera zabezpieczeń nowej generacji (chroni firmy i miliony konsumentów w ponad 150 krajach) ujawnili, że przestępcy zostają wykryci średnio dopiero po 11 dniach od przeniknięcia do firmowej sieci. W tym czasie mogą przeglądać firmowe zasoby, pobierać dane uwierzytelniające oraz wykradać poufne informacje i dane przedsiębiorstwa.

W niektórych przypadkach cyberprzestępcy są namierzani nawet dopiero po… 15 miesiącach. Do ich powstrzymania nie wystarczy VPN (Virtual Private Network), czyli „​wirtualna sieć prywatna” bądź wieloskładnikowe uwierzytelnianie. Aż 69% ataków są one obchodzone poprzez wykorzystanie protokołu zdalnego pulpitu RDP (Remote Desktop Protocol).

W 2020 r. analitycy Sophos zidentyfikowali aż 37 różnych grup atakujących stosujących ponad 400 narzędzi. Wiele z nich w pełni legalnych i wykorzystywanych na co dzień także przez administratorów czy specjalistów IT.<linia>

Dlatego dostrzeżenie różnicy między niegroźną a złośliwą aktywnością jest coraz trudniejsze. Przestępcy często instalują sterowniki wyłączające programy zabezpieczające, które mogłyby przerwać atak.

Czerwoną lampkę powinno zapalić wykrycie legalnego narzędzia lub aktywności w nietypowym miejscu. Zablokowania pewnego działania nie oznacza, że zagrożenie w pełni zneutralizowano. Atakujący już naruszył zabezpieczenia serwera i może wypróbować inne techniki, które nie zostały wykryte. Warto ustanowić odpowiednie zasady dostępu pracowników i urządzeń do narzędzi czy aplikacji. – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

W styczniu i lutym br. niezależna agencja badawcza Vanson Bourne przeprowadziła badanie IT Security Team: 2021 and Beyond. Wzięło w nim udział 5,4 tys. decydentów z firm IT zatrudniających od 100 do 5 tys. pracowników w 30 krajach, w tym w Polsce. W Polsce w trakcie pandemii  intensyfikacja zagrożeń i nakładów pracy umożliwiła 53% zespołów nabycie nowych doświadczeń, a 52% uważa też, że szybciej reaguje na incydenty.

Ponad połowa zespołów IT na świecie uważa, że cyberataki są obecnie zbyt zaawansowane, aby móc sobie z nimi poradzić samodzielnie. Znaczenia nabierają więc rozwiązania bazujące na sztucznej inteligencji. Rozwój umiejętności i doświadczenia specjalistów IT, związany ze wzrostem nakładu pracy, przełoży się na zwiększenie bezpieczeństwa firm.– podkreśla Grzegorz Nocoń.

Obrońcy na wagę złota

Cyberbezpieczeństwo to obecnie najszybciej rozwijająca się dziedzina w branży teleinformatycznej. Zapotrzebowanie na rynku pracy na wykwalifikowanych specjalistów ds. ochrony danych znacznie wzrosło, zarówno w sektorze prywatnym, jak i publicznym. W Polsce powstaje wiele nowych, państwowych jednostek organizacyjnych zajmujących się cyberochroną, którym zresztą także brakuje odpowiednich kadr. Zgodnie z przyjętą „Strategią Cyberbezpieczeństwa RP 2019-2024”, powstały zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT GOV, CSIRT MON, CSIRT NASK). W planach są kolejne. Zestaw narzędzi do ich tworzenia przedstawiła w październiku ub.r. Agencja UE ds. Cyberbezpieczeństwa (ENISA). Eksperci szacują, że liczba jednostek zajmujących się cyfrową ochroną w niedługim czasie podwoi się. Konsekwencją tego będzie jeszcze większe zapotrzebowanie na specjalistów, których pracodawcy kuszą wysokimi zarobkami.

Według danych Ogólnopolskiego Badania Wynagrodzeń w 2021 r. zarabiali oni przeciętnie 6-12 tys. zł brutto. Kierownik ds. bezpieczeństwa IT zarabia najczęściej ok. 13 tys. zł brutto, a 1/4 najwyżej wynagradzanych otrzymuje ponad 20 tys. zł brutto.

Zdaniem fachowców firmy powinny inwestować w szkolenia dla zatrudnionych zainteresowanych karierą w tym obszarze. Jest to o tyle łatwe, że na rynku dostępnych jest wiele bezpłatnych kursów, dzięki którym można uzyskać stosowne certyfikaty. Po drugie, firmy i instytucje zajmujące się bezpieczeństwem IT mogą nawiązywać współpracę z uczelniami wyższymi, które kształciłyby specjalistów. To jednak wymaga dostosowania programu kursów do wymogów rynku.

Honorowi szantażyści

Powszechnym zagrożeniem wpływającym na funkcjonowanie wielu gałęzi gospodarki jest dzisiaj złośliwe oprogramowanie blokujące dostęp do systemu i żądające okupu za przywrócenie stanu pierwotnego („ransom” – okup, „software” – oprogramowanie). Według raportu Fortinet „Global Threat Landscape” w grudniu 2020 r. codziennie 17,2 tys. urządzeń na świecie stawało się celem ataków. A przychody z cyberprzestępczości z użyciem szyfrującego oprogramowania wzrosły w 2020 r. (w porównaniu z 2019 r.) o 311% i osiągnęły szacunkową wartość 350 mln USD.

Pierwszy w historii atak ransomware miał miejsce w 1989 r.: w czasie konferencji Światowej Organizacji Zdrowia poświęconej tematyce AIDS rozdano 20 tys. dyskietek zainfekowanych złośliwym oprogramowaniem. Uruchamiało się automatycznie wraz z 91. uruchomieniem komputera: ukrywało katalogi i szyfrowało nazwy wszystkich plików znajdujących się na dysku C, a następnie wyświetlało komunikat o żądaniu okupu. Atak ten został nazwany trojanem AIDS, ale był również znany jako wirus PC Cyborg.

Dopiero wraz z upowszechnieniem internetu i dostępem do łączy szerokopasmowych nastąpił rozwój nowych form cyberprzestępczości. Pojawiły się trojany, m.in. Archiveus, WinLock i Zeus, i złośliwe oprogramowania, jak np. GPcode, WannaCry i Petya. Zmieniła się też metoda działania cyberprzestępców, którzy obecnie działają głównie jako… duże, rozproszone firmy, z centralami telefonicznymi do obsługi płatności okupu. I zgodnie ze strategią Big Game Hunting atakują głównie korporacje lub znane osoby.

Miniona dekada przyniosła też intensywny rozwój Ransomware-as-a-Service (RaaS). To usługa umożliwiająca kupno gotowych narzędzi i daje możliwość przeprowadzania ataków bez zaawansowanej wiedzy technicznej! Koncepcja RaaS umożliwiła w maju br. przestępcom znanym  jako DarkSide, cyberatak na największego w USA operatora rurociągów paliwowych Colonial Pipeline. Według agencji „Reuters” DarkSide jest jedną z wielu coraz bardziej sprofesjonalizowanych grup cyfrowych wyłudzaczy, z listą mailingową, centrum prasowym, „gorącą linią” dla ofiar. Posługuje się nawet rzekomo kodeksem postępowania mającym na celu przedstawienie grupy jako wiarygodnych, choć bezwzględnych, partnerów biznesowych. CNN określiła ją wcześniej jako rosyjską grupę przestępczą, ale DarkSide oświadczył , że celem grupy jest wyłącznie zarabianie pieniędzy i zaprzeczył związkom z zagranicznym rządem!

Na koniec dodam, że w nocy z 18/19 maja br. CSIRT MON odkrył kampanię phishingową z wykorzystaniem danych identyfikujących Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni. Do internautów rozesłano fałszywy e-mail podpisany rzekomo przez dyrektora Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC) - gen. bryg. Karola Molendę. W treści wiadomości zawarta była nieprawdziwa informacja o „powołaniu jej odbiorców do cyberwojska”.

Celem phishingu jest wprowadzenie w błąd odbiorcy poczty elektronicznej w celu uzyskania określonych korzyści, np. wyłudzenia pieniędzy, danych osobowych, poświadczeń logowania itp. Najczęściej próbują skłonić odbiorcę do podjęcia określonych działań wykorzystując jego stany emocjonalne.

Dlatego korzystając z komputera/smartfona trzeba naprawdę bardzo uważać i nie podejmować pochopnych decyzji!

Jerzy Bojanowicz

Komentuje Waldemar Rukść

eNOT.pl - Portal Naczelnej Organizacji Technicznej | eNOT.pl