Atak, którego nie było

Dziesiątki tysięcy administratorów IT będą pamiętać lipcowy piątek, gdy od rana w kolejnych krajach i regionach – od Nowej Zelandii i Australii zaczynając, a na Hawajach kończąc – pojawiał się Niebieski Ekran Śmierci (BSOD) na ekranach łącznie około 8,5 mln komputerów z systemem Windows. Błąd wywołany przez aktualizację oprogramowania CrowdStrike już na samym początku uznany został jako atak na łańcuch dostaw i działanie cyberterrorystów, którzy celowo uszkodzili pakiet aktualizacyjny. Dopiero gdy problem zaczął przechodzić przez Azję zorientowano się, że to jednak zwykły programistyczny błąd, a usunięcie jego skutków jest dość prostym zadaniem. Niemniej, nie uchroniło to wielu dużych firm z Europy i USA przed gigantycznym chaosem – problemy dotknęły blisko 60 proc. podmiotów z listy Fortune 500 prowadzących działalność w wielu kluczowych branżach. Według szacunków straty będące konsekwencją tego zamieszania liczone są w miliardach dolarów.

– Incydent z aktualizacją CrowdStrike’a dostarczył nam cennych lekcji na przyszłość, wskazując na potrzebę ciągłego doskonalenia procedur bezpieczeństwa i gotowości na potencjalne zagrożenia, których źródłem niekoniecznie muszą być wrogie działania. W planach ciągłości biznesowej zignorowano to, że naprawa może wymagać ręcznej interwencji, w tym uruchamiania komputerów w trybie awaryjnym i usuwania określonych plików systemowych – mówi Aleksander Kostuch, inżynier Stormshielda.

Działy helpdesk w wielu firmach nie były w stanie zareagować na problem zdalnie, ponieważ do zawieszonego komputera trzeba było podejść, a w większości międzynarodowych korporacji obsługa IT funkcjonuje w formie outsourcingu prowadzonego często z innego kraju. Cały proces był po prostu czasochłonny, a sytuację dodatkowo komplikował fakt, że w przypadku komputerów korzystających z szyfrowania dysków BitLockerem konieczne było wprowadzenie klucza do uruchomienia trybu awaryjnego.

– Tego typu sytuacja na pewno nie jest ostatnią. Biorąc pod uwagę, że przedsiębiorstwa, stanowiące dużą część gospodarki, polegają w zasadzie na niewielkiej grupie globalnych dostawców oprogramowania i usług, to błąd wprowadzony przez jednego z nich może spowodować szereg rozległych problemów. Natomiast oprogramowanie nigdy nie było i nie będzie pozbawione w stu procentach błędów – powiedział Kamil Sadkowski, analityk laboratorium antywirusowego ESET-u.

Sytuacja ta z pewnością nie wpłynie pozytywnie na percepcję zdarzeń dotyczących bezpieczeństwa środowisk IT. CrowdStrike, tworząc błędną aktualizację, zaatakował się sam, ale – jak wynika z międzynarodowego badania przeprowadzonego przez HP – wśród przedsiębiorstw rosną obawy przed atakami na łańcuchy dostaw i integralność sprzętu oraz oprogramowania układowego urządzeń (wyraża je aż 91 proc. respondentów). 19 proc. stwierdziło, że miały styczność z atakiem cyberprzestępców na fizyczne łańcuchy dostaw komputerów, laptopów lub drukarek. W USA odsetek ten wzrasta do 29 proc.

Przykłady najciekawszych ataków z ostatnich miesięcy  

 

  • Dane miliardów osób w Darknecie

Według raportu Bloomberg Law, którego autorzy powołują się na pozew złożony na Florydzie przez poszkodowanych, przestępcy z grupy USDoD umieścili w Darknecie bazę danych, zawierającą informacje o 2,9 mld ludzi, oferując jej sprzedaż za 3,5 mln dol. To jedno z największych w historii wydarzeń tego typu. Dane, które opublikowali, zostały pierwotnie zebrane przez National Public Data, dostawcę danych z rejestrów publicznych specjalizującego się w sprawdzaniu przeszłości i zapobieganiu oszustwom. Firma twierdzi, że dane pochodzą z różnych rejestrów publicznych, sądowych, stanowych i krajowych oraz innych repozytoriów w całym kraju. W złożonym pozwie podkreślono, że firma nie zapewniła ochrony gromadzonych przez siebie danych osobowych, takich jak pełne imiona i nazwiska, poprzednie i pełne adresy sięgające 30 lat wstecz, numery ubezpieczenia społecznego, informacje o rodzeństwie itp.

  • Stracili, zamiast odzyskać

Przestępcy wykorzystali dane skradzione z platformy handlowej Opteck, która w 2017 r. padła ofiarą włamania, do przeprowadzenia kampanii phishingowej podszywającej się pod cypryjską komisję papierów wartościowych CySEC. Mechanizm działania polegał na kontaktowaniu się z potencjalnymi ofiarami, informowaniu o rzekomym wycieku danych z Opteck i proponowaniu pomocy w odzyskaniu skradzionych inwestycji w kryptowaluty. Oszuści wysyłali wiarygodnie wyglądające mejle z prośbą o przesłanie wyciągu bankowego w celu weryfikacji. Następnie tworzyli fałszywe portfele kryptowalutowe na Coinbase, żądając od ofiar wpłat na poczet opłat i ubezpieczeń, obiecując w zamian zwrot skradzionych środków. Oczywiście pieniądze nigdy nie były zwracane, a jedynie trafiały do kieszeni przestępców. Kampania była niezwykle skuteczna. Analiza phishingowych mejli pozwoliła ustalić cztery adresy portfeli Ethereum, na których zgromadzono kryptowaluty o równowartości ponad 100 tys. dol. Oszuści wykorzystywali zaawansowane techniki, takie jak tworzenie domen przypominających prawdziwą stronę CySEC i konfigurowanie ich przy użyciu narzędzi Microsoftu, aby uniknąć wykrycia i uwiarygodnić swoje działania.

  • Atak na PAP

W kwietniu 2024 r. Polska Agencja Prasowa padła ofiarą cyberataków, w wyniku których opublikowano fałszywą depeszę premiera Donalda Tuska, informującą o rzekomej mobilizacji wojskowej. Nieprawdziwa informacja wywołała duże zamieszanie, zanim została usunięta. Premier Donald Tusk określił ten incydent jako kolejny rosyjski cyberatak mający na celu destabilizację Polski. Sprawą zajęły się polskie służby specjalne, w tym Agencja Bezpieczeństwa Wewnętrznego we współpracy z Ministerstwem Cyfryzacji.

  • Pieniądze za ankiety

W styczniu 2024 r. Komisja Nadzoru Finansowego (KNF) w Polsce ostrzegła przed oszustami, którzy podszywali się pod Bank Millennium. Cyberprzestępcy promowali w mediach społecznościowych fałszywe ankiety, obiecując pieniądze za ich wypełnienie. Celem tych działań było wyłudzenie danych osobowych oraz informacji o kartach płatniczych od uczestników ankiety. Wcześniej KNF ostrzegała już przed podobnymi oszustwami, w których cyberprzestępcy podszywali się pod ING Bank Śląski oraz BNP Paribas. Metody działania były zbliżone – fałszywe strony internetowe lub mejle, których celem jest pozyskanie danych do bankowości elektronicznej.