Cyberwojna na wszystkich frontach

Pobieżna nawet lektura portali zajmujących się kwestiami bezpieczeństwa IT prowadzi do wniosku, że jedyną rozsądną formą ochrony pozostanie niebawem przestawienie się na XIX-wieczny styl funkcjonowania – bez energii elektrycznej i możliwości szybkiego przekazu informacji. Atakowane jest bowiem wszystko i wszędzie. W firmach, które dysponują tajnymi informacjami, albo oferują rozwiązania do ich przechowywania, paranoja stała się zwykłym stanem świadomości, zarówno zarządów, jak i personelu.

Żeby nie być gołosłownym: w październiku 2018 r. w branży rozeszła się plotka, że w serwerowych płytach głównych Supermicro mógł znaleźć się szpiegujący chip. Od tego czasu informatycy Oracle’a dokonują bardzo skrupulatnej inspekcji każdej płyty głównej, która trafia do ich chmurowych serwerowni. A ponieważ służą one do świadczenia usług największym przedsiębiorstwom świata, odpowiedzialność usługodawcy jest wręcz gigantyczna. Dlatego, choć plotka okazała się fałszywa, trudno się dziwić panice w Oracle’u i podjętej w związku z tym mrówczej i kosztownej pracy. Zwłaszcza że z ankiety przeprowadzonej przez Sophosa wśród 3,1 tys. menedżerów IT z całego świata wynika, iż celem największych w swojej skali ataków w ich korporacyjnych środowiskach były serwery i infrastruktura sieciowa (odpowiednio 36,7 i 36,6 proc.). W 16,9 proc. przypadków celem były natomiast komputery, a w 9,6 proc.– smartfony i tablety.

Porażające są też dane statystyczne dotyczące zagrożeń online w I kwartale 2019 r., ujawnione przez Kaspersky Lab. W tym okresie rosyjskie systemy na całym świecie wykryły i odparły ponad 947 mln unikalnych wersji złośliwego oprogramowania. Zidentyfikowały też niemal 247 mln szkodliwych adresów URL. Co ważne, ponad 300 tys. urządzeń próbowano zainfekować malware’em służącym do kradzieży pieniędzy z wykorzystaniem internetowego dostępu do kont bankowych. Problem będzie się pogłębiał, bo według szacunków Cisco Systems w 2019 r. cyberprzestępcy zarobią 2 bln dol. Dla porównania, Polska wypracuje w tym samym okresie PKB w wysokości ok. 0,5 bln dol., a więc czterokrotnie mniej. Determinacja po „złej stronie mocy” będzie więc tylko narastać.

Sztuczna inteligencja i rzeczywiste zagrożenia

Cała branża związana z ochroną środowisk IT pokłada ogromne nadzieje w uczeniu maszynowym. Firmy wykorzystują sieci neuronowe do wykrywania i przewidywania cyfrowych ataków, a także analizy potencjalnie złośliwego kodu w środowiskach testowych typu sandbox. Przestępcy ewidentnie obawiają się tej techniki.

Kiedyś najlepszym antywirusem było środowisko wirtualne. Twórcy szkodliwego oprogramowania wiedzieli, że analizowane jest w maszynach wirtualnych, więc wyposażali je w mechanizm wykrywający rodzaj środowiska, w którym było uruchamiane. Gdy wykryta została maszyna wirtualna, wirus dezaktywował sam siebie. Dziś podobnie jest ze środowiskiem typu sandbox. Ostatnio wykryto szkodliwe oprogramowanie, które rozpoznaje, czy trafiło właśnie do wirtualnej piaskownicy. Jeśli tak, nie robiło nic, nie uruchamiało złośliwego kodu, a więc nie dawało mechanizmowi sztucznej inteligencji podstaw do wystawienia negatywnej oceny.

Wielu ekspertów podkreśla, że obecnie sztuczna inteligencja stała się mieczem obosiecznym i wkrótce cyberprzestępcy będą ją wykorzystywać do prowadzenia jeszcze bardziej zaawansowanych ataków. Ułatwi ona tworzenie samomutujących się wirusów i oprogramowania ransomware, które będzie w stanie ominąć antywirusy, firewalle, moduły sandbox i inne rozwiązania ochronne. Cyberprzestępcy coraz szerzej będą wykorzystywać możliwości uczenia maszynowego do automatycznego tworzenia i wysyłania przekonujących wiadomości phishingowych do niepodejrzewających niczego ofiar.

Sztuczna inteligencja może być również wykorzystywana do zbierania z Internetu (mediów społecznościowych, forów wsparcia itp.) informacji o firmie będącej potencjalną ofiarą, co z kolei ułatwi prowadzenie ukierunkowanych ataków APT. Zebrane informacje (w zakresie demografii, geografii, historii przeglądania stron itd.) ułatwią łamanie haseł użytkowników w wyniku zawężenia liczby potencjalnie poprawnych haseł.

„Przyślij mi to natychmiast!”

Komu z nas nigdy nie zabiło szybciej serce na widok e-maila od szefa z pytaniem „czemu ten dokument wciąż nie jest opracowany?” albo z żądaniem natychmiastowego przesłania pliku z ważnymi danymi lub hasła do zalogowania się do jakiejś usługi? Cyberprzestępcy doskonale o tym wiedzą. Technika e-mail spoofingu, polegającego na podszywaniu się pod przełożonych, współpracowników, partnerów lub klientów, znana i wykorzystywana jest od dawna, ale ostatnio przybrała nową formę. Wcześniej bowiem wymagała od oszukującego indywidualnego zaangażowania – przeprowadzenia analizy struktury zatrudnienia w firmie, zdobycia adresów e-mail poszczególnych osób i spreparowania wiadomości, która powinna być napisana nie tylko poprawnie językowo, ale też w jakimś stopniu odnosić się do charakteru działalności danej firmy (zarówno merytorycznie, jak i wizualnie, np. zawierać stosowaną w przedsiębiorstwie stopkę).

Dziś większością tych zadań zajmuje się automat. Analizuje posiadane spamerskie bazy adresów e-mail i wyszukuje kolejne, pochodzące z tej samej domeny. Następnie zaczyna wysyłkę, tworząc różne kombinacje zestawu nadawców i odbiorców. Co więcej, jeżeli trafi na starą wersję serwera pocztowego, może nawet wysłać wiadomość z oryginalnego adresu (przez wiele lat do wysyłania wiadomości przez serwer SMTP niepotrzebne było uwierzytelnianie się). Dziś, na szczęście, taka sytuacja to już raczej rzadkość, niemniej jednak warto sprawdzić poziom zabezpieczeń serwerów pocztowych u klientów.

Oczywiście skorzystanie przez przestępców z automatycznego generowania i wysyłania tego typu wiadomości ma pewne ograniczenia. Nawet stosując sztuczną inteligencję, nadal trudno będzie wygenerować wiarygodnie wyglądającą prośbę o konkretne dane lub dokumenty, wpisującą się w kontekst działalności firmy. Ale bardzo łatwo nakłonić nieświadomego pracownika do kliknięcia w link prowadzący najczęściej do strony zawierającej złośliwy kod.

Poradzenie sobie z problemem zafałszowanych e-maili jest jednocześnie łatwe i trudne. Łatwe, bo wystarczy uczulić na nie pracowników i nauczyć weryfikacji adresu nadawcy. Trudne zaś, bo ludzkie emocje są silniejsze niż wiedza i doświadczenie, więc zawsze znajdzie się ktoś, kogo będzie łatwo zmanipulować. Pojawiają się jednak rozwiązania ochronne dla serwerów poczty i urządzeń końcowych, które wyczulone są na e-mail spoofing. Znają personalia pracowników firmy i ich adresy e-mail, więc gdy wykryją wiadomość z adresem różniącym się od oryginalnego, natychmiast wszczynają alarm.

Duży skok na kasę

Analitycy z firmy Kaspersky Lab ogłosili w maju 2019 r., że odkryli niepokojący wzrost ilości szkodliwego oprogramowania służącego do kradzieży danych uwierzytelniających oraz pieniędzy z kont bankowych. W I kwartale tego roku zidentyfikowano prawie 30 tys. unikalnych plików takiego malware’u, czyli o 18,5 tys. więcej niż w ostatnim kwartale ubiegłego roku. Narzędzia te wykorzystano łącznie do zaatakowania ponad 300 tys. użytkowników.

Do najszybciej rozwijających się, najbardziej elastycznych i najniebezpieczniejszych rodzajów szkodliwego oprogramowania należą mobilne trojany bankowe. W IV kwartale 2018 r. stanowiły 1,85 proc. wszystkich szkodliwych programów mobilnych, a w I kwartale br. już 3,24 proc. Zwykle służą do kradzieży środków bezpośrednio z kont bankowych użytkowników telefonów i tabletów, niekiedy jednak są wykorzystywane do przejęcia innych rodzajów danych uwierzytelniających. Szkodnik tego typu przypomina zazwyczaj legalną aplikację, np. bankową. Gdy ofiara próbuje z niej skorzystać, przestępcy uzyskują dostęp do jej danych.

Spośród szerokiego wachlarza rodzin mobilnych trojanów bankowych, na jakie narażeni byli użytkownicy, szczególną aktywnością w badanym okresie wyróżniała się nowa wersja szkodnika Asacub (za jej pomocą dokonano 58,4 proc. ogółu ataków z użyciem tego typu szkodliwych aplikacji). Po raz pierwszy Asacub pojawił się w 2015 r. Autorzy poświęcili dwa lata na udoskonalanie sposobu rozprzestrzeniania tego trojana. W efekcie w ubiegłym roku Asacub potrafił uderzyć nawet w 13 tys. użytkowników dziennie. Mimo że tempo jego rozprzestrzeniania się spadło od tego czasu, nadal stanowi on poważne zagrożenie: w I kwartale 2019 r. atakował średnio 8,2 tys. użytkowników dziennie.

Jak podkreślają analitycy Kaspersky Lab, gwałtowny wzrost liczby mobilnych szkodliwych programów finansowych to niepokojący sygnał, tym bardziej że cyberprzestępcy doskonalą mechanizmy ich rozprzestrzeniania. Ostatnio powszechną praktyką jest ukrywanie trojana bankowego w tzw. skorupie (dropper), która ma przeniknąć do atakowanego urządzenia niezauważalnie dla rozwiązań ochronnych i dopiero wtedy uaktywnić swoją szkodliwą funkcję.

Kopanie walut wciąż w modzie

Z analiz przeprowadzonych przez inżynierów firmy Check Point wynika, że cryptominery, czyli nielegalne narzędzia wykorzystujące moc obliczeniową cudzych komputerów do kopania kryptowalut, wciąż pozostają narzędziami najczęściej stosowanymi przez atakujących. Najpopularniejszy pozostaje Cryptoloot, choć jego udział w tego typu atakach na świecie spada i wynosi obecnie niecałe 5,5 proc. W Polsce natomiast jego aktywność utrzymuje się na niezmiennym poziomie – wykryto go w ponad 11 proc. rodzimych sieci firmowych.

Światowym numerem dwa wśród cryptominerów jest XMRig. Pracuje bezpośrednio w systemie operacyjnym urządzenia końcowego, a nie w przeglądarce internetowej, dzięki czemu łatwiej mu ukryć się przed mechanizmami ochronnymi. Może też stale pozostawać aktywny, nie tylko wtedy, gdy użytkownik korzysta z internetu. Podium zamyka JSEcoin – cryptominer, którego autorzy za środowisko pracy wybrali jednak przeglądarki internetowe. W Polsce sytuacja wygląda inaczej: na drugim miejscu uplasował się sLoad, czyli tzw. downloader infekujący komputery m.in. trojanami bankowymi. Na trzecim miejscu znajdują się keylogger i infostealer Hawkeye.

Ransomware nadal silny

Największe w skali i skutkach ataki oprogramowania szyfrującego ransomware – WannaCry i Petya – miały miejsce w 2017 r. Twórcy narzędzi ochronnych wyciągnęli z nich wiele wniosków, dzięki którym dziś już nie tak łatwo doprowadzić do tego typu ataku z wykorzystaniem niepotrzebnie otwartych portów lub niezałatanych aplikacji. Wykorzystują fakt, że zachowanie oprogramowania ransomware przebiega według tego samego schematu: w krótkim czasie zmieniana jest treść i nazwa bardzo dużej liczby plików, więc gdy takie działanie zostanie zaobserwowane, proces, który je zainicjował, może zostać natychmiast zablokowany. I choć w ostatnich miesiącach spadła liczba infekcji, nie oznacza to jednak, że ataki typu ransomware powoli przechodzą do historii. Są prowadzone obecnie z większą precyzją, a zarażenie komputera ofiary następuje najczęściej z wykorzystaniem inżynierii społecznej. Przestępcy bowiem precyzyjnie dobierają podmioty, które zostaną zaatakowane. Pod uwagę biorą chociażby to, czy firmę będzie w ogóle stać na opłacenie okupu oraz czy ze względu na ryzyko utraty reputacji będzie skłonna to zrobić.

Przełomowe przejście od sporadycznych ataków do przestępczości zorganizowanej nastąpiło w momencie pojawienia się kilku rodzin oprogramowania ransomware, w tym SamSam i GandCrab. Ta druga zapewniła sobie pozycję lidera w drugiej połowie 2018 r., kiedy osiągnęła 50 proc. udziału w swoim segmencie „rynku”. Co prawda pierwszych ofiar GandCrab dosięgnął już w styczniu, ale swoje możliwości pokazał w pełni właśnie w drugiej połowie ubiegłego roku. Domagał się wygórowanego okupu, w niektórych przypadkach sięgającego 700 tys. dol. Inne rodziny oprogramowania ransomware dominują pod względem rozległości działania i liczby infekcji, ale żadna nie przyniosła twórcom korzyści większych niż GandCrab.

DDoS wraca do łask

Rok 2018 charakteryzował się znaczącym stałym spadkiem liczby ataków DDoS, co mogło sugerować, że preferujący wcześniej tę metodę cyberprzestępcy zwrócili się w kierunku innych źródeł przychodów. Komputery zombie, które znajdują się pod kontrolą centrów command & control, zamiast do zmasowanego uderzenia mogły być wykorzystywane do nielegalnego kopania kryptowalut. Ale w I kwartale 2019 r. trend się odwrócił. Analitycy z Kaspersky Lab zauważyli, że liczba kampanii DDoS w tym okresie wzrosła o 84 proc. w porównaniu z zanotowaną w poprzednim kwartale.

Odnotowano szczególnie wyraźny wzrost liczby ataków trwających ponad godzinę. Było ich dwukrotnie więcej, a średnia długość zwiększyła się o 487 proc. Statystyki te potwierdzają hipotezę, że cyberprzestępcy wciąż rozwijają swoje techniki i z czasem potrafią przeprowadzać dłuższe, trudniejsze do zorganizowania uderzenia.

Już od kilku lat kampanie DDoS przeprowadzane są jako usługa, głównie dla klientów podejmujących nieczystą grę konkurencyjną. Zdarzały się też sytuacje, że dana firma była ofiarą długotrwałego ataku, jej giełdowa wartość spadała, a następnie (zupełnie „przypadkowo”) przejmował ją inny podmiot. Dlatego celem instytucji pilnujących porządku w cyberprzestrzeni jest wykrywanie „sklepów” z tymi usługami. Przez ostatnie miesiące wiele z nich zostało zamkniętych, ale – zgodnie z regułą, że rynek nie znosi próżni – na ich miejsce pojawiły się nowe.

Na szczęście obrona przed atakami DDoS nie należy do trudnych. Najważniejsze jest, aby usługi kluczowe dla funkcjonowania firmy, od których zależy jej reputacja, udostępniać z centrów danych dużych operatorów, którzy dysponują bardzo szerokim, redundantnym pasmem łączności internetowej, a oprócz tego inwestują w rozwiązania anty-DDoS i zatrudniają ekspertów, którzy potrafią szybko i skutecznie zareagować w przypadku problemów. Ma to szczególne znaczenie w kontekście faktu, że cyberprzestępcy będą próbowali zwiększyć siłę rażenia i albo atakować z wykorzystaniem bardzo dużej liczby komputerów zombie albo generować pakiety wysyłane do infrastruktury ofiary, których nie rozpoznają rozwiązania ochronne.