Firmy specjalizujące się w tworzeniu oprogramowania zabezpieczającego użytkowników Internetu przed cyberprzestępczością i ich pracownicy – to jeden z obszarów szczególnego zainteresowania hakerów. Wśród innych, najbardziej aktualnych trendów w cyber-zagrożeniach, specjaliści Stormshield, europejskiego lidera branży bezpieczeństwa IT, wskazują również sektor zdrowia i infrastrukturę krytyczną, które w coraz większym stopniu narażone są na ataki ransomware. Opłacalność tego typu ataków oraz fakt coraz powszechniejszej pracy zdalnej i wykorzystania narzędzi cyfrowych powodują, że cyber-zagrożeń będzie coraz więcej.

 

Twórcy rozwiązań zabezpieczających muszą mieć się na baczności

Zainteresowanie cyberprzestępców branżą bezpieczeństwa IT zaobserwowano już w latach 2019-2020. To stosunkowo nowy trend, który jest logicznym krokiem w ewolucji cyberataków. Rozwiązania z zakresu bezpieczeństwa posiadają wysokie uprawnienia i zajmują strategiczne lokalizacje w systemach informatycznych firm i instytucji. Dlatego stają się one naturalnym celem ataku przestępców, którzy poszukują luk w zabezpieczeniach oraz tworzą coraz bardziej zaawansowane wersje złośliwego oprogramowania. Zasadą działania wirusów jest uniknięcie wykrycia przez system bezpieczeństwa i rozprzestrzenianie się po infrastrukturze. Sposobem na osiągnięcie tego celu jest wyłączenie, a nawet złamanie zabezpieczeń rozwiązań mających chronić organizację.

Dostawcy rozwiązań zabezpieczających, ze względu na różnorodność swoich klientów końcowych, są istotną częścią systemu ochrony. Ich bezpieczeństwo jest jednym z kluczowych elementów w przypadku ataków na łańcuch dostaw. De facto atak na dostawcę usług IT może być przepustką do ataku na państwa czy całe sektory gospodarki – komentuje Piotr Zielaskiewicz, product manager Stormshield.

Jednym z przykładów ataku na rozwiązania zabezpieczające było włamanie do systemu informatycznego Mitsubishi. Po wejściu do infrastruktury przestępcy obrócili działanie urządzenia zabezpieczającego przeciwko organizacji. Co więcej, pozwoliło im to zlokalizować punkty wejścia, dając im wiedzę o stosowanych rozwiązaniach zabezpieczających. To know-how, które może być pomocne przy planowaniu kolejnych ataków. Dlatego w celu podniesienia bezpieczeństwa cybernetycznego, producenci oprogramowania rozwijają sposoby ochrony swoich produktów poprzez m.in. wzmocnienie oprogramowania układowego, stosowanie lepszej ochrony rozwiązań programowych i działanie zgodne z rygorystycznymi standardami bezpieczeństwa, na przykład określonymi w certyfikatach NATO RESTRICTED oraz EU RESTRICTED.

 

Szczególną formą działania skierowaną przeciwko przedsiębiorstwom wytwarzającym oprogramowanie zabezpieczające jest tworzenie fałszywych firm zajmujących się cyberbezpieczeństwem. Niedawno w Korei Północnej grupa hakerów stworzyła SecuriElite, fałszywy podmiot zajmujący się bezpieczeństwem cybernetycznym. Jej członkowie zaatakowali ekspertów ds. bezpieczeństwa zaangażowanych w badanie luk w zabezpieczeniach wykorzystując do komunikacji fałszywe konta w sieciach społecznościowych, m.in. LinkedIn i Twitter. Na stronie internetowej fałszywej firmy znajdował się klucz publiczny PGP. W przeszłości taki klucz został wykorzystany jako przynęta do zainfekowania badaczy bezpieczeństwa złośliwym oprogramowaniem – był to backdoor identyfikowany jako Manuscrypt (znany również jako FALLCHILL), używany przez grupę cyberprzestępców Lazarus.

Przykłąd SecuriElite pokazuje, że na celowniku hakerów są również specjaliści ds. cyberbezpieczeństwa, programiści, działy IT i menadżerowie. To właśnie te kategorie pracowników są obecnie szczególnie narażone na socjotechnikę w sieciach społecznościowych lub na kradzież tożsamości.

Dla atakujących ważna jest możliwość wydobycia kluczowych informacji technicznych, w tym kradzież exploitów dla luk wykrytych przez twórców oprogramowania zabezpieczającego. Służą one przestępcom do zaatakowania produktów zabezpieczających bądź do kradzieży środków finansowych. Nie zawsze wobec pracowników i menadżerów stosowane są zabezpieczenia na takim poziomie, jak w przypadku firmowej infrastruktury. W praktyce działy IT i zarządzający nimi menadżerowie mogą stać się jednym z głównych celów ataków przestępców, ponieważ obsługują lub administrują infrastrukturą i często mają podwyższone uprawnienia w zakresie dostępu do systemów informatycznych organizacji. Przykłady takie jak SecuriElite jeszcze bardziej powinny uczulić specjalistów z branży cyberbezpieczeństwa na zachowanie czujności, gdy ktoś nieznany kontaktuje się z nimi za pomocą profili w mediach społecznościowych – wyjaśnia Piotr Zielaskiewicz.

 

Wzrost skuteczności ataków phisingowych

Zjawiskiem, na które także zwracają uwagę specjaliści Stormshield, jest coraz większa skuteczność ataków phishingowych. W 2020 roku wskaźnik skutecznych prób wyłudzenia poufnych informacji wzrósł o 30 proc.

Grupy cyberprzestępcze gromadzą duże ilości danych na temat swoich celów, tak aby zapewnić maksymalny efekt swoich ataków. Hakerzy konsekwentnie skanują zasoby w sieci i poszukują nowych celów dla swoich ataków. W wyniku pandemii wywołanej koronawirusem doszła jeszcze okoliczność pracy zdalnej na nieznaną dotąd skalę. W tej sytuacji, gdy wiele osób pracuje z domu, trzeba zwrócić szczególną uwagę na kwestie bezpieczeństwa, ponieważ zaniedbania zasobów firmowych w tym zakresie mogą naprawdę drogo kosztować – przestrzega Piotr Zielaskiewicz. – Nie wszystkie firmy mają dostosowane zabezpieczenia chroniące należycie dane wrażliwe przed atakiem hakerów. W jednej z francuskich firm księgowych cyberprzestępcy włamali się do konta e-mail starszego menadżera i podszywając się pod niego zlecili przelew na 15 mln euro.

 

Sektor zdrowia i infrastruktura krytyczna

Szantaż dot. wykradanych danych wydaje się być szczególnie powszechną taktyką wymierzoną w sektor zdrowia. Wydłuża się lista szpitali, które w ostatnich miesiącach i latach padły ofiarą cyberprzestępców. Celem ataków na tę branżę jest kradzież danych, w tym przede wszystkim pacjentów, ale także patentów czy wyników badań naukowych. W tym przypadku hakerzy najczęściej korzystają z oprogramowania ransomware, żądając od placówek medycznych okupu.

 

Presja cyberprzestępców na tę kategorię instytucji rośnie. W 2020 roku, zgodnie z raportem HIMSS Cybersecurity Survey, aż 70 proc. placówek medycznych w USA doświadczyło poważnego incydentu bezpieczeństwa. Jest to praktyka coraz powszechniejsza w wielu krajach świata. Wedle francuskiego sekretarza stanu ds. transformacji cyfrowej we Francji w 2021 roku w każdym tygodniu odnotowuje się jeden poważny incydent tego typu.

Oprócz sektora zdrowia cały sektor publiczny, w tym infrastruktura krytyczna taka jak sieci wodociągowe, znajduje się w obszarze zainteresowania hakerów. Udany atak na tego typu infrastrukturę, może powodować na przykład skażenie wody pitnej i w efekcie powodować poważne konsekwencje dla zdrowia i życia ludzi.

Chociaż w ostatnich latach nie odnotowano żadnych godnych uwagi innowacji w zakresie mechaniki ataków z użyciem oprogramowania typu ransomware, to jednak ich większa częstotliwość jest niepokojąca. Na szczęście rośnie też świadomość, że kategoria tych ataków jest poważnym wyzwaniem strategicznym. Fakt ten powinien przekładać się na szersze stosowanie nowoczesnych rozwiązań zabezpieczających, na przykład Next Generation Firewall, i w efekcie na wzrost poziomu bezpieczeństwa – podsumowuje Piotr Zielaskiewicz.

źródło: informacja prasowa