Koniec roku to tradycyjnie czas refleksji - okres, w którym dokonujemy rozrachunku naszego życia, zanim zastanowimy siÄ™, co przed nami. Proponujemy naszÄ… wÅ‚asnÄ… retrospektywÄ™ kluczowych wydarzeÅ„, które uksztaÅ‚towaÅ‚y krajobraz zagrożeÅ„ w 2015 r.   

Ataki ukierunkowane i kampanie szkodliwego oprogramowania

Ataki ukierunkowane stanowiÄ… obecnie staÅ‚y element naszego krajobrazu zagrożeÅ„, dlatego zarezerwowaliÅ›my dla nich miejsce również w naszym rocznym przeglÄ…dzie. W zeszÅ‚ym roku w naszej prognozie dot. bezpieczeÅ„stwa (tekst w j. angielskim) opisaliÅ›my, jak wedÅ‚ug nas rozwinÄ… siÄ™ w przyszÅ‚oÅ›ci kampanie APT.    

• PoÅ‚Ä…czenie siÄ™ cyberprzestÄ™pczoÅ›ci i ataków APT
• Fragmentacja wiÄ™kszych ugrupowaÅ„ APT
• EwoluujÄ…ce technik szkodliwego oprogramowania
• Nowe metody wyprowadzania danych
• WyÅ›cig zbrojeÅ„ APT

Poniżej przedstawiamy główne kampanie APT, o których pisaliÅ›my w tym roku. 

Carbanak stanowiÅ‚ poÅ‚Ä…czenie cyberprzestÄ™pczoÅ›ci - w tym przypadku, kradzieży pieniÄ™dzy z instytucji finansowych - z technikami infiltracji typowymi dla ataku ukierunkowanego. Kampania ta zostaÅ‚a wykryta wiosnÄ… 2015 r.: Kaspersky Lab zostaÅ‚ poproszony o przeprowadzenie badania kryminalistycznego obejmujÄ…cego systemy banku, po tym jak niektóre z jego bankomatów zaczęły "losowo" wypÅ‚acać gotówkÄ™. OkazaÅ‚o siÄ™, że system banku zostaÅ‚ zainfekowany. Carbanak jest backdoorem, którego celem jest szpiegowanie, wyprowadzanie danych oraz zdalna kontrola zainfekowanych komputerów. Osoby atakujÄ…ce stosowaÅ‚y metody w stylu APT, wysyÅ‚ajÄ…c pracownikom banku e-maile spear-phishing. Po uzyskaniu dostÄ™pu do komputera bankowego osoby atakujÄ…ce przeprowadzaÅ‚y rekonesans w celu zidentyfikowania systemów zwiÄ…zanych z przetwarzaniem, ksiÄ™gowoÅ›ciÄ… i bankomatami, naÅ›ladujÄ…c dziaÅ‚ania rzeczywistych pracowników banku. Carbanak wykorzystywaÅ‚ trzy metody kradzieży pieniÄ™dzy: (1) wypÅ‚acanie gotówki z bankomatów, (2) przelewanie pieniÄ™dzy cyberprzestÄ™pcom przy użyciu sieci SWIFT oraz (3) tworzenie faÅ‚szywych kont i wykorzystywanie usÅ‚ug sÅ‚upów pieniężnych w celu pobrania pieniÄ™dzy. Zaatakowano okoÅ‚o 100 instytucji finansowych, przy czym Å‚Ä…czne straty wyniosÅ‚y prawie 1 miliard dolarów.       

W I kwartale 2015 r. najwiÄ™cej mówiÅ‚o siÄ™ na temat incydentów zwiÄ…zanych z ugrupowaniem cyberszpiegowskim Equation. Ugrupowanie to zainfekowaÅ‚o komputery tysiÄ™cy ofiar w Iraku, Rosji, Syrii, Afganistanie, Stanach Zjednoczonych i w innych miejscach - wÅ›ród ofiar znalazÅ‚y siÄ™ instytucje rzÄ…dowe i dyplomatyczne, firmy telekomunikacyjne oraz energetyczne. Jest to jedna z najbardziej wyrafinowanych kampanii APT, jakie dotÄ…d widzieliÅ›my: jeden z wielu opracowanych przez tÄ™ grupÄ™ modułów modyfikuje oprogramowanie ukÅ‚adowe dysków twardych - zapewniajÄ…c ukradkowość i dÅ‚ugotrwaÅ‚ość na poziomie przewyższajÄ…cym inne ataki ukierunkowane. Wiadomo, że rozwój kodu miaÅ‚ miejsce już w 2001 r. lub nawet wczeÅ›niej. Jest on również zwiÄ…zany z innymi znanymi atakami, takimi jak na przykÅ‚ad Stuxnet i Flame. Jego arsenaÅ‚ zawieraÅ‚ dwie luki zero-day, które zostaÅ‚y później wykorzystane w Stuxnecie.        

Podczas badania incydentu na Bliskim Wschodzie odkryliÅ›my aktywność nieznanej wczeÅ›niej grupy przeprowadzajÄ…cej ataki ukierunkowane. Desert Falcons to pierwsza arabskojÄ™zyczna grupa, która przeprowadzaÅ‚a operacje cyberszpiegowskie na peÅ‚nÄ… skalÄ™ - prawdopodobnie zwiÄ…zane z sytuacjÄ… politycznÄ… w tym regionie. Pierwsze Å›lady tej kampanii siÄ™gajÄ… 2011 roku. Pierwsze infekcje miaÅ‚y miejsce w 2013 r., chociaż szczyt aktywnoÅ›ci tego ugrupowania przypadÅ‚ na przeÅ‚om lat 2014/2015. Grupa ta ukradÅ‚a ponad 1 milion plików ponad 3 000 ofiarom. WÅ›ród ofiar znaleźli siÄ™ aktywiÅ›ci polityczni i liderzy, organizacje rzÄ…dowe i wojskowe, media oraz instytucje finansowe - zlokalizowane głównie w Palestynie, Egipcie, Izraelu i Jordanii. Nie ma wÄ…tpliwoÅ›ci, że czÅ‚onkowie ugrupowania Desert Falcons nie sÄ… żółtodziobami: stworzyli od zera szkodliwe oprogramowanie dla systemu Windows i Android oraz zrÄ™cznie zorganizowali ataki wykorzystujÄ…ce phishingowe wiadomoÅ›ci e-mail, faÅ‚szywe strony internetowe oraz faÅ‚szywe konta na portalach spoÅ‚ecznoÅ›ciowych.     

W marcu 2015 r. opublikowaliÅ›my raport dotyczÄ…cy Animal Farm APT, chociaż informacje dotyczÄ…ce narzÄ™dzi wykorzystywanych w tej kampanii zaczęły siÄ™ pojawiać już w poprzednim roku. W marcu 2014 r. francuska gazeta Le Monde opublikowaÅ‚a artykuÅ‚ dotyczÄ…cy zestawu narzÄ™dzi cyberszpiegowskich zidentyfikowanego przez Communications Security Establishment Canada (CSEC): narzÄ™dzia te byÅ‚y wykorzystywane w operacji "Snowglobe", której celem byÅ‚y francuskojÄ™zyczne media w Kanadzie jak również Grecji, Francji, Norwegii oraz niektórych paÅ„stwach afrykaÅ„skich. CSEC uważaÅ‚, że operacja ta mogÅ‚a zostać zainicjowana przez francuskie agencje wywiadowcze. Rok później badacze bezpieczeÅ„stwa opublikowali analizy (tutaj, tutaj i tutaj) dotyczÄ…ce szkodliwych programów, które miaÅ‚y wiele wspólnego z operacjÄ… "Snowglobe": w szczególnoÅ›ci, badanie obejmowaÅ‚o próbki o wewnÄ™trznej nazwie "Babar" - nazwie programu wspominanego przez CSEC. Po analizie szkodliwych programów oraz powiÄ…zaÅ„ miÄ™dzy nimi Kaspersky Lab nazwaÅ‚ stojÄ…cÄ… za tymi atakami grupÄ™ Animal Farm. Jej arsenaÅ‚ zawieraÅ‚ dwie spoÅ›ród trzech luk zero-day, które zidentyfikowaliÅ›my w 2014 r. a które byÅ‚y wykorzystywane przez cyberprzestÄ™pców: np. atak ze skompromitowanej strony Syryjskiego Ministerstwa SprawiedliwoÅ›ci wykorzystujÄ…cy exploity CVE-2014-0515 powodowaÅ‚ pobieranie narzÄ™dzia Animal Farm o nazwie "Casper". JednÄ… z ciekawszych cech tej kampanii jest to, że jeden z jej programów, "NBOT", zostaÅ‚ stworzony w celu przeprowadzania ataków DDoS (Distributed Denial of Service). Jest to rzadkość w przypadku grup APT. Jedno ze szkodliwych "zwierzÄ…t" na tej farmie posiada nietypowÄ… nazwÄ™ "Tafacalou" - która stanowi prawdopodobnie oksytaÅ„skie sÅ‚owo (w jÄ™zyku używanym we Francji i kilku innych miejscach).    

W kwietniu 2015 r. informowaliÅ›my o pojawieniu siÄ™ nowego czÅ‚onka rozrastajÄ…cej siÄ™ rodziny "Duke", która już teraz zawiera takie programy jak: MiniDuke, CosmicDuke oraz OnionDuke. Ugrupowanie APT CozyDuke (znane również jako "CozyBear", "CozyCat" czy "Office Monkeys") atakuje organizacje rzÄ…dowe oraz firmy w Stanach Zjednoczonych, Niemczech, Korei PoÅ‚udniowej oraz Uzbekistanie. W ataku wykorzystano wiele wyrafinowanych technik, w tym szyfrowanie, zapobieganie wykrywaniu oraz dobrze rozwiniÄ™ty zestaw komponentów, które strukturalnie przypominajÄ… wczeÅ›niejsze zagrożenia z rodziny "Duke". Jednak jednÄ… z jego najbardziej istotnych cech jest wykorzystywanie socjotechniki. Niektóre z e-maili typu spear-phishing zawierajÄ… odsyÅ‚acz do zhakowanych stron internetowych - Å‚Ä…cznie z tymi znanymi, legalnymi - które hostujÄ… archiwum ZIP. Archiwum to zawiera program RAR SFX, który instaluje szkodliwe oprogramowanie, pokazujÄ…c jako przynÄ™tÄ™ pusty PDF. Inne podejÅ›cie polega na rozsyÅ‚aniu w zaÅ‚Ä…cznikach e-mail faÅ‚szywych filmików flash. Dobrym przykÅ‚adem (od którego pochodzi jedna z nazw szkodnika) jest "OfficeMonkeys LOL Video.zip". Po uruchomieniu umieszcza on na komputerze plik wykonywalny CozyDuke, odtwarzajÄ…c Å›mieszny "film" pokazujÄ…cy maÅ‚py pracujÄ…ce w biurze. ZachÄ™ca to ofiary do rozesÅ‚ania filmiku po caÅ‚ym biurze, co zwiÄ™ksza liczbÄ™ zainfekowanych komputerów. Skuteczne wykorzystywanie socjotechniki w celu nakÅ‚onienia ofiary, aby zrobiÅ‚a coÅ›, co zagraża bezpieczeÅ„stwu korporacyjnemu - miÄ™dzy innymi przez ugrupowanie CozyDuke i wielu innych cyberprzestÄ™pców stosujÄ…cych ataki ukierunkowane - zwraca uwagÄ™ na potrzebÄ™ wÅ‚Ä…czenia edukacji personelu do każdej firmowej strategii bezpieczeÅ„stwa jako podstawowego elementu.          

Ugrupowanie Naikon APT skoncentrowaÅ‚o siÄ™ na wrażliwych celach w Azji poÅ‚udniowo-wschodniej oraz w regionie wokół Morza PoÅ‚udniowochiÅ„skiego. Osoby atakujÄ…ce, które wydajÄ… siÄ™ być chiÅ„skojÄ™zyczne i sÄ… aktywne od co najmniej piÄ™ciu lat, biorÄ… na celownik agencje rzÄ…dowe najwyższego szczebla oraz organizacje cywilne i wojskowe na Filipinach, w Malezji, Kambodży, Indonezji, Wietnamie, Birmie, Singapurze, Nepalu, Tajlandii, Laosie oraz Chinach. Jak w przypadku wielu kampanii ataków ukierunkowanych, Naikon wykorzystuje w szerokim zakresie socjotechnikÄ™, aby nakÅ‚onić pracowników atakowanych organizacji do zainstalowania szkodliwego oprogramowania. Głównym moduÅ‚em jest narzÄ™dzie zdalnej administracji, które obsÅ‚uguje 48 poleceÅ„ sprawowania kontroli nad zainfekowanymi komputerami: obejmujÄ… one polecenia przeprowadzenia peÅ‚nej inwentaryzacji, pobrania i zrzucenia danych, zainstalowania modułów dodatkowych oraz wykorzystania keyloggerów w celu uzyskania danych uwierzytelniajÄ…cych pracowników. Osoby atakujÄ…ce przypisaÅ‚y do każdego atakowanego paÅ„stwa operatora, który potrafi wykorzystywać specyfikÄ™ lokalnÄ… - np. tendencjÄ™ do wykorzystywania prywatnych kont e-mail do celów zwiÄ…zanych z pracÄ…. Ugrupowanie to wykorzystuje również okreÅ›lony serwer proxy w granicach danego paÅ„stwa w celu zarzÄ…dzania poÅ‚Ä…czeniami z zainfekowanymi komputerami oraz przesyÅ‚ania danych do serwerów kontroli (C2) osób atakujÄ…cych. Na naszej stronie znajduje siÄ™ główny raport oraz raport uzupeÅ‚niajÄ…cy na ten temat.        

Podczas badania ugrupowania Naikon odkryliÅ›my również dziaÅ‚ania grupy APT Hellsing. Grupa ta koncentrowaÅ‚a siÄ™ głównie na organizacjach rzÄ…dowych i dyplomatycznych w Azji: wiÄ™kszość ofiar jest zlokalizowanych w Malezji i na Filipinach, chociaż zidentyfikowaliÅ›my je również w Indiach, Indonezji oraz Stanach Zjednoczonych. Hellsing to w rzeczywistoÅ›ci niewielkie ugrupowanie, które nie wyróżnia siÄ™ niczym szczególnym pod wzglÄ™dem technicznym (okoÅ‚o 20 organizacji znalazÅ‚o siÄ™ na celowniku tej grupy). InteresujÄ…ce jest to, że ugrupowanie to staÅ‚o siÄ™ celem ataku typu spear-phishing przeprowadzonego przez grupÄ™ APT Naikon - i postanowiÅ‚o wziąć odwet! Odbiorca takiego e-maila zakwestionowaÅ‚ jego autentyczność u nadawcy. OtrzymaÅ‚ nastÄ™pnie odpowiedź od osoby atakujÄ…cej, ale nie otworzyÅ‚ zaÅ‚Ä…cznika. Zamiast tego wysÅ‚aÅ‚ do atakujÄ…cych e-mail, który zawieraÅ‚ ich wÅ‚asne szkodliwe oprogramowanie. Nie ulega wÄ…tpliwoÅ›ci, że zorientowawszy siÄ™, że jest celem ataku, grupa Hellsing zamierzaÅ‚a zidentyfikować osoby atakujÄ…ce i zebrać dane dotyczÄ…ce ich aktywnoÅ›ci. WczeÅ›niej zsarzaÅ‚o siÄ™ już, że grupy APT niechcÄ…cy nadepnęły sobie na palce - np. kradnÄ…c książki adresów swoich ofiar, a nastÄ™pnie wysyÅ‚ajÄ…c do każdej osoby z takich list wiadomoÅ›ci masowe. Jednak atak ugrupowania APT na ugrupowanie APT jest czymÅ› nietypowym.      

Wiele kampanii ataków ukierunkowanych koncentruje siÄ™ na dużych przedsiÄ™biorstwach, agencjach rzÄ…dowych oraz innych znanych organizacjach. Nietrudno zatem odnieść wrażenie na podstawie przeczytanych nagłówków, że organizacje te sÄ… jedynymi, które znajdujÄ… siÄ™ na celowniku osób stosujÄ…cych ataki ukierunkowane. Jednak jedna z kampanii, jakÄ… zarejestrowaliÅ›my w zeszÅ‚ym kwartale, udowodniÅ‚a, że cyberprzestÄ™pcy interesujÄ… siÄ™ nie tylko "grubymi rybami". Celem kampanii cyberszpiegowskiej Grabit byÅ‚a kradzież danych z maÅ‚ych i Å›rednich organizacji - znajdujÄ…cych siÄ™ głównie z Tajlandii, Wietnamie oraz Indiach - aczkolwiek ofiary zidentyfikowaliÅ›my również w Stanach Zjednoczonych, Zjednoczonych Emiratach Arabskich, Turcji, Rosji, Chinach, Niemczech oraz innych paÅ„stwach. Atakowany byÅ‚ sektor chemiczny, nanotechnologiczny, edukacyjny, rolniczy, mediów oraz budowniczy. Szacujemy, że stojÄ…ca za tymi atakami grupa zdoÅ‚aÅ‚a ukraść okoÅ‚o 10 000 plików. Nie ma wÄ…tpliwoÅ›ci, że każda firma stanowi potencjalny cel - ze wzglÄ™du na swoje zasoby lub poÅ›rednio, w celu przenikniÄ™cia do innej organizacji.   

WiosnÄ… 2015 r. podczas badania bezpieczeÅ„stwa Kaspersky Lab wykryÅ‚ cyberwÅ‚amanie do kilku swoich wewnÄ™trznych systemów. W wyniku peÅ‚nego Å›ledztwa, które nastÄ…piÅ‚o, wykryto nowÄ… platformÄ™ szkodliwego oprogramowania stworzonÄ… przez jedno z najzdolniejszych, najbardziej tajemniczych i potężnych ugrupowaÅ„ w Å›wiecie APT, Duqu, okreÅ›lane niekiedy jako brat przyrodni Stuxneta. NazwaliÅ›my tÄ™ nowÄ… platformÄ™ "Duqu 2.0". W ataku na Kaspersky Lab wykorzystano lukÄ™ "zero-day" w jÄ…drze Windowsa (zaÅ‚atanÄ… przez Microsoft 9 czerwca 2015 r.) oraz prawdopodobnie dwie inne (zaÅ‚atane już) dziury, które w tym czasie również stanowiÅ‚y luki "zero-day". Głównym celem osób atakujÄ…cych byÅ‚o szpiegowanie technologii firmy Kaspersky Lab, jej bieżących badaÅ„ i procesów wewnÄ™trznych. Jednak Kaspersky Lab nie byÅ‚ jedynym celem. Niektóre infekcje Duqu 2.0 miaÅ‚y zwiÄ…zek z wydarzeniami P5+1 dotyczÄ…cymi negocjacji z Irakiem odnoÅ›nie umowy nuklearnej: wyglÄ…da na to, że osoby atakujÄ…ce przeprowadziÅ‚y ataki w miejscach, w których odbywaÅ‚y siÄ™ niektóre z tych rozmów na wysokim szczeblu. Ponadto, ugrupowanie przeprowadziÅ‚o podobny atak w zwiÄ…zku z obchodami 70-lecia wyzwolenia obozu Auschwitz-Birkenau. JednÄ… z najistotniejszych cech Duqu 2.0 byÅ‚ brak aspektu "dÅ‚ugotrwaÅ‚oÅ›ci", co spowodowaÅ‚o niemal caÅ‚kowity brak Å›ladów pozostawionych w systemie. Szkodnik ten nie dokonaÅ‚ żadnych zmian na dysku czy w ustawieniach systemu: platforma szkodliwego oprogramowania zostaÅ‚a zaprojektowana w taki sposób, aby przetrwaÅ‚a niemal wyÅ‚Ä…cznie w pamiÄ™ci zainfekowanych systemów. To sugeruje, że osoby atakujÄ…ce byÅ‚y przekonane, że mogÄ… utrzymać swojÄ… obecność w systemie nawet w przypadku ponownego uruchomienia systemu ofiary oraz usuniÄ™cia szkodnika z pamiÄ™ci. Na naszej stronie można znaleźć artykuÅ‚ techniczny dotyczÄ…cy Duqu 2.0 oraz analizÄ™ moduÅ‚u dÅ‚ugotrwaÅ‚oÅ›ci.           

W sierpniu informowaliśmy o kampanii APT Blue Termite, której celem była kradzież informacji z organizacji w Japonii. Obejmowały one agencje rządowe, instytucje samorządowe, grupy interesu publicznego, uniwersytety, banki, serwisy finansowe, firmy z branży energetycznej, komunikacyjnej, przemysłu ciężkiego, chemicznego, motoryzacyjnego, elektrycznego, informacyjnego, nieruchomości, spożywczego, półprzewodników, robotyki, budownictwa, ubezpieczeń, służby zdrowia, transport i innych. Jednym z istotniejszych celów był japoński fundusz emerytalny. Szkodliwe oprogramowanie było dostosowane do określonej ofiary. Backdoor Blue Termite przechowuje dane dotyczące siebie - w tym: C2, nazwa API, ciągi do anty-analizy, wartości muteksów jak również sumę kontrolną MD5 poleceń backdoora oraz wewnętrzne informacje dotyczące proxy. Dane te są przechowywane w postaci zaszyfrowanej, utrudniając analizę szkodliwego oprogramowania - dla każdej próbki wymagany jest unikatowy klucz deszyfrowania. Główną metodą infekcji, jak w przypadku wielu kampanii ataków ukierunkowanych, są e-maile typu spear-phishing. Stosowane były również inne metody infekcji. Obejmują one drive-by downloads przy użyciu exploita Flash (CVE-2015-5119) - w ten sposób skompromitowanych zostało kilka japońskich stron internetowych. Zidentyfikowaliśmy również kilka ataków przy wodopoju (watering-hole), w tym jeden przeprowadzony na strony internetowe należące do znanego członka rządu japońskiego.

Ugrupowanie stojÄ…ce za kampaniÄ… cyberszpiegowskÄ… Turla dziaÅ‚a od ponad oÅ›miu lat, infekujÄ…c setki komputerów w ponad 45 krajach. Osoby atakujÄ…ce profilujÄ… swoje ofiary przy użyciu ataków przy wodopoju w poczÄ…tkowej fazie. Jednak w późniejszych operacjach ugrupowanie to wykorzystuje komunikacjÄ™ satelitarnÄ… w celu zarzÄ…dzania swoim ruchem C2. Metoda wykorzystywana przez Turla w celu przechwytywania poÅ‚Ä…czeÅ„ satelitarnych do klienta (downstream) nie wymaga ważnego abonamentu na internet satelitarny. GłównÄ… zaletÄ… jest anonimowość - zidentyfikowanie osób atakujÄ…cych jest bardzo trudne. Odbiorniki satelitarne mogÄ… być zlokalizowane w dowolnym miejscu w obszarze zasiÄ™gu satelity (zwykle jest to spory obszar), nie można również Å‚atwo zidentyfikować prawdziwej lokalizacji sprzÄ™tu serwera C2 ani przechwycić go fizycznie. Opcja ta jest również taÅ„sza niż zakup Å‚Ä…cza satelitarnego i Å‚atwiejsza niż przechwytywanie ruchu pomiÄ™dzy ofiarÄ… a operatorem satelity i wstrzykiwanie pakietów. Ugrupowanie Turla koncentruje siÄ™ na dostawcach internetu satelitarnego zlokalizowanych na Bliskim Wschodzie i w Afryce, w tym w Kongo, Libanie, Libii, Nigerii, Somalii oraz Zjednoczonych Emiratach Arabskich. Emisje satelitarne z tych paÅ„stw zwykle nie obejmujÄ… Europy oraz paÅ„stw Ameryki Północnej, co znacznie utrudnia badaczom bezpieczeÅ„stwa analizowanie takich ataków. Wykorzystanie Å‚Ä…czy internetowych opartych na satelicie jest interesujÄ…cym zjawiskiem. Porywanie komunikacji downstream jest tanie (okoÅ‚o 1 000 dolarów inwestycji poczÄ…tkowej i okoÅ‚o 1 000 dolarów rocznie za utrzymanie), Å‚atwe do przeprowadzenia i oferuje wysoki stopieÅ„ anonimowoÅ›ci. Z drugiej strony, nie zawsze jest tak niezawodne jak tradycyjne metody (hosting bullet-proof, wiele poziomów proxy oraz zhakowane strony internetowe) - które również znajdujÄ… siÄ™ w arsenale tego ugrupowania. To zmniejsza prawdopodobieÅ„stwo wykorzystywania go do utrzymywania dużych botnetów. Niezależnie od tego, jeżeli metoda ta stanie siÄ™ popularna wÅ›ród ugrupowaÅ„ APT lub cyberprzestÄ™pców, bÄ™dzie stanowić poważny problem dla branży bezpieczeÅ„stwa IT oraz organów Å›cigania.         

W sierpniu 2015 r. opublikowaliśmy uaktualnione informacje na temat Darkhotel APT. Ataki te charakteryzowały się wykorzystywaniem skradzionych certyfikatów do szkodliwych celów, instalacją plików HTA przy użyciu wielu metod oraz infiltracją hotelowej sieci Wi-Fi w celu wprowadzenia backdoorów do atakowanych komputerów. Osoby atakujące stojące za tę kampanią APT wprawdzie nadal stosują te metody, jednak uzupełniły swój arsenał, kierując w większym stopniu swoją uwagę ku atakom spear-phishing na wybrane ofiary. Oprócz wykorzystywania plików HTA stosują również zainfekowane pliki RAR, wykorzystując mechanizm RTLO (right to left override) w celu zamaskowania prawdziwego rozszerzenia pliku. Atakujący wykorzystują również exploity Flash, łącznie z exploitem zero-day, który wyciekł na skutek incydentu naruszenia bezpieczeństwa związanego z Hacking Team. Grupa ta rozszerzyła również swój zasięg geograficzny i wśród jej ofiar znalazły się również osoby z Korei Północnej, Rosji, Korei Południowej, Japonii, Bangladeszu, Tajlandii, Indii, Mozambiku oraz Niemiec.

Naruszenie bezpieczeństwa danych

Bieżący rok obfitowaÅ‚ w incydenty naruszenia bezpieczeÅ„stwa. To, że incydenty te znajdujÄ… siÄ™ na porzÄ…dku dziennym, nie powinno dziwić: informacje osobiste stanowiÄ… cenny towar - nie tylko dla legalnych firm, ale również dla cyberprzestÄ™pców. Do najwiÄ™kszych incydentów tego roku można zaliczyć ataki na Anthem, LastPass, Hacking Team, amerykaÅ„ski Office of Personnel Management, Ashley Madison, Carphone Warehouse, Experian oraz TalkTalk. Efektem niektórych z tych ataków byÅ‚a kradzież ogromnych iloÅ›ci danych, co Å›wiadczy o tym, że wiele firm nie podejmuje odpowiednich dziaÅ‚aÅ„ w celu zabezpieczenia siÄ™. Trzeba pamiÄ™tać, że nie jest to jedynie kwestia ochrony granic sieci firmowej. Nie istnieje coÅ› takiego jak 100 procentowe bezpieczeÅ„stwo, dlatego nie można zagwarantować, że nikt nie wÅ‚amie siÄ™ do systemu, szczególnie gdy ktoÅ› wewnÄ…trz zostanie nakÅ‚oniony do zrobienia czegoÅ›, co zagrozi bezpieczeÅ„stwu korporacyjnemu. Jednak każda organizacja, która przechowuje dane osobiste, ma obowiÄ…zek zadbać o skuteczne ich zabezpieczenie. Obejmuje to zabezpieczanie haseÅ‚ klientów przy użyciu hashowania i techniki salt jak również szyfrowanie innych poufnych danych.      

Z drugiej strony, klienci mogÄ… ograniczyć szkody powstaÅ‚e w wyniku incydentu naruszenia bezpieczeÅ„stwa dostawcy online poprzez wybór niepowtarzalnych i zÅ‚ożonych haseÅ‚: idealne hasÅ‚o ma co najmniej 15 znaków i stanowi poÅ‚Ä…czenie liter, liczb oraz symboli z caÅ‚ej klawiatury. Jako alternatywÄ™ można również wykorzystać aplikacjÄ™ menadżera haseÅ‚, która bÄ™dzie wpisywaÅ‚a hasÅ‚a automatycznie. 

Problem haseÅ‚ pojawia siÄ™ co jakiÅ› czas. JeÅ›li wybierzemy hasÅ‚o, które można zbyt Å‚atwo odgadnąć, narazimy siÄ™ na kradzież tożsamoÅ›ci. Problem wzrasta, jeÅ›li wykorzystujemy to samo hasÅ‚o do różnych kont online - jeÅ›li jedno konto zostanie zÅ‚amane, zagrożone bÄ™dÄ… wszystkie! Z tego powodu wielu dostawców, w tym Apple, Google oraz Microsoft, oferuje obecnie uwierzytelnienie dwuskÅ‚adnikowe - tj. wymaga od klientów, aby podali kod wygenerowany przez token sprzÄ™towy lub przesÅ‚any na urzÄ…dzenie mobilne w celu uzyskania dostÄ™pu do strony lub dokonania zmian w ustawieniach konta. Uwierzytelnienie dwuskÅ‚adnikowe z pewnoÅ›ciÄ… zwiÄ™ksza bezpieczeÅ„stwo - ale tylko wtedy, gdy jest to wymóg a nie jedynie opcja.   

Kradzież danych osobistych może mieć poważne konsekwencje dla ofiar kradzieży. Czasami jednak mogÄ… wystÄ…pić poważne skutki poÅ›rednie. W wyniku incydentu zwiÄ…zanego z Hacking Team opublikowano 400GB danych: obejmowaÅ‚y one exploity wykorzystane przez wÅ‚oskÄ… firmÄ™ w swoim oprogramowaniu inwigilacyjnym. Niektóre z exploitów byÅ‚y wykorzystywane w atakach APT - Darkhotel i Blue Termite. Po incydencie usiÅ‚owano zaÅ‚atać luki w zabezpieczeniach ujawnione przez osoby atakujÄ…ce.    

Inteligentne (ale niekoniecznie bezpieczne) urzÄ…dzenia

Internet przeniknÄ…Å‚ do naszego życia - dosÅ‚ownie, i to w przypadku coraz wiÄ™kszej liczby przedmiotów dnia codziennego wykorzystywanych we współczesnym domu: telewizorów smart TV, inteligentnych liczników, elektronicznych nianiek, czajników itd. Czytelnicy być może pamiÄ™tajÄ…, że w zeszÅ‚ym roku jeden z naszych badaczy bezpieczeÅ„stwa zbadaÅ‚ wÅ‚asny dom, aby sprawdzić, czy naprawdÄ™ jest bezpieczny pod wzglÄ™dem cybernetycznym. Kontynuacja tego badania znajduje siÄ™ w tym miejscu. Trzeba tu podkreÅ›lić, że "Internet Rzeczy" obejmuje coÅ› wiÄ™cej niż tylko urzÄ…dzenia gospodarstwa domowego.  

Od kilku lat badacze analizujÄ… potencjalne zagrożenia bezpieczeÅ„stwa zwiÄ…zane z samochodami z dostÄ™pem do sieci. W lipcu 2014 r. Kaspersky Lab oraz IAB opublikowali badanie, w którym przyjrzeli siÄ™ potencjalnym obszarom problematycznym takich pojazdów. Do tego roku skupiano siÄ™ na uzyskaniu dostÄ™pu do systemów samochodowych przy użyciu poÅ‚Ä…czenia fizycznego z pojazdem. Sytuacja zmieniÅ‚a siÄ™, gdy badacze Charlie Miller oraz Chris Valasek znaleźli sposób na uzyskanie dostÄ™pu bezprzewodowego do krytycznych systemów jeepa Cherokee - skutecznie przejmujÄ…c kontrolÄ™ nad pojazdem i sprowadzajÄ…c go na pobocze drogi (Można przeczytać o tym tutaj).  

Historia ta zwraca uwagÄ™ na niektóre z problemów dotyczÄ…cych urzÄ…dzeÅ„ podÅ‚Ä…czonych do sieci, nie tylko z branży motoryzacyjnej - każdego urzÄ…dzenia podÅ‚Ä…czonego do sieci. Niestety, funkcje bezpieczeÅ„stwa sprzedaje siÄ™ trudno; na konkurencyjnym rynku pierwszeÅ„stwo majÄ… zwykle przedmioty, które uÅ‚atwiajÄ… życie klientom. Ponadto, Å‚Ä…czność jest czÄ™sto dodawana do istniejÄ…cej już sieci komunikacyjnej, która nie zostaÅ‚a stworzona z myÅ›lÄ… o bezpieczeÅ„stwie. Historia pokazuje, że ochrona zostaje zwykle rozszerzona dopiero wtedy, gdy zdarzy siÄ™ coÅ› zÅ‚ego. WiÄ™cej na ten temat można przeczytać w poÅ›cie napisanym przez Jewgienija Kasperskiego, opublikowanym po wspomnianym wczeÅ›niej badaniu.      

Takie problemy odnoszÄ… siÄ™ również do inteligentnych miast (smart cities). W ciÄ…gu ostatnich lat zwiÄ™kszyÅ‚o siÄ™ znacznie wykorzystanie systemów kamer przemysÅ‚owych (CCTV) przez rzÄ…dy oraz organy Å›cigania w celu monitorowania miejsc publicznych. Wiele kamer przemysÅ‚owych jest podÅ‚Ä…czonych bezprzewodowo do internetu, dziÄ™ki czemu policja może je zdalnie monitorować. Nie zawsze jednak sÄ… one bezpieczne: cyberprzestÄ™pcy mogÄ… biernie monitorować nagrania z kamer bezpieczeÅ„stwa, wstrzykiwać kod do sieci - zastÄ™pujÄ…c tym samym film z kamery faÅ‚szywym - lub odÅ‚Ä…czyć systemy od sieci. Dwóch badaczy bezpieczeÅ„stwa (Vasilios Hioureas z Kaspersky Lab oraz Thomas Kinsey z Exigent Systems) przeprowadziÅ‚o niedawno badanie potencjalnych sÅ‚abych punktów w bezpieczeÅ„stwie systemów kamer przemysÅ‚owych w jednym z miast (Na naszej stronie internetowej można przeczytać raport Vasiliosa). 

Niestety, nie zamaskowano kamer, dlatego bez trudu można byÅ‚o ustalić marki i modele wykorzystywanego sprzÄ™tu, zbadać odpowiednie specyfikacje i stworzyć wÅ‚asny model w laboratorium. Wykorzystywany sprzÄ™t zapewniaÅ‚ skuteczne kontrole bezpieczeÅ„stwa, które nie byÅ‚y jednak implementowane. Pakiety danych przekazywane w sieci typu mesh nie byÅ‚y zaszyfrowane, w zwiÄ…zku z czym osoba atakujÄ…ca mogÅ‚aby stworzyć wÅ‚asnÄ… wersjÄ™ oprogramowania i manipulować przepÅ‚ywajÄ…cymi przez nie danymi. Jednym ze sposobów możliwego wykorzystania tego przez osoby atakujÄ…ce byÅ‚oby spreparowanie materiałów wysyÅ‚anych na posterunek policji, sugerujÄ…c, że w jednym miejscu doszÅ‚o do incydentu, aby w ten sposób odciÄ…gnąć uwagÄ™ policji od prawdziwego ataku, który miaÅ‚ miejsce gdzieÅ› indziej.   

Badacze zgÅ‚osili te problemy osobom nadzorujÄ…cym system monitoringu miasta, którzy usuwajÄ… obecnie problem bezpieczeÅ„stwa. Istotne znaczenie ma zaimplementowanie w takich sieciach szyfrowania WPA, chronionego mocnym hasÅ‚em, usuniÄ™cie ze sprzÄ™tu etykietek, aby utrudnić potencjalnym atakujÄ…cym poznanie, jak dziaÅ‚a sprzÄ™t oraz zaszyfrowanie materiałów filmowych wysyÅ‚anych przez sieć. 

Szerszy problem polega tutaj na tym, że coraz wiÄ™cej aspektów życia codziennego ulega cyfryzacji: jeÅ›li już na etapie projektowania nie uwzglÄ™dni siÄ™ bezpieczeÅ„stwa, potencjalne zagrożenia mogÄ… być dalekosiężne - "zmodernizowanie" ochrony może nie być prostÄ… sprawÄ…. Inicjatywa Securing Smart Cities wspierana przez Kaspersky Lab, ma przyczynic siÄ™ do tego, aby ci, którzy sÄ… odpowiedzialni za rozwój inteligentnych miast, mieli na wzglÄ™dzie cyberbezpieczeÅ„stwo.    

Współpraca międzynarodowa w celu zwalczania cyberprzestępców

CyberprzestÄ™pczość na dobre zagoÅ›ciÅ‚a już na Å›wiecie, wykorzystujÄ…c nasze coraz wiÄ™ksze uzależnienie od sieci. Znajduje to odbicie w oficjalnych statystykach. W Wielkiej Brytanii, na przykÅ‚ad, UrzÄ…d statystyk narodowych uwzglÄ™dnia cyberprzestÄ™pczość w swoich szacunkach skali przestÄ™pczoÅ›ci, co odzwierciedla zmianÄ™ charakteru przestÄ™pczoÅ›ci w spoÅ‚eczeÅ„stwie. Nie ma wÄ…tpliwoÅ›ci, że cyberprzestÄ™pczość może być dochodowym biznesem, jednak cyberprzestÄ™pcy nie zawsze mogÄ… dziaÅ‚ać bezkarnie, a dziaÅ‚ania organów Å›cigania na caÅ‚ym Å›wiecie mogÄ… odegrać tu dużą rolÄ™.  BiorÄ…c pod uwagÄ™ globalny charakter cyberprzestÄ™pczoÅ›ci szczególne znaczenie ma współpraca miÄ™dzynarodowa. W tym roku policja przeprowadziÅ‚a kilka istotnych operacji.    

W kwietniu Kaspersky Lab braÅ‚ udziaÅ‚ w operacji rozbicia botnetu Simda (tekst w j. ang.), koordynowanej przez Interpol Global Complex for Innovation. Dochodzenie zostaÅ‚o zapoczÄ…tkowane przez Microsoft i rozszerzone na innych uczestników, w tym Trend Micro, the Cyber Defense Institute, oficerów z Holenderskiej krajowej jednostki do zwalczania przestÄ™pczoÅ›ci z wykorzystaniem zaawansowanych technologii (NHTCU), FBI, the Police Grand-Ducale Section Nouvelles Technologies w Luxemburgu oraz Departament ds. cyberprzestÄ™pczoÅ›ci "K" Rosyjskiego Ministerstwa Spraw WewnÄ™trznych, wspierany przez krajowe biuro Interpolu w Moskwie.     

We wrzeÅ›niu policja holenderska aresztowaÅ‚a dwóch mężczyzn podejrzanych o udziaÅ‚ w atakach z wykorzystaniem oprogramowania ransomware CoinVault w wyniku wspólnych dziaÅ‚aÅ„ firm Kaspersky Lab, Panda Security oraz Holenderskiej jednostki ds. zwalczania przestÄ™pczoÅ›ci z wykorzystaniem zaawansowanych technologii (ang. NHTCU). Ta kampania szkodliwego oprogramowania zostaÅ‚a zapoczÄ…tkowana w maju 2014 r. i trwa do bieżącego roku, a jej ofiary znajdujÄ… siÄ™ ponad 20 paÅ„stwach, głównie w Holandii, Niemczech, Stanach Zjednoczonych, Francji oraz Wielkiej Brytanii. CyberprzestÄ™pcom udaÅ‚o siÄ™ zaszyfrować pliki na ponad 1 500 komputerach z systemem Windows, żądajÄ…c zapÅ‚aty w bitcoinach w zamian za odszyfrowanie danych. Osoby odpowiedzialne za tÄ™ kampaniÄ™ ransomware kilkakrotnie zmodyfikowaÅ‚y swoje szkodniki, aby móc atakować nowe ofiary. W listopadzie 2014 r. Kaspersky Lab i holenderska jednostka NHTCU stworzyli stronÄ™ internetowÄ… peÅ‚niÄ…cÄ… funkcjÄ™ repozytorium kluczy deszyfrowania; ze swojej strony udostÄ™pniliÅ›my również online narzÄ™dzie deszyfrowania, aby pomóc ofiarom w odzyskaniu swoich danych bez koniecznoÅ›ci zapÅ‚acenia okupu. Nasza analiza sztuczek stosowanych przez CoinVault jest dostÄ™pna w tym miejscu. Ransomware staÅ‚ siÄ™ istotnym staÅ‚ym elementem krajobrazu zagrożeÅ„. O ile przypadek ten pokazuje, że współpraca miÄ™dzy badaczami oraz organami Å›cigania może dać pozytywne wyniki, ważne jest, aby zarówno klienci indywidualni jak i firmy podejmowaÅ‚y dziaÅ‚ania w celu Å‚agodzenia ryzyka zwiÄ…zanego z tego rodzaju szkodliwym oprogramowaniem. Warunkiem powodzenia operacji wykorzystujÄ…cych ransomware jest zapÅ‚acenie okupu przez ofiarÄ™. We wrzeÅ›niu agent FBI wywoÅ‚aÅ‚ kontrowersje sugerujÄ…c, że ofiary powinny zapÅ‚acić okup w celu otrzymania swoich danych. RozwiÄ…zanie to, jakkolwiek wydaje siÄ™ pragmatyczne (chociażby z tego wzglÄ™du, że w niektórych sytuacjach odzyskanie danych nie jest możliwe), stanowi niebezpiecznÄ… strategiÄ™. Po pierwsze, nie ma gwarancji, że cyberprzestÄ™pcy dostarczÄ… niezbÄ™dny mechanizm w celu odszyfrowania danych. Po drugie, takie dziaÅ‚anie wzmocni ich model biznesowy i zwiÄ™kszy prawdopodobieÅ„stwo dalszego rozwoju oprogramowania ransomware. Zarówno firmom jak i użytkownikom indywidualnym zalecamy wykonywanie regularnych kopii zapasowych swoich danych, aby nie znaleźć siÄ™ w tak niewdziÄ™cznym poÅ‚ożeniu.         

Ataki na obiekty przemysłowe

Incydenty spowodowane problemami dotyczÄ…cymi cyberbezpieczeÅ„stwa dość czÄ™sto wystÄ™pujÄ… w obiektach przemysÅ‚owych. Na przykÅ‚ad, wedÅ‚ug danych US ICS CERT, w 2014 roku fiskalnym w Stanach Zjednoczonych odnotowano 245 takich incydentów oraz 22 incydenty w lipcu i sierpniu 2015. Uważamy jednak, że liczby te nie odzwierciedlajÄ… rzeczywistoÅ›ci: cyberincydentów jest znacznie wiÄ™cej. Niektóre firmy wolÄ… nie nagÅ‚aÅ›niać niektórych z takich incydentów, innych nie sÄ… po prostu Å›wiadome. 

Przyjrzyjmy się dwóm przypadkom, które zwróciły naszą uwagę w 2015 r.

Pierwszy to incydent, który miał miejsce w niemieckiej stalowni. Pod koniec 2014 r. niemiecki urząd federalny ds. bezpieczeństwa informacji (BSI) opublikował raport zawierający wzmiankę o cyberincydencie w niemieckiej stalowni. Incydent ten spowodował szkody fizyczne w wielkim piecu.

Jest to drugi atak cybernetyczny, o którym wiemy, oprócz Stuxneta, który spowodował fizyczne szkody w obiektach przemysłowych. Według BSI, osoby atakujące wykorzystały najpierw e-maile phishingowe w celu zainfekowania sieci przedsiębiorstwa, a następnie hakerzy zdołali zainfekować komputer SCADA oraz zaatakować sprzęt fizyczny. Niestety BSI nie dostarczył żadnych dodatkowych informacji, dlatego nie wiemy, które szkodliwe oprogramowanie zostało wykorzystane i jak działało.

Ten brak informacji nie sÅ‚uży nikomu: w ten sposób atak ten nie zostanie przeanalizowany przez podobne przedsiÄ™biorstwa w celu zastosowania Å›rodków zaradczych; eksperci ds. cyberbezpieczeÅ„stwa również nie posiadajÄ… niezbÄ™dnych informacji i nie mogÄ… zasugerować swoim klientom żadnych dziaÅ‚aÅ„.   

Innym ciekawym incydentem był atak na Lotnisko Chopina w Warszawie, który miał miejsce w czerwcu 2015 r. Awarii trwającej około pięć godzin uległ system komputerowy odpowiedzialny za przygotowywanie planów lotu polskich międzynarodowych linii lotniczych LOT. Według agencji Reuters spowodowało to opóźnienia kilkunastu lotów.

ZarzÄ…d lotniska nie przedstawiÅ‚ żadnych szczegółów, a eksperci musieli wyrobić sobie opinie na podstawie wÅ‚asnego doÅ›wiadczenia. Ruben Santamarta, główny konsultant ds. bezpieczeÅ„stwa w IOActive, zwracaÅ‚ wczeÅ›niej uwagÄ™ na kwestie bezpieczeÅ„stwa IT w branży lotniczej. Na podstawie tego, co powiedzieli przedstawiciele LOT-u, zasugerowaÅ‚, że firma padÅ‚a ofiarÄ… ataku ukierunkowanego: system nie mógÅ‚ generować planów lotów, ponieważ zostaÅ‚y skompromitowane główne wÄ™zÅ‚y w zapleczu organizacyjnym lub też celem ataku byÅ‚y urzÄ…dzenia komunikacji naziemnej, co uniemożliwiÅ‚o wykonanie lub weryfikacjÄ™ Å‚adowania danych do samolotu (w tym planów lotu).   

O incydencie tym wypowiedzieli się również nasi eksperci, sugerując, że możliwe są dwa scenariusze. Przyczyną mógł być błąd ludzki lub awaria sprzętu. Incydent ten, który wydarzył się na stosunkowo niewielkim lotnisku w Warszawie, może być prekursorem ataków na większą skalę na innych, znacznie większych lotniskach.

Później ogłoszono, że miał miejsce atak DDoS i nie doszło do penetracji systemu. Tym razem również nie opublikowano szczegółowych informacji na temat incydentu i możemy jedynie wierzyć oficjalnym informacjom lub zgadywać, jakie były przyczyny oraz cele tego ataku.

Ktokolwiek stał za opisanymi wyżej atakami i jakikolwiek cel mu przyświecał, incydenty te wyraźnie pokazują, jak istotną częścią naszego życia stały się komputery i jak podatne na ataki stały się w ostatnich latach obiekty infrastruktury.

Niestety, obecnie wiele rządów i organów regulacyjnych stosuje politykę niejawności. My z kolei uważamy, że przejrzystość i wymiana informacji dotyczących cyberataków stanowi istotny element zapewnienia odpowiedniej ochrony obiektom przemysłowym. Bez tej wiedzy bardzo trudno zabezpieczyć tego rodzaju obiekty przez przyszłymi zagrożeniami.

PodsumowujÄ…c, chcielibyÅ›my wspomnieć o jeszcze jednym trendzie, który już teraz ma istotne znaczenie i nadal bÄ™dzie obowiÄ…zywaÅ‚ w nadchodzÄ…cych latach: sprzÄ™t wykorzystywany przez przedsiÄ™biorstwa przemysÅ‚owe jest aktywnie poÅ‚Ä…czony z sieciÄ…. Internet wprawdzie pojawiÅ‚ siÄ™ dawno temu, jednak dopiero teraz jest wykorzystywany w procesach przemysÅ‚owych. Nie bÄ™dzie przesadÄ… stwierdzenie, że stanowi to nowÄ… rewolucjÄ™ przezemsÅ‚owÄ…: jesteÅ›my Å›wiadkami narodzin "PrzemysÅ‚owego Internetu Rzeczy" lub Enterprise 4.0. DziÄ™ki temu przedsiÄ™biorstwa uzyskujÄ… wiele dodatkowych korzyÅ›ci i mogÄ… zwiÄ™kszyć swojÄ… wydajność wytwórczÄ…. 

Aby wpisać siÄ™ w ten trend, producenci sprzÄ™tu dodajÄ… po prostu czujniki i kontrolery do sprawdzonego, bezpiecznego i niezawodnego sprzÄ™tu, tworzonego pierwotnie dla Å›wiata "bez internetu", zapewniajÄ… swoim urzÄ…dzeniom poÅ‚Ä…czenie z internetem, a nastÄ™pnie oferujÄ… klientom "nowy sprzÄ™t". ZapominajÄ… jednak, że kiedy do urzÄ…dzenia dodawane sÄ… nowe funkcje online, powstajÄ… nowe ryzyka i zagrożenia zwiÄ…zane z cyberprzestÄ™pczoÅ›ciÄ…. Nie jest to już urzÄ…dzenie "fizyczne", ale "cyberfizyczne".   

W Å›wiecie urzÄ…dzeÅ„ fizycznych wszystkie urzÄ…dzenia przemysÅ‚owe, instrumenty, protokoÅ‚y komunikacji itd. zostaÅ‚y zaprojektowane z uwzglÄ™dnieniem bezpieczeÅ„stwa - innymi sÅ‚owy, zostaÅ‚y tak stworzone, aby byÅ‚y odporne na awariÄ™. To oznaczaÅ‚o, że jeżeli urzÄ…dzenie zostaÅ‚o tak zaprojektowane, aby speÅ‚nić wymogi bezpieczeÅ„stwa dziaÅ‚ania, korzystanie z niego bez naruszenia zasad bezpieczeÅ„stwa nie spowodowaÅ‚oby żadnej awarii lub szkody dla czÅ‚owieka czy Å›rodowiska naturalnego.  

Trend Enterprise 4.0 niesie ze sobą nowy wymiar bezpieczeństwa: bezpieczeństwo IT lub ochronę przed celową manipulacją zewnętrzną. Nie można po prostu podłączyć do internetu obiektu lub urządzenia z ery sprzed internetu: konsekwencje tego mogą być - i często są - katastrofalne.

Inżynierowie, którzy preferujÄ… stare "przedrewolucyjne" zasady projektowania czÄ™sto nie zdajÄ… sobie sprawy, że ich urzÄ…dzenia mogÄ… być teraz "obsÅ‚ugiwane" nie tylko przez inżynierów, którzy wiedzÄ…, które dziaÅ‚ania sÄ… dopuszczalne a które nie, ale również przez hakerów, dla których nie istnieje coÅ› takiego jak niedopuszczalne zdalne operacje na obiektach. Jest to jedna z głównych przyczyn, dla których firmy z ugruntowanÄ… pozycjÄ… i wieloletnim doÅ›wiadczeniem  oferujÄ… sprzÄ™t, który jest niezawodny z punktu widzenia bezpieczeÅ„stwa dziaÅ‚ania, ale nie zapewnia odpowiedniego poziomu cyberbezpieczeÅ„stwa.   

W świecie urządzeń cyberfizycznych komponenty fizyczne i cybernetyczne są ze sobą ściśle zintegrowane. Cyberatak może zakłócić proces przemysłowy, uszkodzić sprzęt lub spowodować katastrofę technogenną. Hakerzy stanowią rzeczywiste zagrożenie i wszystko, co jest połączone z Internetem, może stać się celem ataku. Dlatego też podczas projektowania nowego sprzętu przemysłowego połączonego do internetu producenci powinni być tak samo ostrożni w dziedzinie implementacji ochrony przed cyberzagrożeniami jak podczas projektowania funkcji bezpieczeństwa działania.

Zakończenie

W 2015 r., być może po raz pierwszy w całej historii internetu, kwestie dotyczące ochrony sieci oraz bycia chronionym online, były omawiane w odniesieniu do każdego sektora gospodarki oraz życia codziennego. Jeśli wybrać dowolny sektor współczesnej cywilizacji - finanse, produkcję przemysłową, motoryzację, przemysł samolotowy, galanterię elektroniczną, służbę zdrowia czy inne - z pewnością znajdziemy w tym roku publikacje dotyczące incydentów lub problemów dotyczących cyberbezpieczeństwa związanych z tym sektorem.

Niestety, cyberbezpieczeństwo stało się obecnie nierozerwalnie związane z terroryzmem. Wiele zainteresowania ze strony nielegalnych organizacji oraz grup wzbudzają zarówno defensywne jak i ofensywne metody stosowane online.

Kwestie cyberbezpieczeÅ„stwa nie ominęły również głównych dyplomatów i urzÄ™dników rzÄ…dowych. W 2015 r. podpisano umowy dotyczÄ…ce cyberbezpieczeÅ„stwa pomiÄ™dzy RosjÄ… i Chinami, Chinami i Stanami Zjednoczonymi, Chinami i WielkÄ… BrytaniÄ…. W dokumentach tych rzÄ…dy nie tylko zgadzajÄ… siÄ™ na współpracÄ™, ale również zobowiÄ…zujÄ… siÄ™ powstrzymać od wszelkich ataków na siebie nawzajem. JednoczeÅ›nie szeroko dyskutowano na temat niedawnych zmian w porozumieniu Wassenaar Arrangement ograniczajÄ…cym eksport oprogramowania spyware. Tematem, który powracaÅ‚ w tym roku, byÅ‚o wykorzystywanie niezabezpieczonych serwisów e-mail przez różne osoby z krÄ™gów politycznych na caÅ‚ym Å›wiecie, w tym Sekretarz Stanu Stanów Zjednoczonych Hillary Clinton.     

Wszystko to spowodowało wzrost zainteresowania kwestiami cyberbezpieczeństwa, nie tylko w branży mediów, ale również w przemyśle rozrywkowym. Powstały filmy fabularne i seriale telewizyjne, a w niektórych z nich wystąpili eksperci ds. cyberbezpieczeństwa, którzy niekiedy grali samych siebie.

Słowo cyberbezpieczeństwo stało się modne w 2015 r., co jednak nie znaczy, że problem został rozwiązany. Obecnie jesteśmy świadkami wykładniczego wzrostu dotyczącego wszystkiego, co ma związek z cyberprzestępczością, w tym wzrostu liczby ataków oraz atakujących, liczby ofiar, kosztów związanych z obroną i ochroną, ustaw i umów regulujących cyberbezpieczeństwo lub ustanawiających nowe standardy. Dla nas szczególne znaczenie ma wyrafinowanie wykrywanych ataków. Konfrontacja znajduje się obecnie w fazie aktywnej, a etap końcowy nie jest jeszcze widoczny.

Aby dowiedzieć się więcej o tym, czego można oczekiwać w najbliższej przyszłości, przeczytaj nasze prognozy na 2016 rok.

ŹródÅ‚o: Kaspersky Lab