Co jest najczęstszym celem ataku cyberprzestępców?

Rok 2016 przyniósł nam strategię cyberbezpieczeństwa. Od pierwszych opracowań wskazujących istotność tego tematu (2004 rok – Zespół do spraw krytycznej infrastruktury teleinformatycznej powołany decyzją Przewodniczącego Kolegium ds. Służb Specjalnych) minęło ponad 10 lat. Wydaje się, że od tego czasu, jesteśmy najbliżej momentu stworzenia finalnego projektu systemu ochrony cyberbezpieczeństwa państwa opartego o stosowną ustawę. Istotną przeszkodą może być budżet, którego wartości nie określono w treści przedstawionej strategii.

Wydaje się również, że 2016 był przełomowy w tym względzie dla banków w Polsce, które zdobyły zaufanie pomagając stronie rządowej w procesie potwierdzania tożsamości obywateli w programie 500+. Bardzo prawdopodobny jest trend dalszego rozbudowywania tego typu usług. Sprzyjają temu strategiczne plany cyfryzacji państwa i dotychczasowy brak kompleksowych rozwiązań tego typu po stronie rządowej.

Ciekawym wątkiem były również doniesienia o atakach na klientów banków z wykorzystaniem ich kont użytkowników systemów należących do operatów telekomunikacyjnych. Potwierdzają one, że zaproponowanie nowych usług i produktów dla klientów powinno być poprzedzone analizą ryzyka. Istotny jest najsłabszy punkt w ekosystemie płatności (bank, telekom, użytkownik), więc w tym sensie włączanie udogodnień dla użytkowników (usługa typu SMS to EMAIL) może zwiększać zagrożenie kradzieży. Pomimo sukcesów polskiej policji i prokuratury – szczególnie znaczące w tym roku było rozbicie grupy przestępczej w Lubelskiem, która miała charakter międzynarodowy i ukradła prawie 100 mln złotych m.in. wykorzystując oprogramowanie Timba. Klienci banków cały czas odczuwali zainteresowanie cyberprzestępców, zarówno poprzez kampanie typu phishing, jak i próby infekcji kolejnym iteracjami złośliwego oprogramowania. Jednocześnie w 2016 odnotowaliśmy cały czas popularne ataki typu skimming.

Sektor finansowy, który od lat jest na celowniku przestępców, przeszedł przede wszystkim prawdziwe tsunami spowodowane ujawnionymi w 2016 roku wcześniejszymi atakami o charakterystyce APT na system SWIFT (skradzione ponad 81 milionów dolarów w ataku na Bank Centralny w Bangladeszu, 12 milionów w Banko del Austro w Ekwadorze, i doniesienia o próbach ataków na banki w 12 innych krajach).

W 2016 przedstawiono również realne próby ataków na karty kredytowe - naukowcy z Uniwersytetu Newcastle odkryli, że system autoryzacji płatności kartami VISA w internecie jest podatny na rozproszone ataki zgadywania prawidłowego numeru karty, jej daty ważności oraz kodu CVV. Natomiast ponad 9 tysięcy klientów brytyjskiego Banku Tesco padło ofiarą prawdziwej kradzieży (suma ich strat sięgnęła około 2,5 mln funtów). Prawdopodobną przyczyną problemów banku Tesco były sekwencyjnie nadawane numery kart płatniczych, co jak nietrudno zauważyć, znacząco zwiększało szansę trafienia prawidłowej kombinacji.

W tym roku również firma Group IB opisała serię ataków na systemy zarządzania bankomatami (inne niż znany wcześniej ataki tego typu np. poprzez malware Tyupkin) w bankach na całym świecie. Według autorów raportu, udokumentowane ataki miały miejsce na Tajwanie i w Tajlandii, a przestępcy prawdopodobnie próbowali także atakować banki w Polsce, Rosji, Wielkiej Brytanii, Holandii, Hiszpanii, Rumunii, Estonii, Bułgarii, Gruzji, Mołdawii, Kirgistanie, Armenii i Malezji. Jakkolwiek scenariusze na pewnym etapie wymagały specjalistycznej wiedzy i narzędzi, początkowym wektorem ataku był atak socjotechniczny ukierunkowany na pracowników banku – w wiadomości email nadawca podszywał się pod Europejski Bank Centralny lub dostawcę rozwiązań bankomatowych, a do wiadomości dołączony był spreparowany dokument RTF wykorzystujący błąd CVE-2015-1641 (typu „memory corruption”), który umożliwia przejęcie kontroli nad stacją użytkownika. Celem przestępców nie zawsze były ataki na kanały bankowości elektronicznej. W jednym z banków w Liechtensteinie, atakujący po tym jak wykradł dane klientów z banku oczekiwał „wsparcia” finansowego od klientów banku grożąc ujawnieniem ich danych finansowych.

W tym roku wyraźnie zaznaczyło się również zainteresowanie sektorem medycznym i motoryzacyjnym. Branże te narażone są na zupełnie nowe kategorie zagrożeń, których nie doświadczały jeszcze kilka lat temu. Można stwierdzić, że szpitale stały się idealnym celem dla wymuszania okupu nie tylko z powodu oprogramowania złośliwego typu ransomware (np. Hollywood Presbyterian Medical Center), ale również w wyniku kradzieży danych medycznych i groźby ich ujawnienia (klinika sportowa w Atlancie). Cyberprzestępcy nauczyli się, że potencjalne zagrożenie zdrowia lub życia pacjenta bardziej motywuje do płacenia haraczu (zakładając, że szpital sam ma środki, aby taki okup zapłacić).

W niedawnym badaniu firmy NCC Group szpitalom w Wielkiej Brytanii zadano pytanie, czy w ciągu ostatniego roku padły ofiarą ataku ransomware. 31 odmówiło odpowiedzi, 28 przyznało że było skutecznie zaatakowanych a jedynie 1 szpital poinformował, ze w ostatnim roku nie odnotował tego typu incydentów. W tym roku ujawniły się również liczne słabości samych urządzeń medycznych. W 2016 roku w 9 krajach Deloitte przeprowadził badanie 24 szpitali pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Wynika z niego, że urządzenia posiadają hasła fabryczne, nie szyfrują komunikacji sieciowej, a w swoim cyklu życia ujawniają wiele podatności, którymi nikt nie zarządza. Potwierdziły to na przykład informacje o ujawnionych w 2016 roku podatnościach m.in. rozruszników i defibrylatorów firmy St. Jude Medical.

W branży motoryzacyjnej, w 2016 roku mogliśmy usłyszeć o udanych atakach na pojazdy marek niemieckich, japońskich i przynajmniej jednym ataku na producenta amerykańskiego. Natomiast Fiat, Chrysler oraz Tesla poinformowały o uruchomieniu programów Bug Bounty (wynagradzanie za zgłaszanie producentom znalezionych błędów w oprogramowaniu). Na konferencji Usenix badacze mieli pokazać, że pojazdy takich marek jak Volkswagen, Audi, Skoda, Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel oraz Peugeot wyprodukowane w ciągu ostatnich 20 lat są podatne na prosty w przeprowadzeniu atak kryptograficzny na system otwierania pojazdu. Wprowadzanie więc zasad „security by design”, analizy ryzyka i procesów monitorowania oraz odpowiedzi na incydenty stało się  częścią życia producentów aut. Z resztą, wystarczy spojrzeć na ilość interfejsów udostępnianych w nowych pojazdach - USB, OBD II, Bluetooth, ECU, ADAS, DSRC, TPMS, i wiele więcej. Być może Euro ENCAP powinien rozważyć dodatkowe gwiazdy za bezpieczeństwo w klasie: Internet of Things.

Jeśli chodzi o trendy zagrożeń, istotny był również wzrostowy trend ataków tupu DDoS (odmowa usługi) z wykorzystaniem botnetów różnych urządzeń sieciowych (Internet of Things). Oprogramowanie złośliwe Mirai wykorzystywało podstawowe luki (np. hasła domyślne), aby infekować urządzenia (np. zdalne kamery, routery domowe), które tworząc botnety o wielkości do kilkuset tysięcy urządzeń były narzędziem do prowadzenia ataków DDOS na inne cele. Skutki takich ataków odczuli m.in. klienci firmy hostingowej OVH oraz firmy DYN, która świadczy m.in. usługi DNS dla wielu firm, w tym Amazona, Netflixa czy Twittera. Na świecie warto odnotować również akcję The Shadow Brokers – w sierpniu i grudniu opublikowane zostały dane określane jako narzędzia dedykowane do działań ofensywnych amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA) stosowane przez departament Tailored Access Operations. Chyba nikt nie ma wątpliwości, jakie możliwości miała NSA już wiele lat temu.

Rok 2016 to również megawycieki, a właściwie w niektórych przypadkach ujawnienie wycieków, które wydarzyły się do kilku lat wstecz. Poza Mossak Fonseca, Yahoo i Linkedin przestrogą dla wszystkich powinna być współpraca dostawcami – w przypadku Michael Page i Capgemini - skutkująca wyciekiem 30GB danych klientów Michael Page. O podstawowych zasadach bezpieczeństwa przypominały nam stale informacje o poważnych (lub jak się okazywało później mniej poważnych) lukach w produktach każdego dużego producenta.  Błędy nie ominęły też otwartych implementacji (m.in. OpenSSL, SSH, itd.). Inne ujawnione ciekawe ataki i błędy to m.in. Dirty Cow w Linuxie (nieuprawnione lokalne podniesienie uprawnień), Bad Tunnel pokazany na Black Hat oraz potencjalny błąd w TorBrowser (również Firefox) umożliwiający prowadzenie ataków na użytkowników sieci Tor.

W wakacje izraelska firma NSO pokazała serię 0 Day na najnowszą wersję systemu iOS umożliwiająca przejęcie pełnej kontroli nad iPhonem poprzez kliknięcie w odpowiednio spreparowany link wysłany w wiadomości SMS. Warto zaznaczyć, że firma Zerodium za podatności 0 Day m.in. na system operacyjny iOS 10.x, płaci do 1 500 000 USD. A jeśli chodzi o kwoty w dolarach, to firma Cymmetria w tym roku wprowadziła swojego rodzaju polisę dla użytkowników swojej platformy do wykrywania ataków APT. Warunki programu zakładają, że klient otrzyma do 1 miliona dolarów, jeżeli zostanie potwierdzone, że atak APT, którego padł ofiarą, nie został wykryty przez opisywaną platformę.

Na koniec, trendem wartym odnotowania jest również na pewno dynamiczny i wszechobecny wzrost użycia słowa „cyber”.  W 2016 roku mieliśmy więc chroniące nas cyberpatrole, ale również cyberłącza, cybermonday i cyberkalifat.

Marcin Ludwiszewski, dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte