Archiwa cyberatak

„Rozpylanie haseł” tzw. „password spayring” nie jest niczym nowym. Takie wykorzystanie logowań pomaga atakującym uniknąć wykrycia przez tradycyjne kontrole bezpieczeństwa. Atakujący próbują dopasować hasło do usługi poprzez złamanie niedługich i nieskomplikowanych kombinacji znaków alfanumerycznych. Chociaż obroną przed takim rodzajem ataku stało się tzw. podwójne uwierzytelnienie, czyli poświadczenie logowania poprzez drugi kanał komunikacji (two-factor authentication – 2FA), to jednak w ostatnich dniach stało się to niewystarczające. Dlaczego?

Właściciel uwierzytelnionego mechanizmem 2FA już wcześniej konta może z czasem „pójść na skróty” i dodać swój autoryzowany uprzednio sposób logowania jako zaufany czyli sprzęt, swoją geolokalizację, kanał komunikacji, komputer lub adres logowań. Zaufana lista „upośledza” drogę podwójnej autoryzacji poprzez zatwierdzenie pytania „- Czy chcesz aby w przyszłości nie pytać Cię o hasło na tym urządzeniu?”, „- Czy dodać urządzenie do zaufanych?”.

Zazwyczaj „rozpylanie haseł” poprzez próby dopasowania ich w krótkich i nieskomplikowanych ciągach znaków, powoduje blokady systemów logowań, które ostrzegają zespoły bezpieczeństwa IT. Jednak obecna kampania jest skierowana w szczególności do nieinteraktywnych logowań czyli logowań systemowych, w części zautomatyzowanych i poświadczonych wcześniej jako zaufane. Co to oznacza i dlaczego stało się tak niebezpieczne i „skuteczne” z punktu widzenia autorów ataku?

Podczas każdej próby logowania na konto usług IT np. poczty lub hostingu na serwerze dostępnym z sieci Internet, który zabezpieczony jest mechanizmem podwójnej autoryzacji (two-factor authentication 2FA) system generuje alerty bezpieczeństwa uwierzytelniające logowanie na np. innym urządzeniu niż komputer (chociażby smartfon należący do właściciela lub administratora konta z zainstalowany tzw. autentykatorem do generowania poświadczeń). Jeżeli wcześniej atakowane konto posiadało zatwierdzoną, zaufaną autentykację a proste i nieskomplikowane hasło zostało uprzednio, dodatkowo skompromitowane (złamane), to taka sytuacja umożliwia atakującym działanie bez uruchamiania obrony mechanizmu 2FA lub zasad dostępu warunkowego, nawet w wysoce zabezpieczonych środowiskach. Takim celem stał się uznawany za bezpieczny system poczty Microsoft Office365. System nie broni się jednak sam. Właściciele kont sami dostarczają powodów do wykorzystania zaufanych mechanizmów poświadczeń.

W ostatnim czasie atakujący za cel obrali sobie konta Microsoft 365 głównie w organizacjach świadczących usługi finansowe, ubezpieczenia, usługi dla ludności i biznes korzystający z masowej wysyłki wiadomości e-mail tzw. „newsletter”. Sygnały o atakach dochodzą do specjalistów IT również z sektorów takich jak opieka zdrowotna, rząd i obrona, technologia, usługi chmurowe oprogramowania oraz edukacja i badania. To spory zasięg ogromnej kampanii botnet.

Uważa się, że teraźniejszy atak ma duży impakt, ponieważ omija na swój sposób nowoczesną obronę i prawdopodobnie jest to czyn chińskiego rządu.

Jakie kroki należy wykonać? Jakie działania prewencyjne są niezbędne?

Właściciele zabezpieczonych hasłami i mechanizmem 2FA kont jak i administratorzy i zespoły bezpieczeństwa IT winni niezwłocznie przejrzeć nieinteraktywne dzienniki logowania pod kątem nieautoryzowanych prób dostępu w celu wyłączenia starszych protokołów uwierzytelniania poświadczeń. Ponadto powinno się monitorować ewentualnie skradzione dane uwierzytelniające powiązane z organizacjami i wdrażać zasady dostępu warunkowego 2FA tam gdzie go jeszcze nie ma. Bezwzględnie należy zmienić hasła dostępowe do usług na minimum 24-ro znakowe ciągi kombinacji liczb, wielkich i małych liter oraz znaków specjalnych. Warto przejrzeć listy urządzeń zaufanych w usługach i poświadczyć ich uwierzytelnienie ponownie już po zmianie hasła na silniejsze. Niezbędnym krokiem jest również wyczyszczenie używanej przeglądarki Internet poprzez usunięcie „ciasteczek” (cookies) z pamięci cache oraz usunięcie wszelkich, zapamiętanych uprzednio haseł i loginów (na wszystkich używanych urządzeniach).

Nie należy „chodzić na skróty” i unikać zapamiętywania haseł w przeglądarkach Internetowych. Warto weryfikować co pewien czas listę zaufanych urządzeń i ją aktualizować poprzez zmianę haseł na silniejsze. Konieczne jest używanie długich i trudnych do odgadnięcia słownikowego poświadczeń, najlepiej stworzonych w tym celu przez generator losowy. W przeciwnym razie, skompromitowane hasła poprzez ominięcie systemu podwójnej autentykacji w przypadku poczty Microsoft Office365 mogą umożliwić atakującym przejęcie konta pocztowego w celu np. wysyłki niechcianych wiadomości typu „spam”, które w ostatecznym rozrachunku zablokują konto pocztowe poprzez działania prewencyjne administratorów serwera. Brak komunikacji poprzez zablokowane konta to możliwy, nie jedyny skutek ataku. Przejęte konto e-mail może posłużyć do podszycia się pod tożsamość jego właściciela.

Źródło: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet

Hakerzy z Rosji coraz częściej atakują polskie serwery – w tym rządowe i wojskowe. Jak podaje „Rzeczpospolita” od stycznia liczba ataków wzrosła o 60 proc., a w ciągu pół roku o 130 proc. Skalę problemu potwierdza minister cyfryzacji Krzysztof Gawkowski, który wprost mówi o zimnej cyberwojnie z Rosją.

źródło: https://biznes.interia.pl/gospodarka/news-polska-toczy-zimna–z-rosja-tak-niebezpiecznie-jes,nId,7502010#ref#ref#ref#refutm_source=paste&utm_medium=paste&utm_campaign=safari

„Rzeczpospolita” przywołuje najnowsze analizy izraelskiej firmy Check Point Software (CP), do których dotarła. Wynika z nich, że co tydzień polskie firmy i instytucje atakowane są średnio 1430 razy. Tymczasem na Węgrzech ten wskaźnik to 1390, w Niemczech – 1011, na Łotwie 660 razy. Tylko w Czechach instytucje muszą odpierać więcej ataków, bo blisko 2000 tygodniowo – podkreśla gazeta.

Według cytowanych danych, najaktywniejszą grupą hakerską w tym obszarze jest rosyjska NoName057(16). W 2024 r. uderzała już m.in. w portale Polskiego Radia, Portu Gdynia, strony województwa lubelskiego, czy serwisy GOV.pl i ePUAP.pl.

Tym samym Polska znalazła się w czołówce krajów atakowanych na cyberwojnie, co potwierdzają polskie władze.

– Polska znajduje się w stanie zimnej cyberwojny z Rosją, to właśnie Polska jest najczęściej atakowana przez Rosjan w przestrzeni cyfrowej – mówił minister cyfryzacji, wicepremier Krzysztof Gawkowski w wywiadzie dla ukraińskiego portalu Ekonomiczna Prawda.

CP poinformowało też „Rzeczpospolitą”, że w kwietniu 2024 r. około 55 proc. zagrożeń trafiało do polskiej sieci za sprawą złośliwych stron i aplikacji webowych. Z kolei 45 proc. ataków opartych była na poczcie elektronicznej. Jak podkreśla gazeta, to sytuacja odwrotna do trendów światowych, gdzie ataki e-mailowe stanowią ponad 60 proc. Ciekawy jest również fakt, że w ponad jednej trzeciej przypadków zainfekowany plik dostarczany do polskich komputerów ma rozszerzenie .exe, a co dziesiąty to .docx lub .pdf, tymczasem na świecie dominują PDF-y – to ponad 70-proc.

Samorządy dostaną pieniądze na zwiększenie cyberbezpieczeństwa

„Rzeczpospolita”, powołując się na dane CP wskazuje, że tylko w ciągu ostatniego pół roku administracja i armia były celem przestępców 1256 razy w tygodniu. Liczba ta ma zwiększyć się w II kwartale do ponad 2 tysięcy.

Obecnie rząd pracuje nad projektem ustawy, który ma na celu zwiększenie cyberbezpieczeństwa w Polsce, począwszy od najmniejszych jednostek samorządowych.

„Ponad 2 500 samorządów (blisko 90 proc.) otrzyma w bieżącym roku wsparcie finansowe w postaci grantów finansowanych ze środków budżetu państwa oraz programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC). (…) Wsparcie to jednostki samorządu terytorialnego będą mogły wykorzystać na modernizację rozwiązań w obszarze cyberbezpieczeństwa. Łączna wartość wsparcia jaka zostanie przekazana wyniesie ok. 1,5 mld zł.” – czytamy w Ocenie Skutków Regulacji.

Jednocześnie w uzasadnieniu do projektu wyjaśniono, że „obecnie ani przedsiębiorcy telekomunikacyjni ani dostawcy usług zaufania nie są podmiotami krajowego systemu cyberbezpieczeństwa„, stąd nowe przepisy mają zarówno zwiększyć poziom bezpieczeństwa, jak również usprawnić proces reagowania na incydenty.