
Wzrost cyberataków na kluczowe instytucje
Rosnące napięcia geopolityczne doprowadziły do eskalacji ryzyka cyberataków.
Codziennie słyszymy o masowych blokadach stron rządowych, dużych przedsiębiorstw, czy nawet serwisów streamingowych, które przestają funkcjonować pod naporem ataków DDoS.
FBI i Departament Bezpieczeństwa Wewnętrznego USA szczególnie ostrzegają przed cyberatakami na krytyczną infrastrukturę narodową.
W tym artykule przedstawimy charakterystykę poważnych zagrożeń, które pojawiały się w ostatnim czasie, a także odpowiemy na pytanie jak skutecznie ochronić przedsiębiorstwo.
Rodzaje cyberzagrożeń
„HermeticWiper”
Już w 2017 roku pojawiło się jedno z poważniejszych zagrożeń, którym jest złośliwe oprogramowanie typu wiper, takie jak NotPetya stworzone przez rosyjskie służby wywiadowcze do wykorzystania przeciwko celom na Ukrainie. Podobne oprogramowanie zostało wykorzystane także w styczniu 2022 r. i ponownie 23 lutego, wraz z najnowszą odmianą nazwaną przez badaczy z firmy Symantec i ESET jako „HermeticWiper”.
„HermeticWiper” ma charakterystykę i zachowanie ransomware, ale idzie o krok dalej i niszczy systemy zamiast szyfrować dane dla okupu. Oprogramowanie to zostało wykorzystane na kilka godzin przed rosyjskim atakiem na Ukrainę, prawdopodobnie po to, aby utrudnić działania ukraińskich firm i instytucji w pierwszych godzinach ataku.
Ataki ransomware za pośrednictwem poczty e-mail
Typowy wektor dostarczenia ransomware to poczta e-mail lub wykorzystanie podatnej na ataki infrastruktury internetowej. Różne źródła podają, że infekcji HermeticWiper dokonano wykorzystując znane podatności w Exchange kilka miesięcy wcześniej, ale dokładny wektor ataku mógł być różny dla poszczególnych instytucji.
W przypadku udanych ataków ransomware za pośrednictwem poczty e-mail zazwyczaj mamy później do czynienia z połączeniami z nietypowym adresem IP/domeną lub pobraniem złośliwego pliku.
Podczas wojny hybrydowej celem ataków często staje się infrastruktura krytyczna, która pełni szczególną rolę dla obywateli. Atakowane mogą być:
- infrastruktura państwa agresora,
- infrastruktura państwa, które się broni
- infrastruktura krajów, które pośrednio lub bezpośrednio wspierają jedną ze stron konfliktu.
Charakterystyka sieci przemysłowych czyni je szczególnie podatnymi na ataki. Oprogramowanie w sieciach tego typu jest rzadko aktualizowane, ze względu na możliwy przestój w działaniu systemów, co wiąże się z dodatkowymi stratami. Niestety często też zapomina się w sieciach tego typu o odpowiedniej segmentacji a nawet oddzieleniu tej sieci od klasycznej sieci IT. W konsekwencji włamanie do sieci IT często skutkuje także zdobyciem przyczółku przez atakującego również w sieci przemysłowej.
Widoczność i identyfikacja zagrożeń
Do wykrywania tego typu zagrożeń dobrym rozwiązaniem są systemy wykrywające anomalie, które są w stanie zareagować na zagrożenia typu zero-day nawet, jeśli nie ma dostępnych sygnatur, które pozwoliłyby na ich wykrycie.
Taka aktywność może być zwykle zidentyfikowana przez rozwiązania typu Network Behavior Anomaly Detection lub EDR. Następnie wykrywane są zazwyczaj zachowania typu lateral movement oraz potencjalnie eksfiltracja danych na zewnątrz organizacji. Samo usuwanie danych może być trudniejsze do wykrycia, jeśli wykonywane jest lokalnie na zainfekowanym systemie.
Sieci przemysłowe
Klasyczne rozwiązania cyberbezpieczeństwa dla IT są niewystarczające dla sieci przemysłowych, z uwagi na ich odmienną specyfikę. Dlatego też najlepiej jest stosować rozwiązania specjalnie dedykowane do takich celów. Zabezpieczenie środowiska OT powinno obejmować kilka obszarów, w tym:
- Widoczność wszystkich urządzeń przemysłowych;
- Zarządzanie aktualizacjami;
- Stosowanie odpowiednich zabezpieczeń, dedykowanych dla sieci OT np. Firewalle, IPS, IDS;
- Monitorowanie ruchu sieciowego wraz ze wsparciem obsługi protokołów charakterystycznych dla tej sieci;
- Segmentację sieci;
- Analizę ryzyka wpływu ataków na infrastrukturę przemysłową;
- Monitorowanie incydentów oraz procedury reagowania na zagrożeń;
- Świadomość zagrożeń.
W efekcie wdrożenie kompletnego procesu i technologii zabezpieczających środowiska OT jest niezwykle czasochłonnym i skomplikowanym procesem. Stąd, w pierwszej kolejności warto rozważyć narzędzia, które w czasie rzeczywistym monitorują anomalie i potrafią zablokować atak. Takie rozwiązania będą frontem obrony przed hakerami i zminimalizują ryzyko wystąpienia incydentu, a co za tym idzie, często katastrofalnych jego skutków.
Proaktywne blokowanie zagrożeń w czasie rzeczywistym
Ostatnio, w odwecie na rosyjski atak na Ukrainę, grupa haktywistów „Anonymous” przeprowadziła kilka operacji mających na celu tzw. defacement i zaburzenie działania rosyjskiej infrastruktury przemysłowej. Jednym z udanych ataków, o którym ostatnio jest głośno jest włamanie do systemu kontroli dystrybucji gazu należącego do rosyjskiej firmy Tvingo Telecom. Po uzyskaniu zdalnego dostępu do sterownika grupa zmodyfikowała parametry pracy systemu, doprowadzając do wzrostu ciśnienia w instalacji i niemal doprowadzając do eksplozji. Przed eksplozją instalacji uchroniła podobno szybka reakcja operatora na miejscu zdarzenia.
Powyższy przykład pokazuje jak ważne jest proaktywne blokowanie zagrożeń w czasie rzeczywistym. Niedoskonałości zabezpieczeń sieci przemysłowych mogą doprowadzić nie tylko do pojedynczych zakłóceń przemysłu, ale też katastrofalnych skutków np. w postaci całkowitego wyłączenia procesu dostarczania energii elektrycznej (“blackout”) czy zniszczeń wynikających z zakłócenia działania urządzeń. A skutki takich ataków bezpośrednio mogą przełożyć się na zdolność Państwa do odpierania ataków nieprzyjaciela.
Powyższe zagrożenia powinny, a nawet muszą być wykrywane narzędziami monitorującymi anomalie w sieci. Z racji swojej charakterystyki sieci OT są raczej statyczne, więc każdy rodzaj nietypowej zmiany może zostać wykryty przez to narzędzie.
3. stopień alarmowy CRP na terytorium całego kraju przedłużony
Mimo, że głównym celem tego typu działań na ten moment jest Ukraina, to również polskie firmy i instytucje mogą być celem tego typu ataków, szczególnie w związku z deklaracją udzielenia wsparcia Ukrainie. Dlatego też w najbliższym czasie należy szczególną uwagę zwrócić na bezpieczeństwo naszej organizacji i zapewnić jej ochronę przynajmniej w podstawowym zakresie.
Warto także nadmienić, że w ostatnim czasie zostało podpisane zarządzenie przedłużające obowiązywanie trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju do 15 marca 2022 r. do godz. 23:59. Ostrzeżenie zostało wprowadzone w celu przeciwdziałania zagrożeniom w cyberprzestrzeni.
Jeśli Twoja firma padła ofiarą ataku lub potrzebuje wsparcia w zabezpieczeniu infrastruktury skontaktuj się z nami.