Artykuł pochodzi z wydania: Październik 2021
Raporty firm i instytucji wyspecjalizowanych w zapewnianiu bezpieczeństwa informacyjnego nie pozostawiają złudzeń – aktywność hakerów wciąż rośnie. W dużej mierze dotyczy ona administracji publicznej, co potwierdzają doniesienia sektorowych CSIRT-ów.
Podstawowym czynnikiem rozwoju cywilizacji są obecnie procesy zarządzania informacją, a więc jej wytwarzania, przechowywania, wyszukiwania, przekształcania i przesyłania. Skala obiegu informacji i ciągły rozwój technologii cyfrowych wydają się nie mieć żadnych ograniczeń. Niestety, tak jak w przypadku innych obszarów aktywności ludzkiej, również w sferze zarządzania informacją pojawiają się zagrożenia, którym trzeba przeciwdziałać. Kluczowe staje się zapewnienie bezpieczeństwa komunikacji oraz korzystania z informacji i danych. W takiej sytuacji nietrudno uzasadnić coraz większe zainteresowanie cyberbezpieczeństwem (patrz: ramka „Właściwe nazwanie problemu”).
Główną motywacją działania przestępców są pieniądze, dlatego wciąż zwiększają oni presję na sektor publiczny, który nie tylko związany jest z przepływem środków finansowych, ale też dysponuje cennymi danymi osobowymi. To duże wyzwanie dla pracowników odpowiedzialnych za cyberbezpieczeństwo w administracji rządowej i samorządowej – muszą oni sprostać rygorystycznym wymogom w zakresie ochrony danych, a w dodatku funkcjonują w ramach ograniczonego budżetu, co nie ułatwia walki z zagrożeniami.
Wskaźniki rosną
Duże zaniepokojenie sytuacją w cyberprzestrzeni wyrażają przedsiębiorstwa. Oficerowie ds. bezpieczeństwa informacji (CISO), którzy od marca do maja 2021 r. wypełniali ankiety w ramach Ogólnoświatowego Badania Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey), dostrzegają wyraźny wzrost liczby ataków. W dodatku aż 43% ankietowanych nigdy dotąd nie martwiło się w takim stopniu jak obecnie o zdolność ich firm do odpierania cyberzagrożeń. Inne badania dotyczące firm pokazują podobny poziom zaniepokojenia, potwierdzając ogólnie złe nastroje. Tak samo wygląda sytuacja w sektorze publicznym. Jak wynika z opublikowanego w sierpniu br. raportu Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV (itwa.pl/mg),
który działa w Agencji Bezpieczeństwa Wewnętrznego (dalej: ABW), skala ataków na polski sektor publiczny rośnie z roku na rok. Podobne wnioski zgłaszają inne zespoły CSIRT, które pełnią funkcję CSIRT-ów krajowych (patrz: ramka „Bezpieczeństwo sektora publicznego w świetle raportu CSIRT NASK”).
Warto przytoczyć konkretne liczby. Dokładnie 23 309 przypadków faktycznego naruszenia bezpieczeństwa teleinformatycznego w instytucjach państwowych odnotował w 2020 r. CSIRT GOV, który odpowiada za koordynację procesu reagowania na incydenty komputerowe występujące w obszarze wskazanym w art. 26 ust. 7 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. DzU 2020, poz. 1369; dalej: uksc). Zgłoszeń o potencjalnym wystąpieniu incydentów komputerowych odnotowano 246 107, podczas gdy rok wcześniej było ich 226 914, a w 2018 r. „zaledwie” 31 865. Zaznaczmy, że ten skokowy wzrost liczby zgłoszeń w ciągu dwóch ostatnich lat wynika przede wszystkim z wejścia w życie uksc, a konkretnie obowiązku zgłaszania incydentów na gruncie tej ustawy. Tym samym w latach 2019–2020 nastąpił zauważalny wzrost zgłoszeń przesyłanych do CSIRT GOV w porównaniu z wcześniejszymi okresami sprawozdawczymi. W swoim raporcie ABW ostrzega przed rosnącą liczbą incydentów wykrywanych w ramach infrastruktury państwowej oraz infrastruktury krytycznej znajdującej się w kompetencji zespołu CSIRT GOV (odpowiada on za koordynację procesu reagowania na incydenty komputerowe występujące w obszarze wskazanym w art. 26 ust. 7 uksc). Identyfikację zagrożeń na dużą skalę umożliwiają systemy automatyczne, w tym system ARAKIS GOV. Zdecydowana większość potwierdzonych incydentów została zaklasyfikowana do kategorii wirusów, czyli zagrożeń umożliwiających przełamywanie zabezpieczeń, eksfiltrację danych wrażliwych czy pozyskiwanie danych logowania do zasobów teleinformatycznych. Ponadto w 2020 r. znacznie nasiliły się kampanie phishingowe, czyli ataki przy użyciu inżynierii społecznej. Socjotechnika jest narzędziem stosowanym zarówno przez cyberprzestępców, jak i przez służby innych państw. W tego rodzaju atakach wykorzystywane są wizerunki znanych operatorów telekomunikacyjnych czy dostawców internetowych, a także inne zdarzenia pozostające w bieżącym zainteresowaniu mediów.
Według raportu coraz powszechniejsze są również ataki typu Advanced Persistent Threats (dalej: APT), prowadzone najczęściej przez zorganizowane i ustrukturyzowane grupy hakerskie. Zagrożenia związane z APT przypisywane są często służbom obcych państw. W 2020 r. rozpoznano kilka kampanii tego typu, a ich wykrycie świadczy o ciągłym zagrożeniu dla instytucji państwa, polegającym na próbach pozyskania danych wrażliwych oraz kompromitacji systemów RP. Temu typowi zagrożeń warto poświęcić więcej uwagi.
Państwo na celowniku
Celem ataków APT są ważne organizacje i ich systemy komputerowe zawierające cenne, ściśle tajne dane mogące obejmować patenty, tajemnice wojskowe czy wrażliwe informacje finansowe. Są realizowane w sposób strategiczny, taktycznie zaplanowane i wdrażane przez długi czas – miesiące, a nawet lata. Strategia ataków APT obejmuje użycie zaawansowanych narzędzi, które utrzymują cyberprzestępców w ukryciu i stwarzają możliwości dotarcia do wrażliwych zasobów. Skradzione dane mogą być dalej wykorzystywane do szpiegostwa i wymuszeń. Atak APT wymaga znacznie więcej zasobów finansowych i ludzkich niż standardowy atak. Zwykle ma wsparcie finansowe dużej organizacji przestępczej lub agencji rządowej. Co istotne, jest dostosowany do celu, jednak zwykle można wyróżnić następujące etapy przygotowania ataku: wybór celu, analiza dotycząca organizacji – jej pracowników, polityki, aplikacji i systemów, których używa – oraz budowanie jej profilu ze szczegółową listą potencjalnych osób wewnątrz organizacji. Atakujący przystępuje do wyszukiwania odpowiednich metod, np. stosuje socjotechnikę, wykorzystuje podatności typu zero-day, metodę wodopoju (water hole) czy występujący coraz częściej w ostatnim czasie łańcuch dostaw (supply chain attack). Poprzez specjalnie przygotowane narzędzie – wyprofilowane pod atakowane środowisko informatyczne – dąży do zdobycia tzw. przyczółka w organizacji. Może być nim przejęcie pojedynczego komputera, jednego z pracowników ofiary. Zazwyczaj wtedy następuje instalacja złośliwego oprogramowania dającego zdalny dostęp na jednym z komputerów docelowych. Gdy atakujący dostanie się do sieci swojego celu, eksploruje ją oraz dostępne zasoby informatyczne ofiary, po czym próbuje wykorzystać luki w kolejnych komputerach wewnętrznych. Nawet dostęp do mało znaczącego stanowiska komputerowego wewnątrz sieci daje napastnikowi duże możliwości dalszego zbierania informacji i przygotowania się do dalszych faz ataku. Śledząc ruch sieciowy można poznać strukturę firmy, pliki, bazy danych, konta e-mail, a nawet hasła. Wszystkie te informacje mogą być potencjalnie cenne dla powodzenia całego ataku. Będąc wewnątrz organizacji, atakujący zbliża się do swojego celu, krok po kroku, nieuchronnie go osiągając. Nawet po kradzieży danych napastnik może pozostać obecny w sieci swojej ofiary i nadal obserwować jej zasoby. Jedną z cech szczególnych tych ataków jest to, że są one trudne do zidentyfikowania i przez lata mogą pozostać niezauważone.
Raport CSIRT GOV wspomina o kilku ujawnionych atakach APT, które dotknęły sektor publiczny w 2020 r. Wśród nich znalazła się kampania północnokoreańskiej grupy Kimsuky. Została ona wykryta jako ataki ukierunkowane na polskie instytucje rządowe oraz podmioty prowadzące działania w ramach Organizacji Narodów Zjednoczonych. W atakach wykorzystywano spear phishing (spersonalizowana wersja ataku phishingowego). Wiadomości zawierające pliki ze złośliwym oprogramowaniem kierowane były do ściśle określonych osób, np. pracujących w departamentach związanych z kontaktami międzynarodowymi. Grupa typowała odbiorców na podstawie wpisów ze stron WWW, LinkedIn, GoldenLine, Facebook i innych portali. Ataki miały na celu pozyskanie informacji powszechnie niedostępnych, jak również uzyskanie dostępu do skrzynek poczty elektronicznej. Z kolei atak APT grupy Gamaredon dotknął polskich placówek dyplomatycznych oraz innych polskich instytucji funkcjonujących na terenie Ukrainy. Ataki były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano jedynie na wybrane hosty. Na podstawie analiz przeprowadzonych ataków zaobserwowano wykorzystanie wyspecjalizowanego złośliwego oprogramowania. Kolejnym przykładem jest kampania wymierzona w polskie ministerstwa z wykorzystaniem przejętej wcześniej przez grupę APT 36 infrastruktury rządowej innych państw. Zidentyfikowano złośliwe oprogramowanie, które było zmodyfikowaną wersją oprogramowania RAT o nazwie Quasar.
Nowe i stare typy zagrożeń
Ataki APT to jednak tylko jeden przykład z długiej listy zagrożeń, które czyhają w internecie. Analitycy cały czas dopisują do niej nowe pozycje, ponieważ przestępcy błyskawicznie adaptują się do bieżących warunków i modyfikują sprawdzone metody ataku lub wymyślają całkowicie nowe, szukając słabych punktów organizacji. W naturalny sposób największe zainteresowanie ekspertów budziły w ostatnim czasie te podatności, które były wynikiem wykorzystania przez atakujących sytuacji wywołanej przez pandemię COVID-19. Popularnym motywem ataków było podszywanie się pod stronę z mapą rozprzestrzeniania się wirusa czy rozsyłanie wiadomości rzekomo zawierających oficjalny komunikat WHO (Światowej Organizacji Zdrowia). Ogólnoświatowy kryzys wywołany przez pandemię sprawił, że z dnia na dzień działalność firm i podmiotów publicznych w znacznej mierze przeniosła się do Sieci. Jak doskonale wiemy, nie wszyscy byli do tego należycie przygotowani. Ale nie jest to jedyna przyczyna zmian w krajobrazie cyberbezpieczeństwa – jest ich znacznie więcej.
Najciekawsze naszym zdaniem zjawiska zebraliśmy razem, tworząc katalog trendów, które dostrzegli eksperci i analitycy. W mniejszym stopniu naszym źródłem były krajowe, unijne i światowe organizacje monitorujące bezpieczeństwo IT w sektorze publicznym, ponieważ publikują one swoje raporty ze stosunkowo małą częstotliwością. Inaczej jest z dostawcami produktów z obszaru bezpieczeństwa IT, których opracowania stanowiły nasz główny materiał wyjściowy. Dostawcy generują mnóstwo analiz, lecz ich zdecydowana większość koncentruje się na sieciach firmowych, a w dodatku publikowane badania często są ograniczone do danych zebranych przez system telemetryczny konkretnego rozwiązania komercyjnego. Na szczęście i takie opracowania mogą być cenne z punktu widzenia urzędu – niektóre opisywane w nich zjawiska są przecież uniwersalne i dotyczą każdego typu organizacji.
[…]
Eryk Chilmon
Autor jest redaktorem prowadzącym „IT w Administracji”.
