Cyberprzestępcy aktywniejsi niż zwykle
11.04.2023
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV obserwuje zwiększoną aktywność cyberprzestępców, których celem jest próba przełamania zabezpieczeń systemów teleinformatycznych administracji rządowej oraz infrastruktury krytycznej.
Prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV obserwuje zwiększoną aktywność działań cyberprzestępczych w sieci Internet, przejawiającą się w szczególności w postaci zintensyfikowanych ataków wymierzonych w infrastrukturę teleinformatyczną podmiotów należących do administracji rządowej oraz podmiotów odpowiedzialnych za utrzymanie infrastruktury krytycznej. Obserwowane są w szczególności kampanie w postaci ataków DDoS na domeny wzmiankowanych podmiotów, socjotechniczne kampanie phishingowe, a także próby wykorzystania podatności systemów teleinformatycznych, w celu uzyskania dostępu do danych wrażliwych oraz nieautoryzowanej kontroli nad systemami.
Od momentu wprowadzenia stopnia alarmowego CHARLIE CRP Zespół CSIRT GOV odnotowuje wysoki wolumen ataków DDoS wymierzonych w infrastrukturę teleinformatyczną organów administracji rządowej RP oraz operatorów infrastruktury krytycznej, realizowanych przez zorganizowane grupy hacktywistyczne. Kampanie tego rodzaju są ukierunkowane na ograniczenie dostępności domen internetowych atakowanych podmiotów. Biorąc pod uwagę fakt, że są nagłaśniane w mediach społecznościowych, stanowią także element walki propagandowej.
W przypadku ataków DDoS szczególne zagrożenie stanowią próby zakłócenia dostępności rozpowszechnionych aktualnie publicznych usług świadczonych elektronicznie, w tym profili zaufanych, usług związanych z publiczną służbą zdrowia, bądź też ataki, które mogą powodować wymierne straty dla Skarbu Państwa, np. poprzez zakłócenie działania systemów elektronicznego poboru opłat, rozliczania opodatkowania etc. Celem ataków jest także infrastruktura teleinformatyczna podmiotów branży transportowej, m.in. kolejowej oraz lotniczej, a także podmiotów odpowiedzialnych za infrastrukturę transportową, energetyczną, paliwową czy przesyłową. Skala ataków wymusza utrzymywanie stałego, podwyższonego poziomu ochrony bezpieczeństwa teleinformatycznego dla obszaru odpowiedzialności zespołów CSIRT.
Ponadto CSIRT GOV odnotowuje utrzymującą się na wysokim poziomie intensywność kampanii socjotechnicznych, adresowanych do odbiorców masowych, ale także skierowanych do przedstawicieli wybranych podmiotów i instytucji czy wreszcie wobec osób pełniących funkcje publiczne. Działanie tego rodzaju ukierunkowane jest przede wszystkim na zdobycie danych uwierzytelniających, umożliwiających uzyskanie nieuprawnionego dostępu do zasobów atakowanego podmiotu czy osoby. Istotnym celem ataków jest także próba dystrybucji złośliwego oprogramowania w celu uzyskania wtórnego dostępu do systemów informatycznych, wykorzystywanego do realizacji dalszych działań cyberprzestępczych.
W powyższym zakresie można wskazać kampanie polegające na dystrybucji wiadomości, w ramach których atakujący wykorzystywali wizerunek rozpoznawalnych podmiotów gospodarczych lub podmiotów współpracujących z ofiarą ataku. Odnotowywane były także przypadki użycia w kampaniach pishingowych oryginalnej korespondencji służbowej podmiotów atakowanych czy wcześniej skompromitowanych kont poczty elektronicznej. Ponadto CSIRT GOV identyfikuje znaczną liczbę rejestracji domen o nazwach przypominających nazwy oficjalnych witryn rządowych. Strony te mogą zostać w przyszłości wykorzystane do działań socjotechnicznych (phishing, dezinformacja). Świadczyć mogą o tym w szczególności dotychczas rozpoznane przypadki aktywności stron internetowych wykorzystujących wizerunek i szatę graficzną domen administracji publicznej.
Za pomocą podobnych witryn, w oparciu o zawartą na nich treść dezinformującą (np. dotyczącą rzekomych dotacji rządowych, fałszywych informacji dot. opodatkowania, etc.), cyberprzestępcy dążą do pozyskania danych osobowych, a także danych uwierzytelniających do kont poczty elektronicznej czy bankowości elektronicznej.
Obserwowane są ponadto kampanie socjotechniczne o charakterze dezinformacyjnym, mające na celu stworzenie w oczach opinii publicznej fałszywego obrazu bieżącej sytuacji geopolitycznej. Rozpoznano na przykład działania polegające na dystrybucji informacji o wzroście zagrożenia terrorystycznego na terenie RP.
Z obserwacji CSIRT GOV wynika, że skuteczność kampanii phishingowych w dużej mierze wynika z braku świadomości cyberzagrożeń użytkowników systemów teleinformatycznych. Dlatego w sposób zintensyfikowany prowadzone są działania ukierunkowane na uświadomienie poziomu zagrożeń oraz sposobów ich mitygacji. Istotną rolę odgrywa także dystrybucja ostrzeżeń i rekomendacji, będąca efektem rozpoznania wcześniejszych ataków oraz identyfikacji potencjalnych zagrożeń.
Kolejnym zagrożeniem w zakresie cyberbezpieczeństwa systemów teleinformatycznych administracji państwowej RP, a także operatorów infrastruktury krytycznej, są intensywne próby przełamania zabezpieczeń urządzeń brzegowych atakowanych podmiotów funkcjonujących na styku z siecią Internet. Działania tego rodzaju, przejawiające się w postaci masowego skanowania infrastruktury sieciowej, mają na celu rozpoznanie podatności systemów na próby uzyskania nieautoryzowanego dostępu bądź exploitacji złośliwego oprogramowania (troian, ransomware etc.). W związku z identyfikacją tego rodzaju niebezpieczeństwa CSIRT GOV monitoruje stan bezpieczeństwa infrastruktury IT podmiotów pozostających w jego właściwości, a także dystrybuuje rekomendacje w zakresie zidentyfikowanych podatności (luk bezpieczeństwa w produktach dostawców rozwiązań informatycznych, błędnych konfiguracji, konieczności aktualizacji oprogramowania, niepożądanego dostępu do zasobów z sieci otwartej).
CSIRT GOV obserwuje również zagrożenia związane z odnotowanymi próbami przeprowadzania ataków typu ransomware. Z uwagi na istotność tego rodzaju zagrożenia, mogącą doprowadzić do paraliżu bieżącej działalności poszkodowanych podmiotów, ciągłości świadczenia usług drogą elektroniczną czy utraty wrażliwych danych, CSIRT GOV dystrybuuje rekomendacje zawierające możliwe środki zapobiegawcze pozwalające na mitygację ataków tego rodzaju.
W związku z bieżącą sytuacją geopolityczną, mającą istotny i dostrzegalny wpływ na poziom bezpieczeństwa cyberprzestrzeni RP, a także państw sojuszniczych należy - w opinii ABW – przede wszystkim podkreślić zauważalny wzrost wolumenu incydentów bezpieczeństwa teleinformatycznego. Do szczególnie groźnych aktywności należą próby mające na celu uzyskanie nieautoryzowanego dostępu do wiadomości wrażliwych bądź do systemów informatycznych instytucji i podmiotów kluczowych dla bezpieczeństwa i funkcjonowania administracji państwowej oraz infrastruktury krytycznej.
Biuro Prasowe Ministra Koordynatora Służb Specjalnych