Zagrożenia internetowe I kw. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2010

Ataki ukierunkowane

Wydarzenia opisane w tej sekcji miały swój początek w 2010 roku. Pod koniec zeszłego roku grupa o nazwie Anonymous przyznała się do przeprowadzenia ataków DDoS na strony internetowe Mastercard, Visa oraz Paypal. Była to zemsta za to, że firmy te odmówiły przetwarzania transakcji związanych z inicjatywą Wikileaks. Wiele osób zastanawiało się, kto kryje się za nazwą Anonymous. Na początku 2011 roku HBGary, firma zajmująca się bezpieczeństwem IT, poinformowała, że wie, kto jest odpowiedzialny za te ataki. Jednak kilka dni później sama padła ofiarą ataku.

W pierwszym kwartale 2011 roku miało miejsce kilka ataków, których celem padły różne organizacje. Oprócz zaatakowania HBGary hakerzy uderzyli również w RSA, BMI, Lush oraz strony internetowe Play.com i wiki.php.net. W efekcie tych skutecznych ataków cyberprzestępcy uzyskali dostęp do różnych danych, łącznie z danymi identyfikującymi użytkowników, które mimo że nie mogą przynieść natychmiastowych korzyści, mogą być przydatne.

Kilka lat temu włamanie się do serwerów dużej firmy stanowiłoby spory wyczyn dla hakerów. Niestety obecnie podobne incydenty stają się coraz bardziej powszechne. Wszystko wskazuje na to, że niektórzy profesjonalni hakerzy trafili na żyłę złota, rezygnując z masowego infekowania komputerów domowych na rzecz włamywania się do dużych korporacji. Taka aktywność jest bardziej ryzykowna, ponieważ w przeciwieństwie do użytkowników domowych, duże korporacje mogą pozwolić sobie, i często decydują się, na rewanż. Jednak stawka, a tym samym potencjalne korzyści związane z dokonywaniem ataków ukierunkowanych na korporacje są wyższe. Co więcej w tym segmencie czarnego rynku istnieje mniejsza konkurencja.

Niepokojący jest fakt, że celem wielu ataków stają się firmy zajmujące się bezpieczeństwem IT. Firmy z tej branży obsługują zwykle dużą liczbę klientów, dlatego w wyniku udanego ataku cyberprzestępcy mogą wejść w posiadanie kluczy do cyfrowych portfeli dużej liczby użytkowników rozsianych po całym świecie.

Z technicznego punktu widzenia włamanie się do serwerów firm zajmujących się bezpieczeństwem IT jest bardzo trudne. W przypadku HBGary, hakerzy zdołali przeniknąć do sieci firmy poprzez zaatakowanie najmniej krytycznych, a przez to najsłabiej chronionych, serwerów wykorzystywanych przez dział pomocy technicznej. Ponieważ administrator serwera był jednocześnie dyrektorem generalnym firmy, po zdobyciu jego loginu i hasła hakerzy uzyskali również dostęp do różnych innych danych na serwerze. Skradzione dane były bardzo cenne, ponieważ HBGary współpracuje z dużymi organizacjami finansowymi i organami rządowymi. Pierwszy lepszy cyberprzestępca próbowałby od razu sprzedać takie dane na czarnym rynku. Jednak hakerzy stojący za tym atakiem nie poszli utartą ścieżką: zamiast tego publicznie udostępnili uzyskane poufne dane. Ich głównym celem było zaszkodzenie reputacji firmy poprzez rozgłoszenie wiadomości o włamaniu.

W ataku na RSA dużą rolę odegrał czynnik ludzki. Cyberprzestępcy wysłali pracownikom tej firmy szkodliwe pliki Excela o nazwie ‘2011 Recruitment Plan.xls’, mając nadzieję, że znajdzie się przynajmniej jedna osoba, która pokusi się o otworzenie pliku. Ich kalkulacje okazały się słuszne: jeden z pracowników RCA otworzył szkodliwy plik, który w rzeczywistości zawierał exploity zero-day. Dzięki niemu cyberprzestępcy mogli przejąć kontrolę nad komputerem tego pracownika, a następnie przeniknąć przez rozbudowany system ochrony sieci korporacyjnej. Incydent ten po raz kolejny pokazuje, że pracownicy firm stanowią najsłabsze ogniwo w łańcuchu bezpieczeństwa IT. Głównym sposobem wzmocnienia tego ogniowa jest organizowanie szkoleń – nie tylko dla personelu IT, ale również dla pozostałych pracowników. Niezależnie od tego, jak mocna jest ochrona techniczna firmy oraz jak profesjonalnie zostały skonfigurowane jej polityki bezpieczeństwa, stworzenie dobrze chronionego systemu nie będzie możliwe, jeżeli wszyscy pracownicy nie będą rozumieli i przestrzegali podstawowych reguł bezpieczeństwa IT.

W pierwszym kwartale 2011 roku hakerzy zaatakowali również zasoby rządowe należące do Kanady, Francji i Korei Południowej. O ile ataki na prywatne firmy zwykle są podyktowane względami finansowymi, w przypadku zasobów rządowych nie wiadomo, czym kierują się osoby wybierające sobie takie cele. W Kanadzie i Francji cyberprzestępcy chcieli uzyskać dostęp do tajnych dokumentów. W Korei Południowej celami były rządowe konta na Twitterze i YouTubie. W przypadku grupy Anonymous i firmy HBGary, cyberprzestępców motywowało coś innego niż chciwość. Ataki były formą protestu przeciwko konkretnym decyzjom podjętym przez organizacje i organy rządowe. Trzeba pamiętać, że Internet stał się istotną częścią naszego życia codziennego i nie stanowi już jedynie globalnego środowiska informacji; dzisiaj to również arena dla zmagań politycznych.