Co zaskoczyło specjalistów w dziedzinie cyberbezpieczeństwa w 2022 roku?

Mijający rok to kolejny, który stał pod znakiem ogromnej aktywności cyberprzestępców. Swoimi opiniami na temat szczególnie interesujących wydarzeń związanych z tematyką #cybersecurity dzielą się Aleksander Kostuch, inżynier Stormshield oraz Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET.

Wojna w Ukrainie – wzrost świadomości zagrożeń a cyberprzestępcy bohaterami

Bieżący rok zaskoczył mnie zbrojną napaścią Rosji na Ukrainę. O ile poprzedzające szkodliwe działania i ataki w cyberprzestrzeni mogły medialnie się rozmywać, a de facto cyberwojna z Ukrainą trwałaby przez lata, to bezpośrednich działań nie sposób ukryć. Zakamuflowane grupy w przeszłości anonimizowały się, a rządowe finansowanie ich działalności było trudne do wyobrażenia dla opinii publicznej. Wiedza dotyczącą sposobów działania takich grup była obecna jedynie wśród specjalistów cyberbezpieczeństwa. Jednak aktywny konflikt zbrojny i związane z nim działania w cybersferze spowodowały skokowy wzrost świadomości zagrożeń. Społeczeństwo ma coraz większą świadomość, że każdy może stać się ofiarą cyberprzestępców, a to przekłada się na zmianę indywidualnego podejścia do kwestii zabezpieczeń przy codziennym korzystaniu z urządzeń elektronicznych. Coraz więcej z nas traktuje to wyzwanie poważnie, wiedząc, że potencjalne skutki udanego ataku mogą być dużo bardziej odczuwalne niż inwestycja w bezpieczeństwo.

W kontekście wojny w Ukrainie zwraca moją uwagę również przesuniecie balansu działań grup przestępczych, dla których dotychczas motywacją były korzyści finansowe, a obecnie stała się nią polityka.

Po wybuchu wojny grupa „Anonymous” eskalowała działania odwetowe wymierzone w Rosję, m.in. poprzez hakowanie rosyjskich instytucji. Te działania odbiły się szerokim echem. Anonymus w odczuciu opinii publicznej stali się współczesnym Robin Hoodem, co sprawiło, że postrzeganie uczestnictwa w działaniach hakerskich nie jest już wyłącznie negatywne.

Kryptowalutowa gorączka się kończy?

W tym roku nastąpił kryzys w zakresie wyceny i spadku popularności kryptowalut, co jest następstwem kompromitacji i okradania prywatnych giełd oraz wzrostu cen prądu.

W listopadzie bieżącego roku bankructwo ogłosiła FTX, do niedawna trzecia co do wielkości giełda kryptowalut. Upraszczając właściciel giełdy Sam Bankman-Fried stracił zaufanie po potajemnym przekazaniu aktywów swoich klientów, o wartości około 10 mld dolarów, do swojego funduszu inwestycyjnego Alameda Research. Inwestorzy wystraszyli się ryzyka, udziału w piramidach finansowych i strat. Po ogłoszeniu tych rewelacji Bitcoin stracił w ciągu kilku dni 25 proc. wartości. W konsekwencji kolejne zależne spółki, takie jak np. firmy z rynku pożyczek kryptowalut, również ogłaszały upadłość na skutek niemożności odzyskania milionów dolarów z FTX. W zaistniałej sytuacji ze strony innych uczestników tego rynku, np. największej z giełd kryptowalut – Binance, pojawiły się oczekiwania ustanowienia regulacji ws. obrotu kryptowalutami. Obecnie bezkarne są manipulacje cenowe, z użyciem celebrytów lub botów, które wykonują zautomatyzowane działania przyczyniając się do regulacji ceny.

Innym istotnym wydarzeniem w kontekście rynku kryptowalut była kradzież ponad 600 milionów dolarów z chińskiego projektu w 2021. Ten przykład pokazuje taktykę działania hakerów, którzy szukają słabości projektów giełd kryptowalut, aby wyprowadzać środki poprzez przejęcie mocy obliczeniowej, przy równoczesnym tworzeniu odnóg łańcucha bloków, blokowaniu transakcji, czy ataki na kryptowalutowych „górników”.

Spadek wartości kryptowalut powoduje, że taka działalność przestaje się opłacać. Krypto-nagroda za wydobycie spada, a koszty energii elektrycznej — niezbędnej, aby zasilać sprzęt komputerowy wysokiej mocy obliczeniowej o wysokim hashrate – dramatycznie rosną. Dodatkowo pandemia doprowadziła do braków na rynku bardziej wydajnych procesorów używanych w koparkach — CPU, GPU, FPGA i ASIC, więc również te komponenty zdrożały.

Wszystkie powyższe aspekty mają znaczenie w kontekście cyberbezpieczeństwa. Drobni inwestorzy, którzy nie mają szczegółowej wiedzy dotyczącej działania kryptowalut są nęceni przez oszustów pokusą wysokich zysków, do czego wykorzystywane są reklamy lub uprowadzone konta społecznościowe. Przestępcy posługują się prawdziwymi nazwami podmiotów z branży finansowej, spoofują prawdziwe numery telefonów i proponują fałszywe inwestycje lub starają się zdobyć podstępem dostęp do konta „krytpo ciułacza”, aby wykraść będące w jego posiadaniu zasoby.

Aktywność administracji publicznej

Rosnącą skalę cyberzagrożeń w bieżącym roku zauważyły również rządowe instytucje nadzorujące tę sferę funkcjonowania państwa. Ogłoszono programy „Cyfrowa gmina” i „Cyfrowy Powiat”, oferując samorządom różnego szczebla wsparcie ich cyfrowego rozwoju, w tym podnoszenie kompetencji i wdrażanie nowych rozwiązań
w obszarze bezpieczeństwa IT. Z myślą o tym dofinansowano także system ochrony zdrowia. To przykłady pokazujące zmianę podejścia do problemu. Niestety zarówno sektory administracji i samorządu, jak i zdrowotny wciąż mają wiele do zrobienia. Niewątpliwie jednak wsparcie ze strony władz, w tym dedykowane fundusze
to przełomowy krok. Przewiduję, że również 2023 rok zdominuje tematyka bezpieczeństwa, w szczególności pod kątem cyber-zabezpieczeń, do czego z pewnością przyczyni się nowelizacja „Dyrektywy w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w całej Unii”, pod nazwą NIS2. Niezmiennie, bardzo istotne przy tym pozostaną kwestie edukacji i podnoszenia kompetencji obywateli w zakresie cyberbezpieczeństwa cyfrowego.

Masowy atak na terminale 

Za zaawansowany co do sposobu działania i jednocześnie dotkliwy w skutkach atak można uznać uszkodzenie terminali Internetu satelitarnego, którego użytkownikiem była m.in. ukraińska armia, a do którego doszło w dniu ataku Rosji na Ukrainę. Atakujący zdalnie uszkodzili kilkadziesiąt tysięcy modemów odpowiadających za łączność
w różnych krajach Europy, uniemożliwiając ich zdalną naprawę. Awarii uległy m.in. terminale zdalnego zarządzania turbinami wiatrowymi w Niemczech.

Polacy na celowniku oszustów

Za nietypowe oszustwo, wymierzone również w polskich użytkowników, można uznać próby nawiązywania kontaktu przez fałszywe konta w serwisach społecznościowych i popularnych komunikatorach. Oszuści tworzyli konta zawierające atrakcyjne zdjęcia Azjatek. Ich komunikacja została dobrze dopracowana – rzekoma rozmówczyni przesyłała w kolejnych dniach zdjęcia z jej codziennego życia, usiłując wzbudzić jak największe zaufanie i zainteresowanie przyszłej ofiary, dążąc przy tym do bliższej znajomości. Komunikacja ze strony rozmówczyni, ewoluująca w kolejnych dniach, zmierzała do nakłonienia ofiary do mającej rzekomo przynieść ogromny zysk inwestycji na giełdzie.

Trudno określić, czy za kontakt po drugiej stronie odpowiadał człowiek, rozbudowane metody sztucznej inteligencji, czy też połączenie jednego i drugiego. W miarę rozwoju metod sztucznej inteligencji możemy z pewnością spodziewać się coraz większej liczby podobnych ataków, dopracowanych i wyrafinowanych.

Zdecydowane kroki w strategii bezpieczeństwa Apple

Za bezprecedensowe w branży „cybersec” rozwiązanie, należy uznać wprowadzony przez Apple na szeroką skalę tryb „Lockdown”, mający za zadanie ograniczyć ataki prowadzące do infekcji urządzeń iPhone wyspecjalizowanym oprogramowaniem szpiegowskim takim jak Pegasus. W tym trybie większość typów załączników oraz technologii webowych jest zablokowanych, nie ma również możliwości instalacji profilu konfiguracyjnego i zarejestrowania urządzenia w MDM (Mobile Device Management).

Lockdown Mode od Apple stanowi przykład zdecydowanego kroku na przód w kwestii bezpieczeństwa użytkowników. Należy przy tym pamiętać, że każde oprogramowanie wymaga nieustannego poszukiwania potencjalnych luk w zabezpieczeniach. Wiemy, że Apple zamierza rozwijać swoje rozwiązanie, aby jak najbardziej utrudnić zdalną instalację złośliwego oprogramowania.

Awarie w rytmie pop

Poza głośnymi atakami cybernetycznymi na Ukrainę oraz włamaniami do popularnych firm, takich jak Revolut czy Uber, rok 2022 przyniósł również kilka nietypowych, a niekiedy dość zaskakujących informacji, które przewinęły się przez branżę bezpieczeństwa IT. Zrobiły one sporo zamieszania, chociaż dotychczas nie wykorzystano ich do ewentualnych ataków odmowy usługi polegających na celowym działaniu prowadzącym do niedostępności danej usługi lub funkcji.

Do takich informacji należy z pewnością przypadek utworu Janet Jackson, którego odtworzenie powodowało rezonans i zawieszenie działania niektórych dysków twardych. Podatność otrzymała nawet oficjalny identyfikator CVE-2022-38392 i dotyczy dysków o prędkości 5400 RPM wyprodukowanych około 2005 roku.

To nie jedyny akcent muzyczny, z jakim miała do czynienia branża bezpieczeństwa w 2022 roku. Transmisja amerykańskiej stacji radiowej również powodowała usterkę systemów infotainment samochodów Mazda wyprodukowanych pomiędzy 2014 a 2017 rokiem, uniemożliwiając zmianę na inną częstotliwość niż 94,9 FM, na której nadawała stacja. Usterka doprowadzała do ciągłego restartowania się systemu, co uniemożliwiało jego prawidłowe działanie. Winnym okazały się pliki graficzne, przesyłane bez rozszerzenia w strumieniu radiowym, których system nie potrafił w odpowiedni sposób obsłużyć.

Te przypadki pokazują, jak skomplikowane i złożone mogą być błędy i podatności we wszelkiego rodzaju systemach. Usterka i zaprzestanie działania urządzenia lub oprogramowania mogą, choć nie muszą, być wywołane celowymi działaniami osób trzecich. Czy w przyszłości będziemy świadkami ataków odmowy usługi przeprowadzanych z wykorzystaniem transmisji radiowej i muzyki? Na ten moment takie scenariusze brzmią surrealistycznie, natomiast nie możemy ich całkowicie wykluczać.

Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT: