Syta: Ostatnie cyberataki to wierzchołek góry lodowej (ROZMOWA)
Pod koniec czerwca cyberatak przy użyciu wirusa Petya zaatakował komputery w Azji, Europie i Stanach Zjednoczonych. Nikt nie przyznał się dotąd do ataku. Dotknął on największe koncerny jak Rosnieft czy AP Moller-Maersk. Czym jest Petya portalowi BiznesAlert.pl wyjaśnia Jakub Syta, Dyrektor Biura Zarządzania Usługami Bezpieczeństwa Exatel.
BiznesAlert.pl: Jaki rodzaj wirusa zaatakował wiele krajów na świecie pod koniec czerwca? Jaki to był rodzaj ataku?
Jakub Syta: Był to tak zwany robak komputerowy, czyli rodzaj złośliwego oprogramowania, które do rozprzestrzeniania się w sieci wewnętrznej nie wymagało już żadnej ingerencji ze strony użytkownika. Wystarczyła nieauwaga jedynie jednego z pracowników, by cala organizacja, a dokładniej mówiąc cały segment sieci, w której znajdował się ten użytkownik, był narażony na straty. Wiadomo o ponad 60 krajach, które zostały zaatakowane.Zgodnie ze statystykami około 5% infekcji stanowiły polskie organizacje
Jakie mogło być źródło tych ataków?
Pomiędzy organizacjami złośliwe oprogramowanie (malware) przenosiło się jako automatycznie rozsyłany załącznik do maila. Zawierał on w sobie zaszyty skrypt, który po uruchomieniu rozpoczynał proces kradzieży haseł, rozprzestrzeniania się i szyfrowania. Głównym, choć jak się wydaje nie jedynym źródłem pierwotnej infekcji były sfałszowane aktualizacja popularnego ukraińskiego oprogramowania biurowego. Przestępcy włamali się na serwery producenta, podłożyli spreparowany plik i czekali aż rzesze klientów ufając, że to autentyczna poprawka, ściągną pliki i samodzielnie zainstalują we własnych sieciach. Było to tym samym bardzo skuteczne zagranie psychologiczne – większość użytkowników ufa poprawkom dystrybuowanym przez producentów.
W przypadku cyberataków zwykle podejrzewa się Rosję, jednak teraz zaatakowano także rosyjskie, państowe spółki takie jak Rosnieft i Gazprom…
Podejrzenia i spekulacje są niestety bardzo trudne do udowodnienia – w Internecie znacznie łatwiej jest ukryć swoją rzeczywistą tożsamość czy lokalizację niż w świecie realnym. Dodatkowo wiele grup stara się ukrywać swoją tożsamość udając kogo innego. Ostatnio wyciekł cały pakiet narzędzi koncentrujących się jedynie na wprowadzaniu do kodu tego typu modyfikacji.
Z drugiej strony tworząc cyberbroń trzeba mieć na uwadze ryzyko, że wymknie się ona spod kontroli i zaatakuje nie tylko wrogów ale i przyjaciół. Między innymi z tego powodu umieszcza się niekiedy w tego typu oprogramowaniu wyłączniki – tzw. „kill switch”, które pozwalają ograniczać rozprzestrzenianie się infekcji
Jaki był tego ataku cel? rabunek? kradzież danych? paraliż pracy instytucji?
Przygotowanie tego typu rozwiązania trwało wiele miesięcy i najprawdopodobniej nie były wynikiem pracy jednej osoby, lecz zespołu. Moduły odpowiedzialne za rozprzestrzenianie się pomiędzy instytucjami, infekowanie wszystkich stacji w ramach organizacji, szyfrowanie danych i kradzież haseł – zostały przygotowane z dużą starannością. Elementy odpowiedzialne za gromadzenie okupu, czy udostępnianie kodów pozwalających odzyskać dane – można wręcz powiedzieć, że były przygotowane w sposób amatorski i zostały sparaliżowane po paru chwilach. Cała wielka praca przyniosła twórcom zaledwie około 10 000 USD. Zdecydowanie więc można założyć, że nie chodziło w tym przypadku o osiągniecie korzyści finansowej.
W ciągu 2 miesięcy miesiliśmy do czynienia z atakami takimi jak WannaCry czy Petya. Czy takich ataków może być w tym roku więcej?
Bardzo bym się zdziwił, gdyby w najbliższych tygodniach kilka kolejnych tego typu infekcji nie obiegło świat. Zaznaczę jednak, że te ataki to tylko wierzchołek tego, co naprawdę dzieje się w Internecie – szybkość i rozległość infekcji spowodowała, że stały się one modnymi tematami. Tego typu infekcji, tylko na mniejszą skalę, codziennie są tysiące na całym świecie. Przypomnę, że 2 tygodnie temu ujawniliśmy, że zespół SOC (Security Operations Center) w Exatel wykrył sieć ponad 1000 wodopojów. Są to zwykłe, potencjalnie niewinne strony, które infekują każdego odwiedzającego. Strony te w większości należały do organizacji, które nie potrafią się bronić przed cyberatakami (przedszkola, żłobki, spa, drobne usługi). Na co dzień odwiedzając te lokalne witryny nie zdajemy sobie sprawy, że każda taka wizyta może się potencjalnie zakończyć zaszyfrowaniem najcenniejszych danych. Internet wciąż funkcjonuje jak dziki zachód. Jest oczywiście grupa szeryfów chroniących rubieże, ale tak naprawdę zapewnienie własnego bezpieczeństwa to wciąż odpowiedzialność każdego z nas.
Rozmawiał Bartłomiej Sawicki
