WIDEO. Czy hakerzy wyłączą w Polsce prąd? Jest duże ryzyko

Mroki średniowiecza nie są wcale tak daleko, jeśli spojrzeć na obecne zagrożenia ataków ze strony hakerów w energetyce, a pod kątem cyberbezpieczeństwa nadal tkwimy w fazie „wieków mroku”. Gościem Maksymiliana Wysockiego w poniedziałkowym „Wywiadzie Gospodarczym” w telewizji wPolsce.pl był Łukasz Nowatkowski, dyrektor ds. bezpieczeństwa IT w firmie G Data

Czy hakerzy wyłączą Polsce prąd? To pytanie wcale nie jest tak abstrakcyjne, jak by się mogło wydawać. Obecnie obserwujemy nasilenie działań zorganizowanych grup hakerskich i nie tylko nie tylko na osoby prywatne, lecz także na sektor energetyki. Te grupy często związane są z wywiadem obcych państw.

Eksperci ds. cyberbezpieczeństwa ESET opublikowali najnowszy raport na temat cyberzagrożeń w czterech pierwszych miesiącach 2021 roku. Badanie pokazuje zwiększoną aktywność wyspecjalizowanych grup hakerskich APT (ang. Advanced Persistent Threat), które wykorzystywały łańcuch luk w zabezpieczeniach oprogramowania Microsoft Exchange Server. Znajdują się w nim także nowe ustalenia dotyczące grup Lazarus i Turla oraz analiza złośliwego oprogramowania, które kradnie pliki z urządzeń iOS.

Eksperci bezpieczeństwa cybernetycznego z firmy Check Point Research zidentyfikowali i zablokowali operację szpiegowską wymierzoną w rząd jednego z krajów Azji Południowo-Wschodniej. Po zainstalowaniu backdoora atakujący mogli zebrać dowolne informacje, a także wykonywać zrzuty ekranu i uruchamiać dodatkowe złośliwe oprogramowanie na komputerach osobistych ofiar. Zdaniem analityków Check Pointa za atakiem stoi chińska grupa hakerska typu ATP, która testowała i udoskonalała backdoora dla systemu Windows od co najmniej trzech lat.

Kampania hakerska rozpoczęła się od rozsyłania szkodliwych dokumentów (.docx) do różnych pracowników instytucji rządowej w Azji Południowo-Wschodniej. Wiadomości zostały sfałszowane tak, aby wyglądały, jakby zostały wysłane przez inne podmioty rządowe, jednak „uzbrojone załączniki” wykorzystywały technikę zdalnego szablonu w celu pobrania złośliwego kodu z serwera grupy atakującej. Tzw. „szablon zdalny” jest funkcją oprogramowania MS Office, która umożliwia pobranie szablonu dokumentu ze zdalnego serwera za każdym razem, gdy użytkownik otworzy dokument.

Na ostatnim etapie łańcucha infekcji złośliwy program miał pobrać, odszyfrować i załadować do pamięci plik DLL (Dynamic Link Library). Jak informuje Check Point Research, moduł backdoora wydaje się unikatowym, wykonanym na zamówienie złośliwym oprogramowaniem o wewnętrznej nazwie „VictoryDll_x86.dll”. Oferuje on m.in. możliwość odczytu i edycji plików, uzyskania informacji o procesach i usługach, pobierania zrzutów ekranu, odczytu i zapisu protokołów oraz uzyskania bliższych informacji o komputerach ofiar.

Ostatecznie śledztwo Check Pointa doprowadziło do odkrycia nowego backdoora dla systemu Windows, czyli - innymi słowy - nowej broni cyberszpiegowskiej, którą chińska grupa zajmująca się zagrożeniami rozwija najprawdopodobniej od 2017 roku. Backdoor był formowany i wielokrotnie modyfikowany w ciągu trzech lat, zanim został wykorzystywany na komputerach ofiar. Eksperci zaznaczają, że napastników interesują nie tylko zimne dane, ale także to, co w każdej chwili dzieje się na komputerze osobistym celu, co skutkuje tzw. „szpiegostwem na żywo”. Chociaż firmie Check Point udało się zablokować opisaną operację, możliwym jest, że chińscy hakerzy używają swojej nowej broni cyberszpiegowskiej na innych celach na całym świecie.

Do tego dochodzą niedawne ataki na wirówki elektrowni atomowej w Iranie, czy włam i szpiegowanie sieci energetycznej w USA (afera Solar Winds), w której z kolei tropy prowadzą do Rosji.

Jest bardzo duży problem z tak zwanymi zagrożeniami typu Zero-Day, czyli lukami w programowaniu, które do dzisiaj nie zostało wykryte. W związku z tym, tak właśnie, jak z atakiem z Chin, gdzie od 3 lat luka mogła być znana, natomiast została opublikowana dopiero całkiem niedawno, właśnie w ten sposób tworzy się całą historię użytkowników zombi, którzy potem mogą zostać wykorzystani do zupełnie innego ataku, a w szczególności do ataku właśnie na infrastrukturę krytyczną, która używa dokładnie tego samego programowania - ocenia Łukasz Nowatkowski, dyrektor bezpieczeństwa IT w G Data. Jak dodaje, tropy potem prowadzą śledczych do użytkowników, którzy nie mieli pojęcia, że atak na instytucje rządowe został przeprowadzony z ich urządzenia. Dla śledczych najpierw to oni stają się głównymi podejrzanymi.

Nikt nie ma pojęcia ile naprawdę jest takich tylnych furtek w systemach lub dziur i błędów w systemach, które mogą się dla cyber szpiegów i przestępców takimi tylnymi furtkami stać. Ale jeszcze gorsze jest to, że temat ten wydaje się nie istnieć w świadomości zarządów firm i instytucji, mimo wzmożonej aktywności nawet obcych służb, nie tylko pospolitych cyberprzestępców.

Musimy mieć świadomość że powinny być prowadzone testy penetracyjne wewnątrz organizacji, wewnątrz instytucji tak, aby analizować zagrożenia i ewentualnie tym zagrożeniom zapobiegać, a być może znajdywać właśnie luki w zabezpieczeniach, zanim zrobią to ludzie którzy zarabiają na tym nielegalnie. Osobiście uważam że to jest największy grzech instytucjonalny i korporacyjny, że takie postępowania nie są przeprowadzane w jakimś pospolitym ruszeniu - dodaje Nowatkowski.

Jednak błędy systemu nie są najczęstszą metodą włamywania się i przejmowania dostępów do sieci. 90 proc. ataków malware wykorzystuje tzw. czynnik ludzki. Aż 60 proc. Amerykanów włożyło do swojego komputera pendrive’a „przypadkowo” porzuconego przed biurem z czystej ciekawości. Najsłabszym ogniwem systemu zabezpieczeń zawsze jest człowiek.

Czego mogą nauczyć nas ostatnie ataki, także te na energetykę? Czy jest jakiś bezpieczny system? Czy któraś forma zabezpieczenia sieci jest bezpieczniejsza? Czy bezpieczniejsza jest chmura, własna sieć, a może bezpieczeństwo zapewnia brak sieci? I czy hakerzy w końcu wyłączą w Polsce prąd?

ZOBACZ CAŁY WYWIAD GOSPODARCZY: