Jak co roku ABW publikuje raport o stanie bezpieczeństwa cyberprzestrzeni. Taki raport może być istotny dla komórek od bezpieczeństwa oraz osób odpowiedzialnych za szacowanie ryzyka RODO lub cyber. Raport jest dostępny o tutaj. Ci ciekawego z niego wynika?
Statystyki
Na początek garść statystyk. W roku 2022 zarejestrowanych zostało łącznie 1 234 040 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w obszarze kompetencyjnym Zespołu CSIRT GOV. Odnotowana liczba zgłoszeń stanowi wzrost w stosunku do roku poprzedniego, w którym zarejestrowano 762 175 zgłoszeń. Przedmiotowa liczba zgłoszeń przełożyła się na 21 563 zdarzeń zakwalifikowanych i zarejestrowanych jako incydenty bezpieczeństwa informatycznego.
Podatność, socjotechnika, niedostępność
największa liczba incydentów sklasyfikowana została jako PODATNOŚĆ, SOCJOTECHNIKA oraz NIEDOSTĘPNOŚĆ. Wolumen incydentów w kategorii PODATNOŚĆ w 2022 roku wyniósł 2 187 przypadków, co stanowi znaczny wzrost w stosunku do roku poprzedniego. Kategorią tą objęto w szczególności incydenty związane z identyfikacją różnego rodzaju słabości systemów telein-formatycznych, błędów konfiguracyjnych, a także będących skutkiem braku odpowiedniej polityki bezpieczeństwa, w szczególności w obszarze stałej aktualizacji oraz weryfikacji wdrożonych roz- wiązań teleinformatycznych.
W kategorii SOCJOTECHNIKA sklasyfikowano łącznie 1 053 incydenty. Tutaj również odnoto- wuje się tendencję wzrostową w stosunku do roku 2021. Kategoria SOCJOTECHNIKA objęła swoim zakresem m. in. kampanie phishingowe, podszycia oraz ataki z wykorzystaniem inżynierii społecznej, wymierzone przeciwko użytkownikom systemów teleinformatycznych. Przedmiotowe kampanie miały na celu wyłudzenie informacji poufnych, za- infekowanie stacji roboczych bądź nakłonienie użytkownika do określonych działań, niezgodnych z zasadami bezpieczeństwa pracy w systemach teleinformatycznyc
Trzecią najliczniej odnotowywaną w 2022 roku kategorią incydentów były zdarzenia skla- syfikowane jako NIEDOSTĘPNOŚĆ. W tym przypadku zarejestrowano 826 incydentów, co również stanowi istotny przyrost w porównaniu do roku poprzedniego, w którym zidentyfikowano 310 po- dobnych zdarzeń. Do kategorii NIEDOSTĘPNOŚĆ zakwalifikowano incydenty polegające na niedo- stępności witryn internetowych, wynikających zarówno z ataków DDoS (ang. distributed denial of service), jak również awarii czy wykonywanych prac technicznych.
Przykład strony wyłudzającej dane z prawa jazdy:
Pliki Excel i PDF używane do ataków
W raporcie zostały opisane conajmniej dwa scenariusze ataku z wykorzystaniem plików Excel. Jeden przez grupę APT28, która wykorzystała lukę Microsoft. Drugi przez grupę TURLA, która do infekcji złośliwym oprogramowaniem używała pliki XLL, będące rozszerzeniem dla programu Microsoft Excel (Excel add-on). Głównym ce- lem ich tworzenia jest rozszerzenie programu o dodatkowe, wydajne funkcje wspomagające pracę na arkuszu. Jest to jednocześnie biblioteka DLL uruchamiana przez program Excel, zawierająca funkcję xlAutoOpen.
Innym zagrożeniem były ataki BlueBravo / DiplomaticOrbiter, APT29 oparte o PDF. Pełny opis w raporcie, tutaj tylko wstęp: „Nie wszystkie kampanie ukierunkowane wykorzystują jednak pliki pakietu Office. W nie- których przypadkach są to również pliki PDF. Sposób wykorzystany w jednej z kampanii analizo- wanych przez CSIRT GOV wymagał jednak znacznie więcej czynności wykonanych przez atako- wanego użytkownika, a co za tym idzie – zmniejszał szanse skutecznej infekcji. Wykorzystana metoda pozwalała jednak na przeniesienie złośliwego załącznika do stacji końcowej celem in- fekcji, bez identyfikacji zagrożenia przez systemy bezpieczeństwa. Kampania z maja 2022 roku, w której adwersarze podszywali się pod Ambasadę Portugalii, dystrybuowała plik ”Agenda.pdf”, w którym zawarty był odnośnik, rzekomo do kalendarza Ambasadora, natomiast sama wiadomość nakłaniała ofiarę ataku do umówienia spotkania.”
Analiza złośliwych plików
W 2022 roku Zespół CSIRT GOV przeprowadził analizę 12 014 plików zgłoszonych przez pod- mioty krajowego systemu cyberbezpieczeństwa, spośród których 743 zostało rozpoznanych jako złośliwe. Liczba przeprowadzonych analiz wzrosła o 75% względem roku 2021.
Spośród 743 zidentyfikowanych złośliwych plików, 263 zostało sklasyfikowanych, m.in. za pomocą reguł typu YARA oraz Sigma, do poniższych typów oprogramowania szkodliwego:
Co dalej?
Jak możemy pomóc Twojej firmie? Zapoznaj się z naszą ofertą RODO (tutaj) i Cyber (tutaj) lub od razu skontaktuj się (tutaj). W szczególności możemy przeprowadzić szkolenie dla Twojego personelu w tym IOD lub zarządu, przeprowadzić analizę ryzyka, audyt lub zaopiniować przyjęte rozwiązania.
