Podczas konferencji
szczególną uwagę poświęcono kwestii ataków ukierunkowanych – APT (Advanced
Persistent Threat) – oraz DDoS (Distributed Denial of Service). Zdaniem
organizatorów wydarzenia wokół ataków APT narosło sporo mitów i nieporozumień.
Ponieważ termin APT jest kojarzony z atakami na instytucje związane
z rządami państw, to firmy i korporacje często uznają, że nie staną
się ich ofiarami. Tymczasem celem nowego rodzaju zagrożeń, czyli ataków
ukierunkowanych (ta nazwa lepiej oddaje istotę rzeczy), może być każda
organizacja dysponująca zasobami informatycznymi, które przestępcy zdołają
wykorzystać.

Palącym problemem stają się zmasowane, nastawione na
sparaliżowanie internetowego biznesu i systemu łączności ataki typu DDoS.
Co gorsza, można je w przestępczych serwisach internetowych zamówić już za
100 dol. Za tę niewielką kwotę kupujący doprowadzi do wygenerowania ruchu
o wolumenie kilku gigabitów na sekundę, który przez 24 godziny skutecznie
zablokuje działalność dowolnej firmy. Ponieważ większość polskich klientów
biznesowych nie dysponuje łączem o przepustowości większej niż
1 Gb/s, tego rodzaju cybernajazd oznacza całkowite odcięcie od kluczowych
zasobów (np. CRM), od możliwości składania zamówień czy wszelkiej komunikacji
przez Internet.

Coraz częściej dla atakujących ważniejsze niż sam efekt
w postaci blokady staje się dążenie do odwrócenia uwagi personelu IT od
innych, równocześnie prowadzonych działań, w szczególności ataków APT.
Skuteczne zabezpieczenie się przed zagrożeniami typu DDoS nie jest łatwym
zadaniem. Można budować własne rozwiązania i systemy bądź polegać na
usługach firm zewnętrznych. Optymalnym rozwiązaniem wydaje się umiejętne
połączenie obu strategii obrony.

Jak ważna jest kwestia obrania właściwej taktyki, bardzo
obrazowo dowodzi case study z ataku socjotechnicznego zaprezentowane przez
Piotra Koniecznego z portalu Niebezpiecznik.pl („Od jednego maila do
kradzieży 9 milionów”).

Wykradliśmy wszystkie informacje związane
z wejściem firmy na giełdę. Wyciągi z firmowego konta, które były
przesyłane mailowo. Stan konta. Dochody tej firmy z reklam, negocjacje
biznesowe, dane osobowe…
– mówił Piotr Konieczny. – Koszt
ataku: 67 zł plus 21 dni, a wniosek taki, że każdego da się oszukać,
zwłaszcza gdy trafimy na jego słaby dzień. Dlatego firmy powinny starać się jak
najbardziej minimalizować ryzyko takich zdarzeń…

Dwudniowa konferencja Advance Threat Summit odbyła się
w Warszawie i zgromadziła ponad 300 uczestników.

 




Trzy pytania do…

Guillaume’a Loveta, Cybercrime Analyst & Threat
Response Managera w Laboratoriach FortiGuard firmy Fortinet

CRN
Jak w ostatnich latach zmieniały się zagrożenia IT?

Guillaume Lovet W ewolucji zagrożeń można
wyróżnić trzy fazy. Pierwsza to tworzenie złośliwego oprogramowania dla
zabawy. Tylko po to, aby wywołać chaos w Internecie i osiągnąć sławę.
Druga to monetyzacja malware’u tworzonego z myślą o komputerach PC
z systemem Microsoft Windows. A teraz obserwujemy trzecią, która
polega na tworzeniu złośliwego oprogramowania do urządzeń mobilnych
z systemem Android i zarabianiu na nim.

 

CRN Jak
poważnym problemem są ataki na urządzenia mobilne?

Guillaume Lovet Z punktu widzenia
cyberprzestępców Android jest nowym Windowsem. Przede wszystkim z powodu
popularności tej platformy. Po drugie system ten ma taki sam model instalacji
oprogramowania jak Windows, a więc tę samą podatność na ataki.
W odróżnieniu jednak od windowsowych komputerów PC uderzenia
w urządzenia z Androidem jest znacznie łatwiej zmonetyzować.
W przypadku smartfonów mamy bowiem do czynienia ze zintegrowanym sposobem
płatności – przez numery i SMS-y premium. Skuteczniejsza staje się
też metoda wymuszania okupu z wykorzystaniem ransomware’u blokującego
smartfon. Ponieważ to urządzenie, bez którego użytkownik nie może się obejść,
chętniej zapłaci za odblokowanie niż w przypadku peceta. W razie
ataku na smartfon łatwiej jest też wykorzystać i spieniężyć przechwycone
hasła do kont bankowych. Uzyskuje się bowiem dostęp do urządzenia, za pomocą
którego jednocześnie przeprowadza się transakcje i dokonuje się dodatkowego
uwierzytelnienia operacji bankowych.

 

CRN
Na ile skuteczne są tego typu działania?

Guillaume Lovet Finansowo motywowany atak ma
zawsze dwie fazy: uzyskanie dostępu do ofiary i monetyzację. Aby uzyskać
dostęp, zwykle na masową skalę rozsiewany jest malware, a następnie
wprowadzane są różne przestępcze modele biznesowe. Najprostszy z nich
wykorzystuje przejęte bankowe dane uwierzytelniające. Jest on jednak stosunkowo
nowy, bo przed nim zainfekowane komputery wykorzystywano głównie do wysyłania
spamu, przeprowadzania ataków DDoS czy wyświetlania reklam poprzez adware.
Teraz monetyzacja malware’u stała się znacznie bardziej bezpośrednia, bo polega
np. na kradzieży haseł dostępu do kont bankowych czy infekowaniu złośliwym
oprogramowaniem wymuszającym okup (ransomware). Scena tego rodzaju przestępstw
zrobiła się wielopoziomowa, a ci, którzy stoją na jej szczycie, osiągają
zwrot z inwestycji ponad 400-krotny.