OPINIE
Data: 28 maja 2020
Autor: Wiktor Sędkowski
Cyberataki podczas pandemii Covid-19
Każdego roku wzrasta liczba incydentów związanych z bezpieczeństwem w Internecie. Chociaż firmy technologiczne dokładają coraz więcej starań, aby zabezpieczyć globalną sieć, przestępcy wciąż znajdują sposoby na infiltrację infrastruktury korporacyjnej i państwowej. Roczny wzrost liczby infekcji złośliwym oprogramowaniem i innych incydentów związanych z bezpieczeństwem mieści się w przedziale 20–50%, w zależności od źródła statystyk. Szef ONZ ds. rozbrojenia – Izumi Nakamitsu poinformował 22 maja 2020 r. podczas posiedzenia Rady Bezpieczeństwa, że „cyberprzestępczość rośnie, a liczba złośliwych e-maili wzrosła o 600% podczas obecnego kryzysu”.
Czasy globalnej pandemii stanowią doskonałą okazję dla grup APT (Advanced Persistent Threat) do atakowania pracowników pracujących zdalnie w środowisku domowym, gdzie możliwości bezpieczeństwa nie są zbliżone do tych, które administratorzy systemów wdrażają w sieciach korporacyjnych. Chociaż większość ataków przeprowadzonych w ostatnich miesiącach wydaje się pochodzić od przestępców i grup hakerskich niezwiązanych z żadnym konkretnym krajem, istnieją wskazówki na ataki przeprowadzane przez grupy sponsorowane przez państwo. W połowie lutego badania bezpieczeństwa QiAnXin wykryły trojana Backdoor C# dołączonego do dokumentów o nazwie „Коронавірусна інфекція COVID-19.doc” (zakażenie koronawirusem COVID-19.doc). Dokument został wysłany do wybranych celów na Ukrainie. Atakujący próbowali podszyć się pod Centrum Zdrowia Publicznego Ministerstwa Zdrowia Ukrainy. Otwarcie dokumentu i uruchomienie złośliwego makra pozwoliło hakerom uzyskać pełną kontrolę nad komputerem ofiary. Analiza kodu przeprowadzona przez naukowców zidentyfikowała grupę Hades, powiązaną z APT28 (Fancy Bear) działającą z Rosji, jako twórców złośliwego oprogramowania. Należy zauważyć, że w tym samym czasie, gdy miał miejsce powyższy atak, Ukraina została uderzona ogromnym nalotem dezinformacyjnym w mediach społecznościowych, za który ukraińscy urzędnicy obwinili Rosję. Od początku wybuchu pandemii koronawirusa fałszywe wiadomości związane z kryzysem rozprzestrzeniły się na Ukrainie jak w żadnym innym państwie europejskim. Rosja zaprzeczyła tym oskarżeniom.
Eksperci ds. cyberbezpieczeństwa i badacze zagrożeń włączyli się w globalne starania mające na celu ostrzeganie przed pobieraniem aplikacji, których założeniem jest „zwalczanie” trwającej pandemii. Wzięło się to z dwóch głównych powodów. Po pierwsze, programiści zaczęli prześcigać się w tworzeniu aplikacji typu „contact tracing”, mających ograniczyć rozprzestrzeniania się wirusa na całym świecie. Ten pośpiech nie pozostawia wiele czasu na odpowiednie testy bezpieczeństwa, co może prowadzić do poważnych konsekwencji, jeśli aplikacja zostanie wykorzystana przez hakerów. Kolejnym powodem jest to, że przestępcy opracowują również własne aplikacje. Na pierwszy rzut oka wydają się one służyć słusznej sprawie, ale zawierają w sobie szkodliwe oprogramowanie ransomware lub kradnące informacje. Najbardziej rozpoznawalnym tego rodzaju oprogramowaniem jest „korona mapa”, która pojawiła się tuż po wybuchu pandemii. Została rozpowszechniona jako narzędzie pokazujące obecną sytuację pandemiczną na całym świecie. Osoba używająca takiej aplikacji widziała kopię legalnej mapy, ale pod nią ukryte było złośliwe oprogramowanie „AZORult”, działające w tle i zdolne do kradzieży portfeli kryptowalut oraz haseł przechowywanych w przeglądarce zainstalowanej na komputerze ofiary. Kopie tego złośliwego oprogramowania zostały sprzedane na kilku rosyjskojęzycznych forach poświęconych cyberprzestępczości w postaci „cyfrowego zestawu do infekcji koronawirusem”. Celem były również smartfony. Specjalna „koronawirusowa” wersja złośliwego oprogramowania blokującego ekran na urządzenia z systemem Android o nazwie SLocker była dystrybuowany za pośrednictwem zewnętrznych platform w nadziei, że przyciągnie ofiary treściami związanymi z koronawirusem. Badacze z Bitdefender zbadali tę złośliwą aplikację, która atakowała użytkowników na Ukrainie, w Rosji, Kazachstanie i Turkmenistanie.
Wesprzyj nas
Jeżeli przygotowane przez zespół Warsaw Institute treści są dla Państwa przydatne, prosimy o wsparcie naszej działalności. Darowizny od osób prywatnych są niezbędne dla kontynuacji naszej misji.
Ilość złośliwego oprogramowania rozpowszechnianego w ostatnich tygodniach potwierdza znaczenie słów premiera Estonii Jurija Ratasa. Podczas posiedzenia Rady Bezpieczeństwa ONZ z 22 maja 2020 r. powiedział on, że „potrzeba bezpiecznej i funkcjonującej cyberprzestrzeni jest bardziej paląca niż kiedykolwiek wcześniej”. Skrytykował również cyberataki na szpitale i placówki badawcze, które miały miejsce podczas pandemii. „Te ataki są nie do przyjęcia”, powiedział Ratas, podkreślając najważniejsze elementy zabezpieczenia cyberprzestrzeni: „Po pierwsze, państwa członkowskie Organizacji Narodów Zjednoczonych już dawno zgodziły się, że obowiązujące prawo międzynarodowe ma zastosowanie również w cyberprzestrzeni. Jesteśmy przekonani, że istniejące przepisy zapewniają kompleksowe wytyczne dotyczące tego, jak postępować bez względu na dziedzinę. Przestrzegając tej prostej zasady, zachowanie państw w cyberprzestrzeni może stać się bardziej przejrzyste i przewidywalne. Po drugie, Estonia uważa, że ramy dla stabilności cybernetycznej i zapobiegania konfliktom zostały już ustanowione przez istniejące prawo międzynarodowe, dobrowolne normy odpowiedzialnego zachowania państwa, a także środki budowy zaufania. Teraz ważne jest wdrożenie tych ram”. Z wyjątkiem Rosji, w tym spotkaniu Rady Bezpieczeństwa wzięły udział wszystkie państwa członkowskie.
All texts published by the Warsaw Institute Foundation may be disseminated on the condition that their origin is credited. Images may not be used without permission.
Powiązane wpisy
Fundacja Warsaw Institute
