Wiceprezes Trend Micro: Atak na KNF częścią zaawansowanej kampanii hakerskiej [WYWIAD]

Poniedziałek, 03 Kwietnia 2017, 14:30

O ostatnich cyberatakach na sektor finansowy, problemach cyberbezpieczeństwa w 2016 roku oraz wzywaniach na 2017 rok, mówi w wywiadzie dla cyberdefence24.pl Richard Ku, wiceprezes Trend Micro.

Dr Andrzej Kozłowski: W ubiegłym roku przeprowadzono wiele udanych ataków cybernetycznych na instytucje finansowe, w tym w Polsce. Czy jest Pan zaskoczony tymi atakami? Bankowość od wielu lat inwestuje i posiada najlepsze systemy zabezpieczeń.

Richard Ku: Nie jestem zaskoczony. W ostatnim czasie obserwujemy wzrost liczby ataków na wiele instytucji finansowych. Jak wiemy okazało się, że atak na Komisję Nadzoru Finansowego (KNF) był częścią większej kampanii hakerów.

Jakie były główne elementy ataku?

Działania hakerów w Polsce były specyficzne, ponieważ polegały na wykorzystaniu techniki watering hole. Cyberprzestępca włamując się na stronę, zmienia jej zawartość tak, aby zbierała informacje o odwiedzających – bez wzbudzania ich niepokoju. Strona zwykle prosi użytkownika o zainstalowanie lub pobranie dodatkowej wtyczki lub aplikacji (czasami jest to podparte informacją o dodaniu nowej funkcji – przyp. red.). Po instalacji w systemie operacyjnym użytkownika złośliwe oprogramowanie zaczyna skanować system sieciowy, w jakim się znalazło.

To pozwala na stopniowe, ale skuteczne rozszerzanie zakresu włamania.

Jeżeli jakiś element okaże się interesujący dla cyberprzestępców, zaczną oni atakować sieć i infrastrukturę. Dane znalezione w systemie mogą zostać przesłane dalej za pomocą urządzenia, do którego hakerzy uzyskali dostęp. W Trend Micro dokonaliśmy analizy tego złośliwego oprogramowania i udało nam się potwierdzić sposób działania próbki. Wirus był jednym z tych, które zostały wykorzystane do ataku na instytucje finansowe. Polska nie jest jedynym zaatakowanym państwem. Kampania była na tyle szeroko zakrojona, że dotknęła wiele krajów m.in. Meksyk, Chile czy Wielką Brytanię. W ostatnim czasie widać duży wzrost liczby ataków hakerskich na instytucje finansowe, w głównej mierze objawiające się atakami phishingowymi i typu ransomware.

Hakerzy nie wykradli żadnych pieniędzy, co było celem ich działania?

Celem hakerów zawsze jest uzyskanie dostępu do wewnętrznych i zabezpieczonych części systemów informatycznych. Dopiero potem mogą myśleć o kradzieży pieniędzy. Podobnie było w przypadku ataku na KNF, w którym przestępcy mogli uzyskać dostęp do informacji bankowych czy poufnych danych. Jednak trudno jest sprawdzić, jakie dane udało się hakerom skopiować. Głównym celem cyberprzestępców coraz częściej są właśnie kwestie finansowe – jeżeli ataku na KNF nie udało się zmonetyzować to możliwe, że dane uzyskane podczas włamania okażą się cenne dla kogoś innego.

Określił Pan kampanię przeciwko polskim instytucjom jako wyrafinowaną. Czy mogły stać za nią służby innego państwa?

Nie posiadamy odpowiednich dowodów, które potwierdziłyby taką teorię. Podczas włamania hakerzy zawsze chcą zostawić jak najmniej śladów, które uniemożliwią organom śledczym odszukanie źródeł ataków. Jest to powracający problem, który nie pozwala na jednoznaczne stwierdzenie skąd pochodził atak i kiedy mógł nastąpić. W przypadku danych odzyskanych po ataku na KNF nie ma dowodów na kontekst polityczny.

Cyberprzestępcy są coraz lepiej przygotowani do zacierania śladów po swoich atakach?

Tak. W latach 80. i 90. większość ataków hakerskich polegała raczej na przetestowaniu swoich możliwości czy sprawdzeniu zabezpieczeń systemów informatycznych. Przestępcom nie chodziło o zarobek. Jednak w ciągu ostatniej dekady większość ataków jest spowodowana chęcią zysku. Istnieje duży rynek podziemny, w którym haker może uzyskać zlecenie na kradzież konkretnych informacji z danej firmy. Może także sprzedać  informacje kredytowe, dane korporacyjne czy tzw. tylne furtki do konkretnej sieci (backdoor). Bycie hakerem stało się lukratywnym sposobem na zarabianie pieniędzy, a sam rynek cyberprzestępców każdego dnia rośnie coraz szybciej.

Trend Micro prowadziło swoje śledztwo w sprawie ataku na instytucje finansowe. Jaka była rola firmy w całym przedsięwzięciu?

U klientów Trend Micro możemy błyskawicznie wykrywać pojawiające się nowe złośliwe oprogramowania. Tym samym, posiadając informacje o nowym zagrożeniu, możemy dokonać analizy samego wirusa. Jesteśmy w stanie sprawdzić jaki był jego rodzaj, skąd mógł pochodzić oraz z jakich metod korzystali hakerzy przy włamaniu.

Jakie były główne zagrożenia w 2016 roku odnotowane przez firmę?

Z analiz Trend Micro wynika, że w 2016 roku zdecydowanie największe problemy sprawiał ransomware. Zauważaliśmy także wiele wymuszeń za pomocą poczty elektronicznej oraz ataków DDoS. Analizując dane pochodzące z Trend Micro Smart Protection Network odnotowaliśmy wzrost liczby ataków ransomware o 752% w 2016 r. w porównaniu z rokiem ubiegłym. Jest to niespotykana do tej pory liczba tego typu wymuszeń.  Z naszych analiz wynika, że straty poniesione przez firmy wskutek takich ataków na całym świecie osiągnęły miliard dolarów.

Ubiegły rok przyniósł także zmiany dotyczące bezpieczeństwa urządzeń mobilnych, hakerzy bowiem chętniej atakowali smartfony czy tablety. W Polsce w 2016 r. pojawiło się coraz więcej aplikacji zawierających złośliwe oprogramowanie, a niektóre z nich zostały pobrane na tysiące urządzeń. Podejrzewamy, że liczby te w tym roku będą tylko wzrastać.

Dlaczego ransomware stał się tak popularny akurat teraz? Nie jest to nowa technika, a pierwsze ataki datowane są nawet na lata 90.

Wzrost popularności ransomware jest związany z możliwością osiągnięcia zysku przez hakerów. Ataki tego typu stały się bardzo opłacalne dla cyberprzestępów, stąd wielu z nich zaczęło inwestować swoje środki i czas w ich rozwój. Dobrze wykonane oprogramowanie ransomware wymaga od programistów dużego zasobu wiedzy, jednak skuteczny atak przynosi duże zyski.

W dzisiejszej rzeczywistości jest też łatwiej wykonać atak ransomware, niż było to wcześniej.

Hakerzy mają coraz łatwiej – mogą przeprowadzić duże kampanie hakerskie, które przyniosą nawet kilkukrotny zwrot inwestycji. Właśnie dlatego cyberprzestępcy tak często rozprzestrzeniają złośliwe oprogramowanie  typu ransomware.

Ransomware nie jest niczym nowym. Pamiętam czasy, kiedy większość specjalistów od cyberbezpieczeństwa nie zaprzątało sobie głowy oprogramowaniem wymuszającym okup. Nie stanowiło większego zagrożenia dla użytkowników sieci. Nie było też ważne dla hakerów, którzy nie inwestowali w rozwój tego oprogramowania, ponieważ nie przynosiło to odpowiednio wysokiego zysku. Dzisiaj jest zupełnie inaczej, gdyż praktycznie każda infekcja komputera przynosi cyberprzestępcom korzyść finansową. Nawet jeżeli hakerowi nie uda się uzyskać opłaty za odzyskanie zhakowanych danych, może zawsze spróbować je sprzedać na czarnym rynku.

Sektor cyberbezpieczeństwa podlega ciągłej ewolucji, wraz z zagrożeniami. Jakie będą największe wyzwania w obszarze cyberbezpieczeństwa w 2017 roku?

W 2017 r. hakerzy skupią swoje działania wokół ataków typu ransomware oraz „Business e-mail compromise” (BEC) [Atak polega na podszywaniu się hakera pod szefa firmy lub kluczowego członka zarządu, który prosi dział księgowości o przesłanie kwoty na konto podane w treści wiadomości – przyp. red.]. W zeszłym roku wzrosła liczba ataków BEC (1300 proc. - przyp. red.) oraz liczba krajów, w których ataki te zostały przeprowadzone.

Dlaczego trend w atakach BEC pojawia się właśnie teraz?

Wszystko sprowadza się do chęci zysku. Najpopularniejszą metodą wykorzystywaną przez cyberprzestępców jest wymuszenie nazwane „CEO Fraud”. Hakerzy podszywają się pod dyrektora firmy i wysyłają wiadomość e-mail z prośbą o przelew pieniężny do kogoś wewnątrz organizacji. Dzięki wykorzystaniu prawdziwego adresu e-mail cyberprzestępcy bazują na zaufaniu pracownika. Hakerzy często spoofują (podszywają się pod) adres mailowy szefa nawet bez potrzeby włamania na jego konta. Osoba odpowiedzialna za finanse w firmie może przesłać pieniądze na numer konta podany w wiadomości, uznając e-mail za autentyczny.

Komentatorzy wskazują też, że rosnące wykorzystanie internetu rzeczy (IoT) daje nowe możliwości do przeprowadzania ataków.

W przypadku internetu rzeczy wyzwaniem jest rosnąca liczba urządzeń podłączonych do sieci, która w tym roku może przekroczyć nawet 8 miliardów. Problemem jest także brak odpowiedniej standaryzacji w przypadku rozwiązań IoT – pojawiają się jedynie mini protokoły, zarządzające działaniem IoT. Niestety większość firm podczas tworzenia swojego produktu, najpierw chce go sprzedać, zostawiając problem bezpieczeństwa internetu rzeczy na późniejszy okres. Chyba żadna firma nie zaprząta sobie głowy produkowaniem tych urządzeń przestrzegając norm i protokołów sieciowych czy bazując na bezpiecznej platformie. Właśnie dlatego cyberprzestępcy będą wykorzystywać słabe zabezpieczenia internetu rzeczy.

Na świecie głównymi zagrożeniami w 2017 będą więc ransomware, BEC i ataki na IoT. W jaki sposób te trendy odnoszą się do polskiej rzeczywistości?

W Polsce najprawdopodobniej nie zaobserwujemy dużych różnic w porównaniu do globalnych trendów. Jedyna różnica może dotyczyć złośliwych aplikacji mobilnych, które są często pobierane przez Polaków. Znaczna część tych aplikacji już teraz przypomina działania ransomware –  niektóre z nich potrafią przejąć kontrolę nad samym telefonem,  czy zaszyfrować wszystkie dane znajdujące się na urządzeniu. Wielu mobilnych użytkowników decyduje się na zapłacenie okupu w zamian za odzyskanie dostępu do swojego telefonu.

Od razu pojawia się pytanie o sposób przygotowania się na zagrożenia.

Po pierwsze użytkownicy muszą sprawdzić, czy posiadają na swoim urządzeniu najnowszą wersję oprogramowania zabezpieczającą urządzenia mobilne. Muszą także pamiętać o łatkach, jakie wypuszczają producenci urządzeń i aplikacji. Kolejnym krokiem jest przestrzeganie zasad bezpieczeństwa w firmach czy korporacjach. Każda organizacja  powinna posiadać tzw. świadomość sieciową – wiedzę dotyczącą przechowywania ważnych zasobów w firmach i sposobu, w jaki można ochronić elementy infrastruktury informatycznej.

W Trend Micro zajmujemy się zagrożeniami cybernetycznymi od ponad 27 lat i jednym z naszych głównych zadań jest zbieranie informacji o trendach. Sprawdzamy także, gdzie występuje najwięcej ataków i jakich technik używają hakerzy. Dzięki tej analizie możemy opracować najlepsze rozwiązania, które będą chronić naszych klientów – zarówno dla dużych korporacji, małych firm jak i indywidualnych użytkowników.

Jakie konkretne kroki powinni podejmować poszczególni użytkownicy sieci?

Najlepszą rekomendacją dla osób obawiających się takich ataków jak BEC czy ransomware, jest stosowanie wielowarstwowego podejścia do kwestii bezpieczeństwa. Należy przeprowadzać realne oceny bezpieczeństwa i składników systemu oraz zabezpieczyć najbardziej narażone punkty. W pierwszej fazie warto zabezpieczyć punkty końcowe (endpoint) oraz pocztę elektroniczną. Nie można również zapominać o bramach sieciowych czy centrach danych. W każdym elemencie infrastruktury informatycznej firmy trzeba zastosować odpowiednie zabezpieczenie, dostosowane do możliwych ataków. To samo dotyczy zabezpieczeń rozwiązań chmurowych.

A w wypadku dużych firm, wykorzystujących skomplikowaną architekturę sieci?

Im więcej połączeń sieciowych wykorzystują pracownicy podczas pracy, tym więcej wektorów ataków mogą wykorzystać hakerzy do włamania się do firmy. Trend Micro proponuje wielowarstwowe rozwiązania, które chronią też punkty końcowe sieci. Wiele firm, ogranicza swoje zabezpieczenia do jednej z technik ochrony dla każdego z elementów sieci. Wieloletnie doświadczenie nauczyło nas, że nowe zagrożenia pojawiają się w każdej chwili, a złośliwe oprogramowanie jest ciągle rozwijane. Dlatego zastosowanie w każdym z elementów sieci wielowarstwowych rozwiązań pozwala na skuteczną ochronę nawet przed nowymi technikami wykorzystywanymi przez hakerów. Korzystając z przykładu, sprawdzenie sygnatur pozwala na skuteczne odfiltrowanie nawet 90 proc. złośliwego oprogramowania, jednak reszta zostaje wpuszczona do sieci. Tą pozostałą częścią zajmuje się sztuczna inteligencja, która bada działanie tych programów i określa stopień ich złośliwości.

Dla ochrony punktów końcowych sieci Trend Micro stosuje takie metody jak skanowanie sygnatur, systemy uczenia maszynowego (machine learning) i monitorujące zachowania użytkowników. Nad tym wszystkim czuwa system kontroli aplikacji, który pozwala na wyłączenie całych elementów sieci. Posiadamy także rozwiązania pozwalające na ochronę konkretnych zasobów danych zlokalizowanych w systemach firmowych. W ten sposób możemy ochronić informacje krążące po całej sieci firmowej i mamy wpływ na bezpieczeństwo każdego elementu systemu sieciowego.

Rozmawiał dr Andrzej Kozłowski

Dziękuję za rozmowę.

Richard Ku – wiceprezes Trend Micro 



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

3 komentarze

Pawel Góralski Poniedziałek, 03 Kwietnia 2017, 18:57
Główną atrakcyjnoscia ransomware pozostaje chyba anonimowość transakcji okupu w kryptowalucie. Od czasu kiedy kryptowaluty stały się wymienialne obserwujemy nasilenie ransomware.
rgr Wtorek, 04 Kwietnia 2017, 21:21
mało która kryptowaluta jest anonimowa. Wyjątki to monero czy zcash, mało popularne
Kiks Wtorek, 04 Kwietnia 2017, 13:47
A to oznacza, że należaoby je zdelegalizować, skoro nie zostawiają śladu.