Rosja największym źródłem cyberataków na Europę? Nie – i nie uwierzysz kto jest liderem

Tyle się mówi o "rosyjskich hakerach" i stwarzanym przez nich zagrożeniu, a tymczasem, jak wynika z badań F5 Labs, wcale nie Rosja jest największym źródłem zagrożenia dla Europy. Wprawdzie, zdaniem badaczy, Stary Kontynent zmaga się z największą liczbą ataków wewnętrznych na całym świecie, ale tropy nie prowadzą w okolice Moskwy, Petersburga czy Nowosybirska.

Rosja największym źródłem cyberataków na Europę? Nie – i nie uwierzysz kto jest liderem
Piotr Urbaniak

17.05.2019 17:33

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Jak wykazuje przeprowadzona analiza, większość ataków na europejskie systemy jest inicjowana z adresów IP zlokalizowanych w Holandii. Dopiero w dalszej kolejności pojawiają się państwa takie jak Stany Zjednoczone, Chiny, właśnie Rosja i Francja. Spostrzeżenie to ma jednak istotne podłoże. Otóż Holandia jest jednym z najbardziej scyfryzowanych krajów na globie. Przykładowo, tamtejsza służba zdrowia operuje niemalże wyłącznie w oparciu o systemy teleinformatyczne.

Najczęstsze źródła ataków – państwa / Wykr. F5 Labs
Najczęstsze źródła ataków – państwa / Wykr. F5 Labs

Co ciekawe, oprócz wspomnianych Holandii, Rosji i Francji, w pierwszej dziesiątce nie ma już żadnych państw europejskich. Są za to, odpowiednio: Stany Zjednoczone, Chiny, Iran, Wietnam, Kanada, Indie oraz Indonezja. Przy czym z Holandii pochodzi ponoć 1,5-krotnie więcej ataków niż z USA i Chin łącznie, a także 6-krotnie więcej niż w przypadku zamykającej TOP10 Indonezji.

Zaskakująca powtarzalność dostawców

F5 Labs zwraca szczególną uwagę na najczęściej wykorzystywane w atakach sieci i dostawców usług hostingowych. Najwięcej ataków wykryto ze strony dostawców usług hostingowych: holenderskich HostPalace Web Solutions i NForce Entertainment, a także francuskiego Online SAS. Wszystkie te nazwy zaskakująco regularnie powtarzają się w raportach firmy. Tak, jakby wymienieni dostawcy zapewniali najmniejszy możliwy poziom kontroli klienta.

  • Najczęstsze źródła ataków – ASN / Wykr. F5 Labs
  • Najczęstsze źródła ataków – IP / Wykr. F5 Labs
[1/2] Najczęstsze źródła ataków – ASN / Wykr. F5 Labs

72 proc. zarejestrowanych identyfikatorów sieci ASN to dostawcy usług internetowych, a pozostałe 28 proc. – hostingowych. Wskazano ponadto 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie. Z tą listą powinni zapoznać się przedsiębiorcy i sprawdzić dzienniki swoich sieci pod kątem połączeń z wyszczególnionymi w niej adresami IP. Oczywiście ze względów bezpieczeństwa adresom tym powinni się również przyjrzeć właściciele sieci.

Na celowniku: telekomunikacja

Analizując najczęściej atakowane porty, eksperci określili typ systemów, jakie cyberprzestępcy biorą na cel w szczególności. Padło na port 5060, który wykorzystuje się w telefonii IP (VoIP). Czyli do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Według badaczy, oblężenie przybiera na sile w trakcie globalnych konferencji dyplomatycznych, takich jak niedawne ważne szczyty Donalda Trumpa z Kim Dzong Unem i Władimirem Putinem.

Jak się przed tym zabezpieczyć?

Użytkownik końcowy może zrobić niewiele, natomiast firmy – zdaniem ekspertów z F5 Labs – powinny regularnie skanować swoje systemy i porty pod kątem luk w zabezpieczeniach. Priorytetowo traktując te komponenty sieci, które są najbardziej narażone na atak.

– Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki – mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs. – W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług, aby mogli oni wyłączyć systemy przestępców – radzi szefowa zespołu badawczego, odpowiedzialnego za raport.

Jednak prowadzenie dużych "czarnych list" może być kłopotliwe, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy. Mogą one przecież odpowiadać za dostęp do internetu w miejscach zamieszkania klientów atakowanej firmy. – W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia – tłumaczy Sara Boddy.

Warto także wziąć pod uwagę, że zablokowanie ruchu z całej sieci o określonym identyfikatorze bądź od konkretnego dostawcy mogłoby uniemożliwić współpracę z daną firmą. W takim wypadku badacze radzą zablokować wyłącznie dostawcę obsługującego kraj, z którym się nie współpracuje w oparciu o geolokalizację na poziomie kraju. Nie jest to rozwiązanie idealne, lecz rozsądne.

Programy

Zobacz więcej
Komentarze (45)