Ataki hakerskie w dobie konfliktu. Nowe cele, standardowe praktyki

Analizą takich przypadków w firmie zajmuje się zespół TAG (Threat Analysis Group), który na bieżąco kontroluje sieciowe zagrożenia. Google podaje, że tylko w ciągu ostatnich 12 miesięcy TAG odnotował setki ataków wycelowanych w użytkowników z Ukrainy, za którymi w dużej mierze stoją grupy hakerskie finansowane przez rosyjski rząd.

W kontekście wydarzeń z ostatnich tygodni Google opisuje głównie trzech atakujących (z Rosji, Białorusi i Chin), którzy stoją za większością działań hakerskich obserwowanych w Ukrainie i państwach z nią graniczących. Chodzi o działania mające zaszkodzić użytkownikom typowych usług, a nie o kolejne akcje, które przypisuje się grupie Anonymous.

Jednym z przytaczanych przykładów jest phishing, za który odpowiada głównie cyberprzestępca zwany FancyBear/APT28. Jak podaje Google, w tym przypadku fałszywe wiadomości są wysyłane ze zhakowanych kont poczty elektronicznej, choć jednocześnie Google zaprzecza, by chodziło także o Gmaila. Inny przykład to działania białoruskiego atakującego Ghostwriter/UNC1151, które zostały skierowane do użytkowników poczty największych serwisów, w tym yandex.ru czy ukr.net.

Jako największy portal w Polsce, na liście znalazła się także wp.pl, ale nie jest to dziwne. Ataki nie są niczym nowym i są na bieżąco obserwowane, a później analizowane przez administratorów. W dobie konfliktu są siłą rzeczy bardziej skierowane niż zwykle, ale w praktyce nie różnią się od typowych ruchów cyberprzestępców, z którymi na co dzień muszą sobie radzić administratorzy wszystkich dużych serwisów, w tym także poczty Wirtualnej Polski.

W WP tego typu działania są szczególnie istotne, bo jest największym potencjalnym celem medialnym dla atakujących. - Oczywiście jako operator największej polskiej platformy pocztowej byliśmy i na pewno nieraz będziemy celem różnego rodzaju cyberataków. Nieustannie rozwijamy nasze systemy bezpieczeństwa, dlatego potrafimy sobie z tego typu atakami radzić, stosując różne techniki analityczne i monitorując podejrzane aktywności – mówi Piotr Czech, Security Analyst z zespołu IT w Wirtualnej Polsce. Jak podaje, tylko w lutym 2022 roku odnotowano kilkadziesiąt różnych ataków, żaden jednak nie był zaskoczeniem.

- Bezpieczeństwo naszych użytkowników i ich danych jest dla nas najwyższym priorytetem. Podobnie jak operatorzy innych usług, na co dzień obserwujemy pojawiające się zagrożenia i reagujemy na nie. Na bycie celem ataków nie mamy wpływu, koncentrujemy się natomiast na skutecznym ich neutralizowaniu - dodaje Czech. Wykorzystywane jest przy tym głębokie uczenie i szereg innych technik, których szczegóły muszą pozostać nieujawnione.

Phishing sam w sobie nie jest niczym nowym ani szczególnie wyrafinowanym. Atakujący starają się stosunkowo prostymi metodami wzbudzić zaufanie odbiorcy sfałszowanej wiadomości e-mail, by zachęcić go do pobrania zainfekowanego pliku czy zalogowania na spreparowanej stronie internetowej. W ten sposób można uzyskać dostęp do poufnych danych lub docelowo przejąć kontrolę nad komputerem poszkodowanego.

Przed gorącym okresem wojny na terenie Ukrainy, typowy phishing trafiający do skrzynek e-mail Polaków dotyczył najczęściej potwierdzeń zamówień lub rzekomych zobowiązań finansowych. W obydwu przypadkach chodziło o zachęcenie ofiary do otwarcia załącznika, by sprawdziła szczegóły. W ten sposób można było trafić między innymi na szkodliwe oprogramowanie Emotet, które najczęściej instalowano w konsekwencji uruchomienia spreparowanych makr w arkuszach kalkulacyjnych Excela.

Chcąc zadbać o własne bezpieczeństwo w sieci, warto pamiętać o podstawowych zasadach, których przestrzeganie pozwala uniknąć przykrych skutków typowych internetowych oszustw, w tym phishingu. Należy pamiętać głównie o unikaniu podejrzanych załączników w e-mailach i klikania nieznanych (a zwłaszcza skróconych) linków. Świetnym sposobem na dodatkową ochronę jest też aktywacja uwierzytelniania dwuetapowego, które jest dostępne także we wspomnianej poczcie Wirtualnej Polski.