We wrześniu 2022 r. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała kolejny, dziesiąty już raport dotyczący zagrożeń bezpieczeństwa informacji i systemów teleinformatycznych, zatytułowany ENISA Threat Landscape 2022. W raporcie tym[1], podobnie jak w raportach CERT Polska[2], zawarte są najnowsze informacje dotyczące zagrożeń dla bezpieczeństwa danych przetwarzanych w systemach informatycznych, trendy w rozwoju tych zagrożeń oraz metody i środki ochrony. Raport ENISA Threat Landscape 2022 (Krajobraz zagrożeń 2022), omawiany w skrócie poniżej, zawiera wraz z załącznikami 150 stron. Przedstawiono w nim ogólny przegląd głównych zagrożeń występujących w Europie i na świecie w drugiej połowie 2021 r. i pierwszej połowie 2022 r. W przeglądzie tym zwrócono uwagę na występujące trendy w krajobrazie zagrożeń, rodzaj działania i wpływu na ofiarę ataku, jaki aktorzy zagrożeń zamierzają osiągnąć, oraz motywację działania atakujących. W rozdziałach od 3 do 10 omawianego raportu wskazano narzędzia stosowane przez atakujących, wykorzystywane słabości i luki w zabezpieczeniach, techniki działania, zmiany, jakie wystąpiły pod względem intensywności, skutków i metod ataków w porównaniu z okresami wcześniejszymi, oraz inne unikalne spostrzeżenia dla poszczególnych rodzajów zagrożeń. W raporcie szczegółowo opisano najczęściej występujące rodzaje zagrożeń, do których należały: ransomware, malware, socjotechnika, ataki na dane (threats against data), zagrożenia dostępności usług (threats against availability: denial of service), zagrożenia dostępności Internetu (threats against availability: Internet threats), zagrożenia dezinformacją (disinformation misinformation) oraz ataki na łańcuchy dostaw (supply chain attacks).

Do raportu dołączono następujące załączniki:

  1. Tablica, na której do poszczególnych rodzajów zagrożeń przypisane zostały techniki stosowane do osiągnięcia celu ataku, opisane w bazie wiedzy dotyczącej metod wykorzystywanych przez atakujących przeciwko systemom korporacyjnym oraz aplikacjom w chmurze, urządzeniom mobilnym i przemysłowym systemom sterowania, nazywana tablicą ATT&CK[3] (ang. Adversarial Tactics, Techniques and Common Knowledge). Informacje tam zawarte pozwalają zrozumieć, jak myślą i działają przestępcy, co może być pomocne w zwiększeniu skuteczności ochrony.
  2. Wykaz incydentów bezpieczeństwa należących do poszczególnych kategorii zagrożeń, jakie wystąpiły w okresie sprawozdawczym, wraz z datą ich wystąpienia, zakresem geograficznym oddziaływania w kategoriach (kraje UE, kraje UE i w pobliżu granic UE, obszary oddalone od UE, globalnie) oraz krótkim opisem (jakiej firmy lub organizacji dotyczył atak, jakie szkody zostały wyrządzone, w jaki sposób atak został przeprowadzony).
  3. Wykaz zidentyfikowanych luk oraz słabości w oprogramowaniu, jakie zostały wykorzystane w okresie sprawozdawczym do przeprowadzenia ataków. W wykazie zastosowano kategoryzację i numerację luk w oprogramowaniu opracowane przez MITRE[4] oraz luk skatalogowanych przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA)[5].
  4. Rekomendacje w postaci zaleceń, jakie należy stosować w celu przeciwdziałania określonego rodzaju zagrożeniom. Zalecenia te odwzorowano na podstawie środków bezpieczeństwa zawartych w międzynarodowych standardach stosowanych przez operatorów systemów w poszczególnych sektorach, zgodnie z wymaganiami ujętymi w Minimalnych Środkach Bezpieczeństwa dla Operatorów Usług Podstawowych[6] określonymi przez ENISA.

Główne rodzaje zagrożeń i występujące trendy w ich rozwoju

W okresie, jaki obejmuje omawiany raport, czyli od czerwca 2021 r. do lipca 2022 r., pojawiło się i zmaterializowało wiele zagrożeń cybernetycznych. Wszystkie zidentyfikowane w tym okresie zagrożenia zakwalifikowane zostały do jednego lub kilku z ośmiu następujących rodzajów zagrożeń:

Ransomware – rodzaj ataku, w którym podmioty stanowiące zagrożenie przejmują kontrolę nad aktywami celu i żądają okupu w zamian za przywrócenie dostępności aktywów lub ich nieujawnianie, jeśli zostały przejęte w postaci niezaszyfrowanej.

Złośliwe oprogramowanie – ogólny termin używany do opisania każdego oprogramowania (kodu) mającego na celu wykonanie nieautoryzowanego procesu, który będzie miał negatywny wpływ na poufność, integralność lub dostępność danych przetwarzanych w systemie. Tradycyjnie do przykładów rodzajów złośliwego kodu należą wirusy, robaki, konie trojańskie lub inne kody, które infekują oprogramowanie komputera.

Socjotechnika (inżynieria społeczna) – szeroki zakres działań, które mają na celu wykorzystanie ludzkiego błędu lub ludzkich zachowań, aby uzyskać dostęp do informacji lub usług. Socjotechnika stosuje różne formy manipulacji w celu nakłonienia ofiar do popełnienia błędów bądź przekazania wrażliwych lub tajnych informacji. Ten rodzaj zagrożeń składa się głównie z następujących wektorów ataku:

  • phishing – kradzież ważnych informacji, takich jak numery kart kredytowych i hasła, za pośrednictwem wiadomości e-mail, socjotechniki lub oszustwa;
  • spear-phishing – bardziej wyrafinowana wersja phishingu, której celem są określone organizacje lub osoby, np. podszywanie się pod ministerstwa i wysyłanie do innych agend rządowych informacji nakazujących otwarcie pliku zawierającego złośliwe oprogramowanie;
  • whaling – atak typu spear-phishing skierowany do użytkowników na wysokich stanowiskach (dyrektorów, polityków itp.);
  • smishing – termin wywodzący się z połączenia słów „SMS” i „phishing”, który pojawia się, gdy informacje finansowe lub dane osobowe ofiar są zbierane za pomocą wiadomości SMS;
  • vishing – połączenie phishingu i głosu – występuje, gdy informacje są przekazywane przez telefon, z którego korzystają złośliwi aktorzy technik socjotechnicznych w celu wydobycia poufnych informacji od użytkowników;
  • kompromitacja poczty biznesowej (BEC) – wyrafinowane oszustwo wymierzone w firmy i organizacje, w ramach którego przestępcy wykorzystują socjotechnikę, aby uzyskać dostęp do konta e-mail pracownika lub kierownika i inicjować przelewy bankowe lub inne czynności na nieuczciwych warunkach;
  • oszustwo – celowe wprowadzenie w błąd lub zatajenie ważnego faktu, na podstawie którego ofiara podejmuje jakieś ważne decyzje;
  • podszywanie się – działanie polegające na bezprawnym przyjęciu tożsamości innego podmiotu;
  • podróbka – oszukańcza imitacja czegoś, np. podrobiona strona internetowa banku.

Zagrożenia dla danych – zbiór zagrożeń, które są skierowane na źródła danych i mają prowadzić do uzyskania nieuprawnionego dostępu i ujawnienia, jak również manipulowania danymi w celu ingerencji w zachowanie systemów. Z technicznego punktu widzenia zagrożenia dla danych można głównie sklasyfikować jako naruszenie danych i wyciek danych. Naruszenie danych to atak, którego celem jest uzyskanie nieautoryzowanego dostępu do wrażliwych, poufnych lub chronionych danych i ich uwolnienie. Wyciek danych to zdarzenie, które może spowodować niezamierzone uwolnienie wrażliwych, poufnych lub chronionych danych w wyniku np. nieprawidłowej konfiguracji, podatności lub błędu człowieka.

Zagrożenia dostępności (denial of service) – atak na dostępność danych, usług lub innych zasobów. Cel ataku może być osiągnięty poprzez wyczerpanie usługi i jej zasobów lub przeciążenie elementów infrastruktury sieciowej. Wśród tych ataków wyróżnia się DDoS. W okresie sprawozdawczym zagrożenia dostępności oraz ransomware zajmują najwyższe miejsce wśród głównych zagrożeń, co oznacza zmianę w stosunku do poprzedniego raportu (z 2020/2021 r.), kiedy ransomware było wyraźnie na prowadzeniu.

Zagrożenia dostępności Internetu – grupa zagrożeń, które mają wpływ na dostępność Internetu, np. BGP (Border Gateway Protocol) hijacking, który może skutkować nieprawidłowym routingiem, monitorowaniem danych, przechwytywaniem lub przekierowaniem na inną stronę. Przykładem może być atak na sieć Apple, która w wyniku działań rosyjskiego operatora Rostelecom była niedostępna przez 12 godzin w dniach 26–27 lipca 2022[7]. Źródłem zagrożeń dostępności Internetu mogą być również ataki DDoS.

Dezinformacja – celowe podawanie niezgodnych z prawdą informacji, także takich, które wprowadzają odbiorcę w błąd. Działania dezinformujące są zjawiskiem negatywnym i społecznie szkodliwym. Ich celem jest wywarcie wpływu na odbiorcę, m.in. na jego poglądy, zachowania, a nawet na podejmowanie przez niego błędnych decyzji, korzystnych z punktu widzenia podmiotu dezinformującego. Technologia sztucznej inteligencji dostarcza dezinformatorom prostych w użyciu narzędzi do generowania fałszywych treści (audio, wideo, obrazów i tekstu), które są prawie niemożliwe do odróżnienia od prawdziwych. Potęga AI pozwala złośliwym aktorom (zarówno państwowym, jak i niepaństwowym) na budowanie ukierunkowanych ataków, które łączą profilowanie osób i użytkowników z jednej strony oraz spersonalizowaną dezinformację z drugiej strony.

Atak na łańcuch dostaw – atak ukierunkowany na relację między organizacjami a ich dostawcami. SolarWinds był jednym z pierwszych ujawnień tego rodzaju ataków i pokazał ich potencjalny wpływ na łańcuch dostaw. W ataku tym, wykorzystując lukę w popularnym programie firmy SolarWinds, hakerzy zdołali zinfiltrować sieci co najmniej dziewięciu agencji rządowych i wielu firm prywatnych[8].

Najważniejsze zaobserwowane trendy

W omawianym raporcie dla każdego z ośmiu wymienionych w poprzednim rozdziale zagrożeń szczegółowo zostały omówione trendy w ich rozwoju, podatności lub luki w oprogramowaniu, jakie zostały wykorzystane, cele, na jakie ataki były skierowane, wyrządzone szkody, a także podejmowane przez organy ścigania i rządy operacje i działania w walce z przestępcami. Niezależnie od tych szczegółowych informacji, w wielu przypadkach specyficznych dla danego rodzaju zagrożeń, w raporcie sformułowano szereg ogólnych trendów i spostrzeżeń dotyczących występujących zagrożeń, sposobów działania atakujących, celów ataku oraz roli państwa i mediów. Te ogólne spostrzeżenia są następujące:

  1. Oprogramowanie ransomware i zagrożenia dla dostępności zajmują czołowe miejsce w okresie sprawozdawczym.
  2. Zasobni aktorzy zagrożeń wykorzystywali exploity 0-day – tj. exploity, które pojawiły się na czarnym rynku przed publikacją poprawki przez producenta – do osiągnięcia swoich celów operacyjnych i strategicznych. Im bardziej organizacje zwiększają dojrzałość swoich systemów obronnych i programów cyberbezpieczeństwa, tym bardziej zwiększają koszty ponoszone przez przeciwników, skłaniając ich do opracowywania i/lub kupowania exploitów 0-day, ponieważ coraz częściej stosowane strategie dogłębnej obrony (ang. defence in depth) ograniczają dostępność podatności, które można wykorzystać.
  3. Geopolityka nadal wywiera silny wpływ na operacje cybernetyczne.
  4. Destrukcyjne ataki są istotnym elementem operacji prowadzonych przez podmioty państwowe. Podczas konfliktu między Rosją i Ukrainą zaobserwowano, że podmioty cybernetyczne prowadzą operacje zsynchronizowane z działaniami wojskowymi[9].
  5. Ciągłe „wycofywanie” i zmiana nazwy grup zajmujących się oprogramowaniem ransomware są wykorzystywane w celu uniknięcia egzekwowania prawa i sankcji.
  6. Model biznesowy hacker-as-a-service zyskuje na popularności, rośnie od 2021 r.
  7. Wystąpił znaczny wzrost ataków na dostępność, zwłaszcza DDoS, przy czym tocząca się wojna w Ukrainie jest głównym powodem takich ataków.
  8. Sprawa Pegasusa wywołała zainteresowanie mediów oraz działania rządowe, co następnie znalazło odzwierciedlenie w innych sprawach dotyczących inwigilacji ukierunkowanej na społeczeństwo obywatelskie.
  9. Nową falę haktywizmu obserwuje się zwłaszcza od momentu rozpoczęcia kryzysu rosyjsko-ukraińskiego. Oprócz dotychczas dobrze znanych grup haktywistów, jak Anonymous,powstało wiele nowych, takich jak Batalion Sieciowy 65 (NB65), IT Armia Ukrainy czy Cyberarmia Rosji. Działalność niektórych grup jest prawdopodobnie usankcjonowana przez państwo i odbywa się w wysoce liberalnym środowisku[10].
  10. Phishing jest najczęściej stosowaną metodą uzyskania pierwszego dostępu do atakowanego systemu. Do tego wzrostu doprowadziły zaawansowane metody phishingu, zmęczenie użytkowników oraz ukierunkowane, kontekstowe działania.
  11. Techniki wyłudzania danych ulegają dalszej ewolucji wraz z popularnym wykorzystywaniem stron internetowych do publikowania fragmentów lub całości wykradzionych danych.
  12. Złośliwe oprogramowanie ponownie zyskuje na popularności po spadku, który został zauważony i powiązany z pandemią COVID-19.
  13. Zwiększa się wykorzystanie tzw. phishingu zgody (ang. consent phishing) w celu uzyskania przez atakujących dostępu do danych, aplikacji lub innych usług[11]. Atakujący wykorzystują w tej metodzie przyzwyczajenie użytkowników do klikania linków, które prowadzą do dalszej części informacji. Jednym z etapów takiego procesu, z którym użytkownicy są dobrze zaznajomieni, jest „kliknięcie zgody”, co w przypadku zalogowanych użytkowników przestępcy wykorzystują do przejęcia kontroli nad udostępnionymi im zasobami.
  14. Z roku na rok zwiększa się ilość niszczonych lub wykradanych danych. Centralna rola danych we współczesnym społeczeństwie spowodowała gwałtowny wzrost ich ilości i znaczenia pozyskiwanych z ich analizy informacji. Ceną, jaką za to płacimy, jest ciągły i niepowstrzymany wzrost liczby zagrożeń dla danych.
  15. Modele uczenia maszynowego (ML) coraz częściej stają się celem ataków. Jest to spowodowane faktem, że systemy sztucznej inteligencji (AI) wykorzystujące ML stanowią rdzeń nowoczesnych systemów rozproszonych.
  16. Ataki typu DDoS stają się coraz większe i bardziej złożone, przenoszą się w kierunku sieci mobilnych i IoT oraz są wykorzystywane w kontekście cyberwojny.
  17. Państwowe urzędy certyfikacji (CA) ułatwiają przeprowadzanie przechwytywania ruchu HTTPS i ataków man-in-the-middle na swoich obywateli, narażając tym samym bezpieczeństwo i prywatność w Internecie.
  18. Dezinformacja jest narzędziem w cyberwojnie. Została wykorzystana jeszcze przed rozpoczęciem wojny jako działanie przygotowawcze do inwazji Rosji na Ukrainę.
  19. Dezinformacja wspomagana przez sztuczną inteligencję (AI) i deepfakes. Rozprzestrzenianie się botów modelujących osobowości może łatwo zakłócić proces konsultacji społecznych na etapie tworzenia przepisów. Może również niszczyć relacje społeczne poprzez zalewanie agencji rządowych fałszywymi komentarzami.
  20. Grupy zagrożeń cieszą się coraz większym zainteresowaniem i wykazują coraz większe możliwości w zakresie ataków na łańcuchy dostaw i ataków na dostawców usług zarządzania infrastrukturą informatyczną klientów.

Podsumowanie

Opracowany przez zespół ekspertów ENISA raport z okresu od czerwca 2021 r. do lipca 2022 r. zawiera najważniejsze informacje w zakresie dotyczącym rozwoju najczęściej występujących zagrożeń dla przetwarzanych przez administratorów informacji, w tym danych osobowych i innych danych prawnie chronionych, takich jak: dane objęte tajemnicą adwokacką, dane objęte tajemnicą korespondencji, w tym treści informacji przesyłanych w sieciach telekomunikacyjnych. W raporcie zawarto informacje nie tylko o sposobach przeprowadzania ataków i stosowanych przez atakujących narzędziach informatycznych, lecz także o wykorzystywanych lukach w istniejącym oprogramowaniu. Na szczególną uwagę zasługują przedstawiona w raporcie analiza w zakresie podatności systemów na poszczególne rodzaje zagrożeń (załącznik C raportu) oraz rekomendacje dotyczące działań, jakie należy podejmować w celu przeciwdziałania poszczególnym ryzykom lub ograniczenia skutków ich wystąpienia (załącznik D). W załączniku C przedstawiono wykaz najczęściej występujących podatności, jakie wykorzystują przestępcy, oraz wskazano słabości lub braki będące źródłem tych podatności. Zaprezentowano również statystyki występowania poszczególnych rodzajów słabości z wykorzystaniem nazewnictwa i oznaczeń stosowanych przez Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA). W opinii autorów raportu zawarte w nim informacje i statystyki mogą być przydatne w usuwaniu poszczególnych podatności.

W załączniku D znajdują się rekomendacje dla producentów i operatorów systemów oraz administratorów. Rekomendacje te w odniesieniu do działań, jakie należy podejmować, aby skutecznie zapobiegać poszczególnego rodzaju zagrożeniom, przedstawiono w postaci wymagań i zaleceń wskazanych w międzynarodowej normie ISO/IEC 27001:2013 (Technika Informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania) oraz w wytycznych NIST Cybersecurity Framework[12].

[1] Raport dostępny jest na stronie: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022 (dostęp 10.01.2023).

[2] Raport NASK-PIB/CERT Polska zatytułowany Krajobraz bezpieczeństwa polskiego internetu 2021 oraz wcześniejsze raporty opublikowane są na stronie: https://cert.pl/publikacje/ (dostęp 10.01.2023).

[3] Tablica ATT&CK została opracowana i jest zarządzana przez korporację MITRE finansowaną przez federalne centrum badawczo-rozwojowe (FFRDC) rządu USA.

[4] MITRE – korporacja nadzorująca numerację i klasyfikację luk w oprogramowaniu.

[5] Cybersecurity and Infrastructure Security Agency, zob. https://www.cisa.gov.

[6] ENISA, Minimum Security Measures for Operators of Essentials Services (Minimalne środki bezpieczeństwa dla operatorów usług podstawowych), http://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new/minimum-security-measures-for-operators-of-essentials-services (dostęp: 10.01.2023).

[7] A. Siddiqui, For 12 Hours, Was Part of Apple Engineering’s Network Hijacked by Russia’s Rostelecom?, MANRS, 27.07.2023, https://www.manrs.org/2022/07/for-12-hours-was-part-of-apple-engineerings-network-hijacked-by-russias-rostelecom/ (dostęp 10.01.2023).

[8] K. Pasławski, Największy i najbardziej wyrafinowany atak w historii, CRN, 18.02.2021, https://crn.pl/aktualnosci/najwiekszy-i-najbardziej-wyrafinowany-atak-w-historii/ (dostęp 10.01.2023).

[9] Microsoft, Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd (dostęp: 10.01.2023).

[10] The Changing Landscape of Hacktivism, SecAlliance, 21.04.2022, https://www.secalliance.com/blog/the-changing-landscape-of-hacktivism (dostęp 10.01.2023).

[11] S. Morrow, Consent phishing: How attackers abuse OAuth 2.0 permissions to dupe users, INFOSEC, 23.11.2021, https://resources.infosecinstitute.com/topic/consent-phishing-how-attackers-abuse-oauth-2-0-permissions-to-dupe-users/ (dostęp: 10.01.2023).

[12] NIST Cybersecurity Framework to opracowany przez National Institute of Standards and Technology (NIST) zbiór wytycznych dla firm z sektora prywatnego, których należy przestrzegać, aby lepiej przygotować się do identyfikacji, blokowania, wykrywania, usuwania skutków ataków i reagowania na nie.