Ataki na instytucje rządowe w Polsce

Media informują o kolejnych atakach ukierunkowanych czy wyciekach cennych danych, do których dochodzi w różnych krajach. Niedawno celem cyberprzestępców stały się duże banki i stacje telewizyjne w Korei Południowej, redakcje popularnych gazet oraz Departament Energii USA. Tymczasem polskie firmy i instytucje często nie są świadome tego, że także im grozi niebezpieczeństwo ze strony cyberprzestępców. Wiele z nich ignoruje zagrożenia. Zdają się zapominać, że celem może stać się każda firma czy instytucja, której zaatakowanie może przynieść korzyści cyberprzestępcom.

Jak podaje serwis niebiezpiecznik.pl, niedawno doszło do cyberataku na instytucje rządowe w Polsce. Na początku marca dokonano włamania do sieci między innymi Kancelarii Prezesa Rady Ministrów. Informacja o ataku, oparta na anonimowym zgłoszeniu jednego z pracowników, została kilka dni później potwierdzona przez rzecznika prasowego Kancelarii. Haker o pseudonimie Alladyn2 jest odpowiedzialny również za późniejsze włamania do Ministerstwa Obrony Narodowej, Ministerstwa Spraw Zagranicznych, jak i Kancelarii Prezydenta.

Incydent rozpoczął się od przejęcia kontroli nad skrzynką mailową Tomasza Arabskiego. Następnie, podszywając się pod tożsamość właściciela przejętej skrzynki, haker rozesłał wiadomość z zainfekowanym załącznikiem. Odbiorcami fałszywego e-maila byli pracownicy Kancelarii, a także innych instytucji rządowych. Haker w treści maila powoływał się na Tomasza Arabskiego, aby w ten sposób wzbudzić zaufanie potencjalnych odbiorców. Otwarcie załącznika powodowało uruchomienie złośliwego oprogramowania i przejęcie kontroli nad stacją roboczą. Kolejnymi ofiarami cyberprzestępcy stały się MON, MSZ i Kancelaria Prezydenta Rzeczpospolitej Polskiej.

Socjotechnika

Atak opierał się głównie na metodach socjotechnicznych. Haker wykorzystując lukę w zabezpieczeniach dokonał penetracji systemu i poprzez zainfekowaną wiadomość przejął kontrolę nad siecią.

„W celu ochrony przed podobnymi zdarzeniami w przyszłości należy zainstalować odpowiednie rozwiązanie zabezpieczające, a także uważnie monitorować wszystkie podejrzane zachowania w obrębie sieci. Do kontrolowania prostych elementów powinno się używać kont o niskim poziomie dostępu, aby w razie ich przejęcia włamywacz nie mógł uzyskać dostępu do wrażliwych systemów. W żadnym wypadku nie należy zezwalać pracownikom na zapisywanie haseł i loginów w pliku tekstowym na pulpicie czy na kartce znajdującej się obok komputera. Administratorzy nie powinni ulegać presji ze strony przełożonych, próbujących niekiedy wymusić działania mogące zmniejszyć poziom zabezpieczeń w sieci”

- mówi Aleksander Łapiński, Sales Engineer z firmy Trend Micro.

„Ochrona przed podobnymi zagrożeniami nie musi być trudna. Należy jednak przede wszystkim pamiętać, że celem ataku może być każda firma lub instytucja. Cyberprzestępcy wybierają ofiary pod kątem przyszłych zysków, najczęściej finansowych”

- dodaje Aleksander Łapiński.

Jak chronić się przed atakami?

Firmy oraz instytucje powinny zastosować zaawansowane zabezpieczenia wykrywające zagrożenia zanim trafią one do sieci. Należy również pamiętać, że poprawne działanie systemu informatycznego i jego bezpieczeństwo jest zależne również od poziomu edukacji użytkowników i administratorów. Pracownicy nie powinni kurczowo trzymać się błędnych przyzwyczajeń. Należy na przykład pamiętać o czynnościach, które wydają się oczywiste, ale które są jednocześnie kluczowymi elementami polityki bezpieczeństwa – np. o .

Źródło: Trend Micro