PARTNERZY PORTALU partner portalu wnp.pl partner portalu wnp.pl
Menu

wnp.pl - portal gospodarczy

Szukaj

Home.pl zaatakowane przez hakerów. Wcześniej KNF, MAERSK i Bank Centralny Bangladeszu

Stefan Antoszewski • 24-09-2018 19:00
Home.pl zaatakowane przez hakerów. Wcześniej KNF, MAERSK i Bank Centralny Bangladeszu

Za atakiem na KNF na przełomie 2016 i 2017 roku stali północnokoreańscy hakerzy

Fot. Adrian Grycuk/Wikipedia/CC BY-SA 3.0pl

Home.pl, jeden z największych dostawców usług internetowych w kraju, z którego serwerów korzysta ponad połowa firm w Polsce, to najnowsza ofiara prawdopodobnego ataku hackerskiego. Kilka godzin wystarczyło, aby firmy i osoby fizyczne miały problem z korzystaniem z usług za pomocą aplikacji. To nie pierwsza taka sytuacja w Polsce pokazująca rosnącą skalę zagrożeń ze strony przestępców cybernetycznych. Na przełomie 2016 i 2017 roku cyberprzestępcy zainfekowali stronę internetową Komisji Nadzoru Finansowego i poprzez nią atakowali programem szpiegowskim użytkowników strony i kradli wrażliwe dane ich firm.

  • Ataki hackerskie na firmy i instytucje przyniosły w 2017 r. 600 mld USD strat.
  • Powodami, dla których firmy padają ofiarami ataków, są nie tylko kradzież pieniędzy czy informacji, ale i sprawy ideologiczne (tzw. hackactivism)
  • Najbardziej katastrofalne w skutkach są taki na infrastrukturą krytyczną państw, logistykę i wydobycie surowców
  • Według danych firmy Crowdstrike aż w 39 proc. przypadków zwykłe programy antywirusowe nie były w stanie wykryć złośliwego oprogramowania atakującego systemy teleinformatyczne firm. 
Wyniki śledztwa FBI ujawnione we wrześniu tego roku wykazały, że za jednym z najpoważniejszych ataków cybernetycznych w ostatnim czasie w Polsce stali północnokoreańscy hakerzy. Prowadzone przez nich działania są coraz bardziej skomplikowane, a tym samym trudniejsze do wykrycia i zarazem powodujące coraz większe straty. Dotyczą nie tylko kradzieży wrażliwych danych czy też środków finansowych, ale także ataków na infrastrukturę krytyczną przedsiębiorstw, które mogą wywołać fizyczne zniszczenia lub blokować funkcjonowanie systemów produkcyjnych.

Atak na KNF

Atak hakerski na Komisję Nadzoru Finansowego trwał od 5 października 2016 roku do 2 lutego 2017 roku. Przestępcy umieścili na stronie internetowej KNF złośliwe oprogramowanie szpiegowskie, które było praktycznie nie do wykrycia dla zwykłego użytkownika strony. Przesyłało ono przestępcom informacje identyfikujące użytkowników strony. Przy tym ataki hakerskie były przeprowadzane bardzo selektywnie, tylko na wybrane ofiary, które znajdowały się na liście celów hakerów (tj. nie zaatakowano wszystkich odwiedzających strony KNF, nawet nie wszyscy byli proponowani przez program szpiegowski do ataków przestępcom).

Atakowano przede wszystkim instytucje sektora finansowego i wykradano wrażliwe dla nich dane, takie jak np. plany strategiczne, czy koncepcje marketingowe, nie udało się jednak ustalić jakie i jak wiele konkretnie danych wykradli przestępcy (było to niemożliwe ponieważ przesyłano zaszyfrowane te dane).

Dokumenty śledztwa FBI wykazują, że za tym atakiem stali północnokoreańscy hakerzy. Amerykańska służba określa przeprowadzony atak hakerski za jeden z najpoważniejszych, jeśli nie najpoważniejszy w Polsce. Na szczęście jednak, został on wykryty, zanim przestępcom udało się wykraść środki finansowe. Podobny schemat ataku wykorzystano potem w Meksyku i innych krajach południowoamerykańskich.

Połowa firm w Niemczech pada ofiarą cyberataków

Cyberprzestępstwa związane ze szpiegostwem przemysłowym i biznesowym są bardzo powszechne, a jednocześnie mogą generować olbrzymie straty dla firm. Według ocen niemieckiego kontrwywiadu ponad połowa firm Niemczech ucierpiała w wyniku kradzieży wrażliwych informacji przez hakerów i szacuje się, że wyrządzone z tego tytułu straty tylko w 2015 i 2016 roku wyniosły ponad 110 mld euro w samych Niemczech.

Bardzo łakomym kąskiem dla hakerów są dane klientów znajdujące się w bazach firm. Na przykład w 2014 roku rosyjscy hakerzy wykradli dane ponad 80 mln klientów banku JP Morgan Chase. Z kolei w lipcu 2017 roku hakerzy, prawdopodobnie powiązani z chińskimi służbami, weszli w posiadanie danych 143 mln podmiotów znajdujących się w bazach amerykańskiej firmy Equifax, będącej biurem informacji gospodarczej. Dane te zawierały pełne imiona i nazwiska, numery ubezpieczeń społecznych, daty urodzenia, adresy zamieszkania i numery praw jazdy, a także 209 tys. numerów kart kredytowych.

Również w lipcu 2017 roku cyberprzestępcy zaatakowali największy włoski bank UniCredit i uzyskali dostęp do danych z 400 tys. rachunków bankowych.

Natomiast w listopadzie 2017 roku, Uber ujawnił, że zapłacił hakerom 100 tys. dolarów okupu za nieupublicznianie i usunięcie wykadzonych przez nich danych 57 mln klientów i kierowców pracujących dla tej firmy na całym świecie. Tego typu działalność będzie zapewne się nasilać w związku z wprowadzeniem w Polsce nowych zapisów o ochronie danych osobowych RODO.

81 mln USD z Bangladeszu

Celem ataków cyberprzestępców są nie tylko informacje, ale i pieniądze. Z tego powodu najbardziej narażonymi na ataki są banki i inne instytucje finansowe. W ostatnim czasie najgłośniejszymi, upublicznionymi przypadkami była kradzież przez północnokoreańskich hakerów w 2016 roku 81 mln dolarów z banku centralnego Bangladeszu (była to ta sama grupa, która zaatakowała polski KNF) oraz w tym roku 13,5 mln dolarów z indyjskiego Cosmos Bank w tym roku, a także ok. 20 mln dolarów z jednego z meksykańskich banków przez nieznaną grupę.

Za każdym razem kradzieży dokonywano w inny sposób. Jednak np. w przypadku banku indyjskiego i meksykańskiego włamano się do systemów bankowych i wykorzystano system SWIFT  do przeprowadzenia nielegalnych transferów środków pieniężnych wyprowadzając pieniądze z tych banków.

Jednak ataki hakerskie nie tylko mogą zagrażać bezpieczeństwu informacji, czy finansom firm, ale też infrastrukturze krytycznej i prowadzeniu przez nie działalności operacyjnej. W takich przypadkach straty finansowe idą już w setki milionów, a nawet miliardy dolarów.

Przypadek Maerska: zagrożona logistyka

Po południu 27 lipca 2017 roku nagle przestały działać komputery w centrali duńskiego koncernu Maersk - największego na świecie operatora kontenerowego. Był to początek ataku hakerskiego przeprowadzonego za pomocą wirusa NotPetya, który m.in. na 2 dni zablokował pracę 17 z 76 terminali przeładunkowych koncernu w portach na całym świecie. Wirus nie tylko blokował działanie komputerów, ale przede wszystkim niszczył dane zapisane na dyskach zainfekowanych komputerów.

Przywrócenie funkcjonowania sieci komputerowej firmy zajęło 2 tygodnie, a całkowite usunięcie szkód trwało 5 miesięcy. Pracowało nad tym ok. 600 informatyków i ekspertów bezpieczeństwa IT. Straty, które poniósł koncern oszacowano na ok. 300 mln dolarów.

Cała sieć informatyczna koncernu została zaatakowana poprzez jeden komputer, który znajdował się w przedstawicielstwie firmy w Odessie. Można powiedzieć, że Maersk padł ofiarą wojny cybernetycznej pomiędzy Rosją i Ukrainą. Ukraina i ukraińskie firmy stale padają ofiarami ataków cybernetycznych prowadzonych przez powiązanych z Rosją hakerów. 

Jedną z firm zaatakowanych wirusem NotPetya był ukraiński producent oprogramowania księgowego firma M.E.Doc. I właśnie program tej firmy był zainstalowany na komputerze w przedstawicielstwie Maersku w porcie w Odessie. Komputer ten był połączony z globalną siecią IT koncernu i w ten sposób rozpowszechnił się wirus. To co uratowało Maersk przed nieodwracalnymi stratami związanymi z utratą danych był jeden komputer w biurze firmy w Ghanie, który akurat z powodu braku dostaw prądu był wyłączony i nie miał dostępu do sieci IT firmy w momencie ataku cybernetycznego. Dzięki kopimo zapasowym danych udało się specjalistom odzyskać utracone informacje i przywrócić działanie całej sieci.

Żniwa „NotPetya”

Jednak nie tylko Maersk padł ofiarą ataków wirusem NotPetya. Zaatakował on inne różne spółki na świecie, m.in. amerykański koncern farmaceutyczny Merck, dostawcę przesyłek kurierskich TNT Express, koncern budowlany Saint-Gobain, wytwórcę produktów konsumpcyjnych Reckitt Benckiser, grupę spożywczą Mondelez, czy rosyjski koncern energetyczny Rosneft.

Szacuje się, że łączne starty wywołane przez ten wirus w skali świata przekroczyły 10 mld USD. Dla porównania inna kampania ataków cybernetycznych z wykorzystaniem wirusa WannaCry rozpowszechnianego przez północnokoreańskich hakerów, mogła przynieść w skali świata straty firmom na poziomie 4 – 8 mld USD.

Ataki na infrastrukturę krytyczną mogą mieć bardzo poważne konsekwencje nie tylko dla działalności firm, ale też dla zwykłych ludzi. W grudniu 2015 roku ok. 225 tys. osób mieszkających na zachodzie Ukrainy straciło dostęp do prądu w wyniku ataku cybernetycznego na ukraińską sieć elektroenergetyczną przeprowadzonego przez powiązanych z Rosją hakerów. Z kolei w grudniu 2016 roku rosyjscy hakerzy wyłączyli sieć transmisyjną prądu w Kijowie o mocy 200 megawat. Tego typu ataki nie miały na celu uzyskanie korzyści finansowych, a ich cele były wyłącznie destrukcyjne i chodziło o wstrzymanie dostaw prądu, a także zniszczenie danych znajdujących się na komputerach zaatakowanych firm. W tym przypadku nie chodziło o zysk finansowy przestępców, a stworzenie zagrożenia dla bezpieczeństwa zwykłych ludzi.

Trisis uderza w Arabię Saudyjską

Jeden z najpoważniejszych i uznawany za najbardziej zaawansowany dotychczas atak cybernetyczny na infrastrukturę krytyczną miał miejsce w Arabii Saudyjskiej w sierpniu 2017 roku. Zaatakowana została saudyjska prywatna firma działająca w sektorze wydobycia i produkcji ropy i gazu (jej nazwa nie została upubliczniona). Celem ataku z użyciem wirusa Trisis (występującego też pod nazwą Triton) było nie tylko zablokowanie pracy systemów produkcyjnych, ale przede wszystkim doprowadzenie do wybuchu instalacji przemysłowych i wywołanie zniszczeń. Nie udało się ustalić sprawców ataku, ale domniemywa się, że mogli mieć związki z Iranem, rywalizującym w regionie z Arabią Saudyjską. Na szczęście hakerzy w ostatnim momencie popełnili błąd i nie doszło do katastrofalnych w skutkach strat. Jednak można zakładać, że błąd w oprogramowaniu został już poprawiony i kolejny atak w podobnym stylu jest tylko kwestią czasu.

600 mld strat albo 0,8 proc. światowego PKB

Różnego rodzaju grupy hakerskie zainteresowane są przede wszystkim kradzieżą środków finansowych i informacji. Mogą też prowadzić działania wymuszające okup za ukradzione dane (tzw. ransomware, tj. np. blokowanie komputerów i domaganie się zapłaty za usunięcie blokady lub za nieupowszechnianie ukradzionych informacji).

Mogą też działać na zlecenie strony trzeciej i np. podjąć atak cybernetyczny w celu zdyskredytowania wizerunku firmy. Coraz bardziej powszechne stają się działania hakerów z pobudek ideologicznych (tzw. hackactivism), prowadzone przez radykalne grupy polityczne, czy społeczne.

Jednak za najpoważniejszymi atakami cybernetycznymi stoją struktury państwowe (oczywiście nieoficjalnie), które wykorzystują tego typu działalność jako instrument dla osiągania celów w swojej polityce zagranicznej. Wielu przykładów może dostarczyć ciągle trwający konflikt ukraińsko-rosyjski, w którym prowadzone są nie tylko działania zbrojne i wykorzystywane instrumenty ekonomiczne (np. sankcje gospodarcze), czy polityczne, ale właśnie także prowadzone są ataki cybernetyczne na infrastrukturę teleinformatyczną i krytyczną przeciwnika.

Według danych amerykańskiego think-tanku CSIS najwięcej pod względem liczby ataków cybernetycznych przeprowadzono przez hakerów w kolejności z: Chin, Rosji, Iranu, Korei Północnej, Indii i Stanów Zjednoczonych.

Należy spodziewać się, że w tym i w najbliższych latach negatywne konsekwencje ataków cybernetycznych będą rosły. Według szacunków amerykańskiej  firmy McAfee i wspomnianego think-tanku CSIS o ile w 2014 koszty działalności przestępców cybernetycznych wyniosły prawie 500 mld USD (czyli ok. 0,7 proc. światowego PKB), to w 2017 roku było to już 600 mld USD, czyli 0,8 proc. światowego produktu brutto.

Wśród najbardziej narażonych na działalność cyberprzestępców sektorów gospodarki różne raporty wymieniają przede wszystkim sektor bankowy i finansowy, handel detaliczny i spółki zajmujące się wysokimi technologiami. Należy przy tym zwrócić uwagę, że choć w sektorze energetycznym notowana jest mniejsza liczba ataków cybernetycznych, niż np. w sektorze bankowym, to ich konsekwencje mogą nieść o wiele bardziej negatywne skutki, co pokazuje wspomniany przykład ataków na ukraińską sieć elektroenergetyczną.

Zwykłe antywirusy nie działają

Trzeba być świadomym, że coraz trudniej będzie im przeciwdziałać, a podmioty gospodarcze powinny stale rozwijać swoje możliwości przeciwdziałania im. Według danych amerykańskiej firmy Crowdstrike, aż w 39 proc. przypadków zwykłe programy antywirusowe nie były w stanie wykryć złośliwego oprogramowania atakującego systemy teleinformatyczne firm.  

Opisany na początku przykład ataku cybernetycznego na stronę KNF pokazuje, że nie ma granic dla cyberprzestępców i działają oni w skali światowej, a polskie podmioty mogą być równie dobrze zaatakowane nie tylko przez cieszących się zła sławą hakerów z Rosji, ale też z Korei Północnej, Brazylii, czy innego kraju na świecie (często zresztą nie jest możliwym zlokalizowanie rzeczywistych sprawców). Ostatni raport CERT Orange Polska stwierdza, że w 2017 roku doszło do ponad 12 tys. incydentów, które wymagały interwencji specjalistów tej firmy (dotyczy to tylko incydentów obsłużonych przez CERT Oragne Polska, niestety brak jest w Polsce publicznie dostępnych danych dotyczących wszystkich incydentów w skali kraju). Pokazuje to, że żadna firma w Polsce nie może czuć się w pełni bezpieczna.
  • Bangladesz

    Przelicz walutę
  • taka (BDT)

  • 4,528 złoty (PLN)

    1,053 EUR, 1,189 USD
  • Chiny

    Przelicz walutę
  • yuan (CNY)

  • 0,552 złoty (PLN)

    0,128 EUR, 0,145 USD
  • Dania

    Przelicz walutę
  • korona (DKK)

  • 0,576 złoty (PLN)

    0,134 EUR, 0,151 USD
  • Rosja

    Przelicz walutę
  • rubel (RUB)

  • 0,057 złoty (PLN)

    0,013 EUR, 0,015 USD

KOMENTARZE (0)

PISZESZ DO NAS Z ADRESU IP: 35.175.190.77
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

PARTNER SERWISU

partner serwisu

Kalkulator walutowy

  • Przelicz na:

  • Kurs z dnia:

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.