Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Cyberataki w IV kwartale 2023 roku

08 styczeń 2024

Cyberataki w IV kwartale 2023 roku
Redakcja

Redakcja

W ostatnim kwartale 2023 roku spokojnie nie mogła spać nawet rodzina królewska. Na celowniku cyberprzestępców znalazły się także m.in.: czeski rząd, brytyjska biblioteka, linie lotnicze Air Europa, a w Polsce — ALAB. Do jakich cyberataków doszło jeszcze w ostatnim kwartale 2023 roku?

Ostatni kwartał 2023 roku

Ostatni kwartał 2023 roku obfitował w wiele cyberataków, od których wolna nie była nawet rodzina królewska. Początkiem października Royal.uk, oficjalna strona monarchów, była nieaktywna przez około 90 minut. Gdy witryna znów zaczęła działać, wprowadzono moduł sprawdzania adresów IP, aby upewnić się, że osoby uzyskujące dostęp do witryny nie są botami. W poście na Telegramie dotyczącym cyberataku KillNet stwierdził, że przeprowadził go w ramach „ataku na pedofilów”, który miał nawiązywać do zarzutów o wykorzystywanie seksualne nieletniej postawionych księciu Andrzejowi, księciu Yorku. 

6 października firma biotechnologiczna 23andMe ujawniła, że ​​padła ofiarą naruszenia bezpieczeństwa danych. Celem cyberataku byli najprawdopodobniej użytkownicy pochodzenia żydowskiego. Cyberprzestępca występujący pod pseudonimem „Golem” twierdził, że w poście na forum hakerskim BreachForums przesłał bazę danych 1 miliona osób pochodzenia żydowskiego. „Golem” oferował na sprzedaż pakiety danych, które, jak twierdził, zawierały „dostosowane do potrzeb grupy etniczne, zindywidualizowane zbiory danych, dokładne szacunki pochodzenia, informacje o fenotypie, zdjęcia, linki do setek potencjalnych krewnych i, co najważniejsze, surowe profile danych”. Cyberprzestępca przekazał także, że ukradł dane należące do „najbogatszych ludzi mieszkających w USA i Europie Zachodniej”, w tym brytyjskiej rodziny królewskiej, Rockefellerów i Rothschildów. Informacje te  jednak nie zostały potwierdzone.  Ceny zestawów danych wahały się od 10 do 1 dolara, w zależności od tego, ile profili byli skłonni kupić potencjalni nabywcy. Naruszenie skłoniło firmy zajmujące się testowaniem DNA do domyślnego korzystania z loginów uwierzytelnianych dwuskładnikowo.

Atak na linie lotnicze Air Europa

Z kolei Air Europa doświadczyła naruszenia bezpieczeństwa danych, w wyniku którego ujawniono informacje dotyczące płatności swoich klientów. 10 października linia lotnicza wysłała e-mail do dotkniętych atakiem klientów, informując ich, że podczas cyberataku, przestępcy mogli uzyskać dostęp do ich danych dotyczących płatności. Według linii lotniczej incydent wykryto, gdy zauważono podejrzane aktywności w jednym z jej systemów. Numery kart kredytowych, daty ważności i kody CCV klientów zostały ujawnione, mimo że przechowywanie kodów CCV jest niezgodne z przepisami Payment Card Industry Data Security Standard (PCI DSS).

Ze względu na charakter ujawnionych danych Air Europa wezwała wszystkie osoby, które korzystały z karty kredytowej do płacenia za loty, do anulowania karty, chociaż linia lotnicza stwierdziła również, że nie ma dowodów na to, że naruszenie zostało „ostatecznie wykorzystane do popełnienia oszustwa”.

Największe w historii ataki DDoS

Dostawcy infrastruktury internetowej Google Cloud, Cloudflare i AWS zgłosili 10 października największe w historii ataki DDoS, w którym liczba żądań na sekundę (rps) osiągnęła najwyższą wartość ponad 398 milionów, co stanowi siedem i pół raza więcej niż poprzedni rekordowy Atak DDoS. CSO Cloudflare Grant Bourzikas napisał w poście na blogu Google, że „kluczowe” jest zrozumienie, że atak mógł zostać przeprowadzony przy użyciu „botnetu skromnej wielkości, składającego się z około 20 000 maszyn”.

Co więcej, dane osobowe 815 milionów mieszkańców Indii, najwyraźniej wydobyte z bazy danych ICMR dotyczącej testów na Covid, zostały wystawione na sprzedaż w ciemnej sieci na początku tego miesiąca. Według firmy ochroniarskiej Resecurity, która odkryła wpis, dane obejmowały imię i nazwisko ofiary, wiek, płeć, adres, numer paszportu i numer Aadhaar (12-cyfrowy rządowy numer identyfikacyjny).

Fałszywe informacje o erupcji wulkanu we Włoszech

Natomiast  we Włoszech doszło do ataku, którego celem było rozsyłanie nieprawdziwych informacji do obywateli na temat rzekomych erupcji wulkanu. Badacze z włoskiej firmy D3Labs zajmującej się bezpieczeństwem cybernetycznym odkryli, że przestępcy wykorzystywali usługę IT-Alert – nowy publiczny system ostrzegania, używany przez włoski rząd do udostępniania obywatelom informacji o zagrożeniach m.in. tych, dotyczących erupcji wulkanu.

Cyberprzestępcy stworzyli witrynę udającą IT Alert, na której widniała informacja „w związku z możliwymi erupcjami wulkanu może wystąpić ogólnokrajowe trzęsienie ziemi”, a następnie kazano czytelnikom pobierać aplikację. Gdy ofiara kliknęła przycisk, pobierany był plik o nazwie IT-Alert.apk zawierający złośliwe oprogramowanie SpyNote. Monitując użytkownika w tle, przestępcy mogli uzyskać pełną kontrolę nad smartfonem ofiary, umożliwiając jej na przykład kradzież danych logowania do aplikacji bankowych i mediów społecznościowych.

Na celowniku Czechy i Biblioteka Brytyjska

Ostatni kwartał 2023 roku pod kątem cyberbezpieczeństwa nie był łaskawy również dla Czechów, ponieważ zaatakowano ich strony rządowe oraz serwisy internetowe policji i lotniska w Pradze, a także stronę internetową Platformy Krymskiej, międzynarodowego szczytu odbywającego się tego dnia w Pradze. Ataki zakłócały działanie stron na około dwie godziny. Różne źródła podają, że za ataki odpowiedzialni byli hakerzy NoName057. Od marca 2022 r. ugrupowanie to stoi za szeregiem cyberataków na agencje rządowe i media w USA i Europie, których celem są przede wszystkim podmioty, które uważa się za wrogów Rosji.

Z kolei w Wielkiej Brytanii cyberataku doświadczyła Biblioteka Brytyjska. Przestępcy zakłócili działanie strony internetowej, systemów internetowych, publicznej sieci Wi-Fi i usługi telefoniczne. Obie placówki w Londynie i Yorkshire dotknięte były, jak sama biblioteka określiła, „poważną awarią technologiczną”. „W odpowiedzi na atak podjęliśmy ukierunkowane środki ochronne, aby zapewnić integralność naszych systemów. Przy wsparciu Narodowego Centrum Cyberbezpieczeństwa i specjalistów ds. cyberbezpieczeństwa podejmujemy również dochodzenie prokuratorskie” – napisała w komunikacie do pracy Biblioteka Brytyjska. Do ataku przyznali się operatorzy oprogramowania ransomware Rhysida.

Zaatakowana aplikacja popularna aplikacja rodzicielska

W ostatnim kwartale 2023 roku cyberprzestępcy zaatakowali także popularną aplikację rodzicielską Kid Security, która pozwala rodzicom monitorować i kontrolować bezpieczeństwo swoich dzieci w Internecie. Aplikacja udostępniała dzienniki aktywności użytkowników w Internecie przez ponad miesiąc za pośrednictwem źle skonfigurowanych instancji Elasticsearch i Logstash. Badacz bezpieczeństwa Bob Diachenko z SecurityDiscovery po raz pierwszy zidentyfikował ujawnione informacje w październiku. Według CyberNews naruszonych zostało ponad 300 milionów rekordów danych, w tym 21 000 numerów telefonów i 31 000 adresów e-mail. Ujawniono także niektóre dane kart płatniczych.

Badacze z Aqua Nautilus odkryli Kubernetes Secrets – obiekty zawierające niewielkie ilości wrażliwych danych, takich jak hasła, tokeny czy klucze – dotyczące setek organizacji wystawionych na działanie Internetu w publicznych repozytoriach GitHub. Wśród poszkodowanych znalazła się firma SAP SE. Badacze odkryli dane uwierzytelniające, które zapewniły dostęp do 95 592 696 artefaktów, a także uprawnienia do pobierania i niektóre operacje wdrażania. Powiadomiono firmę SAP SE, która zareagowała „w najbardziej profesjonalny i skuteczny sposób”, rozwiązując problem, rozpoczynając dochodzenie i utrzymując komunikację z Aqua Nautilus.

Ponadto pod koniec 2023 roku ujawniono, że TmaxSoft, firma informatyczna z Korei Południowej, od ponad dwóch lat udostępnia w Internecie 2 TB danych za pośrednictwem pulpitu nawigacyjnego Kibana. Dane zawierają ponad 56 milionów rekordów. Większość wyciekających danych to informacje o firmie i e-maile, ale obejmują nazwiska pracowników, numery telefonów, numery umów o pracę i e-maile, a także załączniki do e-maili, metadane i inne wrażliwe informacje, które mogą zostać wykorzystane w atakach na łańcuch dostaw.

Na polskim podwórku

W ostatnim kwartale 2023 roku doszło również do głośnego cyberataku w Polsce. Chodzi ogólnopolską sieć laboratoriów medycznych ALAB. Jak podają polskie media, wyciek jest skutkiem ataku grupy ransomware. W wyniku ataku, w sieci znalazły się dane co najmniej kilkudziesięciu tysięcy Polek i Polaków, którzy od roku 2017 do 2023 wykonywali badania medyczne w sieci ALAB laboratoria.

Co więcej,  nieznana grupa ransomware RA World opublikowała na swoim blogu nie tylko informację o skutecznym włamaniu do firmy ALAB, ale także próbkę wykradzionych danych, a w niej między innymi wyniki ponad 50 tysięcy badań medycznych. Hakerzy domagają się okupu od firmy za to, że nie ujawnią wszystkich przejętych danych. Grożą przy tym, że jeśli nie dostaną pieniędzy, do 31 grudnia 2023 roku, opublikują wszystkie wykradzione dane.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności