Mijający rok przyniósł eskalację cyberataków na infrastrukturę krytyczną

Skokowy wzrost cyberataków

Rok 2024 przyniósł wzrost cyberzagrożeń. Krzysztof Gawkowski, wicepremier i minister cyfryzacji, powiedział w październiku bieżącego roku, że zidentyfikowano ponad 80 tysięcy cyberataków. Jego zdaniem do końca roku przekroczą 100 tysięcy, czyli o ponad 100 procent więcej niż w 2023 roku i ponad 200 procent więcej niż w 2022 roku.

Obszarem szczególnie zagrożonym jest infrastruktura krytyczna. Świadczy o tym 66 milionów przeznaczonych przez resort cyfryzacji na lepszą ochronę w tym zakresie.

- Naszym celem jest jeszcze lepsza ochrona infrastruktury krytycznej w obszarach zdrowia, wody, energii i transportu. Będziemy skutecznie reagować na ataki, zarówno zewnętrzne, ze strony Rosji i Białorusi, jak i wewnętrzne od cyberprzestępców – powiedział minister Gawkowski podczas konferencji „Nowa Era dla Sektorowych CSIRT-ów".

Czym jest infrastruktura krytyczna? Zgodnie z definicją Rządowym Centrum Bezpieczeństwa (RCB) infrastruktura krytyczna to rzeczywiste i cybernetyczne systemy wymagane do niezbędnego funkcjonowania gospodarki oraz państwa. Obejmuje obiekty budowlane, urządzenia, instalacje, ale i usługi kluczowe dla bezpieczeństwa państwa i służące do sprawnego funkcjonowania administracji publicznej, instytucji i przedsiębiorstw.

Wzrost cyberzagrożeń wymierzonych w infrastrukturę krytyczną nie jest charakterystyczny tylko dla Polski. Check Point Reaserch wskazało we wrześniu, że amerykańskie przedsiębiorstwa użyteczności publicznej doświadczyły w 2024 roku o 70% więcej cyberataków niż w analogicznym okresie 2023 roku. Głównym celem był sektor energetyczny i zakłady użyteczności publicznej, należące do infrastruktury krytycznej. Co warto zaznaczyć, według wspomnianych badań spadła o 5% liczba ataków na sektor rządowy i wojskowy oraz o 15% na transport. 

W mijającym roku ataki ransomware ewoluowały

Zarówno cyberprzestępcy, jak i aktorzy państwowi, kontynuowali trend z 2023 roku na ataki ransomware (ang. ransom okup i software oprogramowanie), wymierzone w infrastrukturę krytyczną. Metoda polega na blokadzie lub zaszyfrowaniu plików i wymuszeniu okupu. Skutkują m.in. przestojem w pracy, awariami sprzętu czy naruszenie bezpieczeństwa zarówno samego zaatakowanego podmiotu jak i okolicy.

Paraliż przedsiębiorstwa energetycznego czy wodociągowego (oba segmenty należą do infrastruktury krytycznej) może skutkować brakiem w dostępności energii elektrycznej czy wody zdatnej do użytku.

- Oprogramowanie ransomware pozostaje najpowszechniejszym zagrożeniem cyberbezpieczeństwa, które wpływa na przemysł na całym świecie – pisze Dragos, firma zajmująca się cyberbezpieczeństwem w przemyśle, w opracowaniu dotyczącym cyberzagrożeń w pierwszym kwartale 2024 roku.

Jednocześnie autorzy opracowania wskazują, że 2024 roku przyniósł zmiany w tym zagrożeniu. Organy ścigania szeroko współpracowały na arenie międzynarodowej, czego skutkiem jest likwidacja grupy Lockbit Ransomware. Eksperci wskazują również na ewolucje, i odejście od atakowania pojedynczego użytkownika, a skupienie się na całej branży. Zauważają, że ataki ransomware stały się bardziej wyrafinowane w zakresie wyszukiwania luk.

W drugim kwartale wzrost incydentów z udziałem tej metody wzrósł. Przykładem działania w omawianym zakresie jest atak Ikaruz Red Team na infrastrukturę krytyczną na Filipinach z użyciem oprogramowania ransomware czy akcja LockBit wymierzona w Allied Telesis polegająca na kradzieży poufnych danych, zakłóceniu dostaw sprzętu telekomunikacyjnego i groźbie ich publikacji.

Stara metoda, nowe odpowiedzi ofiar

Sophos News przeprowadziło badanie dotyczące ataków ransomware na infrastrukturę krytyczną w pierwszej połowie 2024 roku. Przedstawiono je w lipcu, a grupą badanych było 275 podmiotów zajmujących się cyberbezpieczeństwem z sektora energetycznego i usług komunalnych. 67% badanych padło ofiarą ataków ransomware, co jest identycznym wynikiem jak rok wcześniej.

W 2024 roku 98% ofiar zgłosiło próbę naruszenia kopii zapasowych, z czego 79% ataków zakończyła się sukcesem przestępców. 80% incydentów polegało na szyfrowaniu danych, co jest zbliżone do wyników z 2023 roku (79%), jednak jest wyższe o 10 procent od tendencji międzysektorowej z 2024 roku. Dane dotyczą pierwszego półrocza. Średni koszt odzyskania plików zmalał z 3,17 milionów dolarów do 3,12 miliona.

61% podmiotów z omawianych sektorów zapłaciło okup, a 51 procent odzyskało dane. Jest to wzrost w stosunku do lat 2022 i 2023, w zakresie ulegania szantażowi. Jednocześnie spadł procent podmiotów korzystających z backup’ów (77, 70 i 51 procent w latach 2022, 2023 i 2024). W ujęciu globalnym na przekazanie pieniędzy zdecydowało się 56%, a 68% na kopię zapasową. 35% firm skorzystało  z obu metod. Rok wcześniej było to 26%.

Z podmiotów, które zdecydowało się zapłacić okup 48% przekazało pierwotnie żądaną kwotę, 26% mniejszą, a 27% większą.

Iran wyważa drzwi

W październiku bieżącego roku CISA wraz z FBI, NSA i partnerami międzynarodowymi, opublikowała w październiku poradnik dotyczący zagrożenia ze strony Iranu dla infrastruktury krytycznej. Wskazuje, że od października 2023 roku, do 2024 Iran stosuje ataki siłowe i kradnie hasła w celu uzyskania dostępu do sektora opieki zdrowotnej, IT, energetyki i administracji rządowej.

W sierpniu CISA wskazało, że częstym celem ataków jest Active Directory, metoda uwierzytelniania i autoryzacji. The Hacker News, analizując powyższe źródła, wskazał, że cyberprzestępcy korzystają z mechanizmu push bombing, czyli „zmęczenia” uwierzytelniania wieloskładnikowego (MFA). Polega na zmasowanym zalewaniu użytkownika powiadomieniami o zatwierdzeniu żądania, by ten np. odruchowo, je potwierdził.

- Złośliwi aktorzy regularnie atakują Active Directory, poprzez działania mające na celu naruszenie sieci informatycznych przedsiębiorstw […] – pisze CISA cytowane przez The Hacker News.

To nie był dobry rok dla telekomunikacji

Jednym z istotnych sektorów infrastruktury krytycznej jest telekomunikacja, która w mijającym roku została obrana za cel. Firma AT&T badała naruszenie danych po tym jak dane 70 milionów danych ich klientów wyciekło do dark webu. Upublicznione dane pochodziły z 2019 roku i dotyczyły około 7,6 miliona obecnych posiadaczy kont i 65,4 miliona byłych. Dane zawierały informacje osobiste m.in. numer ubezpieczenia społecznego.

Dużą akcją skierowaną w telekomunikację był Salt Typhoon (ang. Słony Tajfun), wymierzony m.in. w firmy amerykańskie. Według analiz stoi za nim grupa z Chin. Jak podaje New York Times nazwa odnosi się bezpośrednio do zagrożenia. Typhoon wskazuje na Chiny, a Salt na hakowanie. Polegało na zinfiltrowaniu firm telekomunikacyjnych m.in. Verizon.

Według artykuł New York Times z 26 października 2024 roku, celem ataku padł m.in. telefon obecnego prezydenta Elekta Donalda Trumpa i J.D. Vance’a przyszłego wiceprezydenta. Wśród ofiar byli również przedstawiciele Demokratów.

2024 rok powtórzył po poprzedniku, czy przekaże to następcy?

Mijający rok eskalował cyberzagrożenia z 2023 roku. Aktorzy, zarówno państwowi jak i grupy przestępcę, zwiększyli zainteresowanie infrastrukturą krytyczną. Ciągle popularną metodą był ataki ransomware, ale doszło do eskalacji zarówno samych zagrożeń jak ich zwalczania. Zmianie uległy również trendy odpowiadania na nie. Co raz większe znaczenie ma geopolityka i konflikty, zarówno agresja Rosji na Ukrainę jak i ten na Bliskim Wschodzie.

- Przeciwnicy, tacy jak Chiny i Rosja, stworzyli rozległą sieć hakerów i oprogramowania, które zinfiltrowało amerykańską infrastrukturę i może zostać wykorzystane w przypadku poważnego konfliktu geopolitycznego – pisze w listopadzie USA Today.

2024 rok pokazał, że globalna polaryzacja skutkuje cybernetyczną wojną, opracowaniem nowych technik, modyfikacją starych, a co ważniejsze eskalacją.

Komentarze naszych ekspertów

Kamil Nawrocki, Technical Sales Manager, SMA Solar Technology AG, Uniwersytet Ekonomiczny w Poznaniu