Polscy hakerzy są kreatywni. Na szczęście w sieci mamy też swoich obrońców
O kreatywności polskich hakerów, największych atakach 2018 roku i ochronie serwowanej przez Cyber-Tarczę - rozmawiam z kierownikiem CERT Orange Polska.
CERT (Computer Emergency Response Team) zajmuje się bezpieczeństwem internautów korzystających z usług Orange. To jednostka specjalna, która wykonuje pentesty, testuje rozwiązania i usługi bezpieczeństwa dla użytkowników i analizuje zagrożenia w internecie. Ostatnio wydała również kolejny, 5. raport o najpoważniejszych incydentach w sieci. Właśnie w jego kontekście rozmawiałem ze specem od zabezpieczeń z Orange.
Karol Kopańko, Spider's Web: Co Pana zdaniem było najważniejszym lub najbardziej dotkliwym atakiem zeszłego roku?
Robert Grabowski, Kierownik CERT Orange Polska: Wrażenie robią gigantyczne ataki DDoS, które doprowadziły np. do zatrzymania Githuba na 10 minut. Zadziwia zwłaszcza moc ataku, która przekroczyła 1 terabit (Tb/s)na sekundę.
Jak to się stało, że nawet serwis należący do Microsoftu poddał się atakowi?
Została tu wykorzystana metoda zwielokrotnionego odbicia. W takim ataku cyberprzestępca podszywa się pod adres ofiary i wysyła niewielkie zapytanie do serwera, który w odpowiedzi musi mu wysłać wielokrotnie większą wiadomość.
Rozumiem, że takie ataki to żadna nowość, jednak problematyczne jest to, że stają się coraz potężniejsze.
Dokładnie. Mamy też bardzo dotkliwe ataki innego typu. Informowaliśmy choćby o niebezpieczeństwie związanym z rejestratorami wideo czy mobilnymi routerami z kartami sim. Po przejęciu kontroli nad urządzeniem, przestępcy wykorzystywali je do wysyłania SMS-ów na numery zagraniczne.
Jak się domyślam czerpali z tego korzyści finansowe.
Zarabiali terminowaniem ruchu SMS. Metodę ich działania można streścić następująco: rejestrowali tysiąc numerów u jakiegoś operatora, a później, wysłali na nie 100 tys. SMS-ów z przejętych rejestratorów wideo. Operator pobiera wówczas opłatę i oddaje przestępcy 1/5 przychodów. Hakerzy zarabiają więc kosztem uczciwych klientów.
Jak się przed takim atakiem uchronić?
Akurat ten był o tyle specyficzny, że dotyczył m.in. routera Dlink DWR-921, który nie jest już wspierany przez producenta. Nie mogliśmy więc odesłać naszych klientów do patcha łatającego dziurę. Ta była dość poważna bo dawała hakerowi dostęp do panelu administracyjnego.
Nie było więc innego wyboru jak bezpośrednie skontaktowanie się z zagrożonymi klientami, poinformowanie ich o sytuacji i polecenie wymiany urządzenia na nowszy model.
Jak zorientowaliście się, że luka jest akurat w tym miejscu?
To była łączona akcja z działem zajmującym się fraudami telekomunikacyjnymi. Dostaliśmy od nich wskazówkę, że akurat tu dzieje się coś podejrzanego. Niedługo później wpłynęły do nas reklamacje. Po pierwszym alercie rozpoczęliśmy namierzanie atakujących. Zaczęliśmy śledzić ich ataki, bo posługiwali się tą samą architekturą do atakowania naszych klientów.
Udało się namierzyć?
Niestety nie. Maskowali swoje adresy, atakując z urządzeń, nad którymi przejęli kontrolę. Cały czas staraliśmy się ich blokować, ale to był swego rodzaju wyścig. Blokujemy im pięć adresów, a oni w tym samym czasie znajdują pięć nowych.
I na tym polega między innymi codzienna rzeczywistość w CERT - wyścig zbrojeń z przestępcami?
Można powiedzieć, że nasza praca znajduje się na styku bycia analitykiem, white hat’em i łowcą zagrożeń (ang. threat hunter). Zdarza się, że wystawiamy przynęty na przestępców (honeypoty), czyli niezabezpieczone urządzenia. Śledzimy jak rozwija się infekcja i z jakich technik korzystają przestępcy, aby później przeszkodzić im w infekcji urządzeń użytkowników.
Czy na podstawie doświadczeń w śledzeniu przestępców widzicie jakieś trendy w ich zachowaniu?
Bazując na ostatnich polskich kampaniach phishingowych widzimy, że powstają wyspecjalizowane grupy, które trudnią się przestępczym procederem. Z jednej strony mogą korzystać z baz danych prawdziwych użytkowników, które wyciekają np. ze sklepów. Służą im one do wzbogacenia maila w spersonalizowanym komunikacie.
Z drugiej strony w darknecie zaopatrzyć się mogą w oprogramowanie do phishingu i zbierania poufnych informacji wraz z manualem i wsparciem sprzedawcy.
Czyli przestępcy korzystają na awariach takich jak wyciek z morele.net i zaopatrują się w oprogramowanie typu plug and play. Brzmi bardzo prosto.
Bo najtrudniejsza część jeszcze przed nimi. Cyberprzestępca wciela się bowiem w psychologa, który przewiduje, gdzie najlepiej zaatakować – za kogo się podać i jak zmanipulować odbiorcę.
Obecnie jesteśmy świadkami bardzo wąsko targetowanych ataków związanych z serwisem Otomoto. W tym przypadku przestępcy śledzą wstawiających ogłoszenia i wysyłają im informacje, że powinni dopłacić, aby przedłużyć ofertę.
Potrafię zrozumieć dlaczego część ludzi się na to łapie. Dostają przecież ładnego SMS-a podpisanego OTOMOTO.
Tymczasem takich „przyjaznych nadawców” można bez problemu wykupić. Absolutnie nie powinny w głowach klientów służyć do identyfikacji tego czy innego serwisu. W sieci Orange, blokujemy już takie fraudowe nadpisy - ostatnio np. przestępcę, który podpisywał się MediaM[kilka losowych cyfr] i pisał o nagrodach z fałszywych loterii Media Markt. (więcej o tym przypadku na stronie CERT).
Z tego co widzę, to ataki dzielą się na dwa typy: albo ktoś wybiera szeroką wysyłkę niczym nigeryjski książę, albo korzysta z dostępnych baz danych i uderza bardzo wąsko.
Pełna zgoda. Dlatego listy z zagrożeniami publikowane w Stanach Zjednoczonych czy Izraelu na niewiele się nam zdadzą, bo ataki z naszego kraju często nie wychodzą za granicę. Polscy przestępcy są bardzo kreatywni i często wymyślają ataki, które dopiero później obserwujemy w ościennych krajach.
A obecny rok - co nam przyniesie?
Być może dowiemy się o wyciekach, które zdarzyły się jeszcze w 2018 roku. Do tego na pewno nie ustaną kampanie phishingowe, będą się pojawiały coraz to nowe podatności w serwisach internetowych i ataki z użyciem malware.
Na szczęście polski rynek jest dość rozwinięty jeśli chodzi o internetowe bezpieczeństwo. Nie mam tu na myśli tylko CERT-u, który domyślnie chroni klientów Orange, ale także choćby sektor bankowy z dwuskładnikowym uwierzytelnianiem czy kampanie uświadamiające o działalności hakerów. Mimo tego musimy być czujni i zachować zdrowy rozsądek bo niewiele może nas uchronić jeśli wszystkie nasze „sekrety” podajemy na stronach internetowych podstawionych przez przestępców.
O wszystkich wykrywanych przez nas kampaniach phishingowych i innych obserwowanych zagrożeniach informujemy na bieżąco na naszym portalu CERT Orange Polska.
*Materiał powstał we współpracy z marką Orange.
Sprostowanie informacji zawartej w artykule od firmy D-Link.
WARSZAWA – 8 MARCA, 2019 r. – W związku z pojawiającymi się informacjami o zagrożeniach bezpieczeństwa związanych z użytkowaniem routera D-Linka model DWR-921, firma D-Link oświadcza, co następuje:
- dla routerów DWR-921 w wersjach sprzętowych A1 oraz B1, które zostały już wycofane ze sprzedaży, wydano aktualizacje, które uniemożliwiają wykorzystanie opisanych luk bezpieczeństwa. Wszystkie aktualizacje oprogramowania zostały wydane przez firmę D-Link Corporation we wrześniu 2018 r. i są dostępne na stronie producenta – dlink.com
- aktualnie w sprzedaży znajduje się router DWR-921 w wersji sprzętowej C3, którego opisane problemy z lukami bezpieczeństwa NIE DOTYCZĄ.
- W przeciwieństwie do informacji, które się pojawiły, wszystkie modele produktów D-Linka SĄ objęte wsparciem technicznym w całym okresie życia produktu oraz 5 lat po zakończeniu produkcji.
Informacje o wersji sprzętowej routera (A1, B1 lub C3) można znaleźć na naklejce znajdującej się na urządzeniu.
