Cyberprzestępcy lubią sprawdzone metody działania. Wykorzystują nawet 15-letnie taktyki, aby atakować firmy i organizacje

Cyberprzestępcy wykorzystują wypróbowane i sprawdzone taktyki oraz stare luki w zabezpieczeniach, aby atakować organizacje, wynika z nowego raportu Threat Spotlight przygotowanego przez Barracuda Networks, producenta rozwiązań z obszaru bezpieczeństwa IT. Metody działania, które były skuteczne 15 lat temu, wciąż pozwalają na instalowanie złośliwego oprogramowania, kradzież informacji, przeprowadzanie ataków typu Denial of Service (DoS) i tym samym – zakłócanie funkcjonowania przedsiębiorstw.

Eksperci przeanalizowali dane gromadzone przez systemy wykrywania włamań (IDS) używane przez Centrum Operacji Bezpieczeństwa (SOC) firmy Barracuda Networks. Narzędzia IDS nie tylko są rozbudowanym systemem wczesnego ostrzegania przed potencjalnymi atakami, ale także ujawniają podatności, które atakujący wykorzystują, oraz najpopularniejsze taktyki, których używają.

Cyberprzestępcy dwoją się i troją, by wymyślać nowe sposoby na atakowanie firm i organizacji. Okazuje się jednak, że z dużym powodzeniem stosują dziś także taktyki, które sprawdzały się lata temu. Wciąż są skuteczne. Co więcej, wykorzystują też stare podatności, o których nikt już nie pamięta

Mateusz Ossowski

CEE Channel Manager w Barracuda Networks

Dlaczego te taktyki wciąż przynoszą oczekiwane przez cyberprzestępców efekty?

Najprostsze rozwiązania są najlepsze. To stwierdzenie nie tylko sprawdza się w codziennych realiach, ale również stanowi w tej chwili swoistą doktrynę w cyberświecie. Bo jeśli coś nadal działa, to po co to zmieniać? Z jednej strony zagrożenia stają się coraz bardziej zaawansowane i wykorzystują najnowsze technologie, takie jak uczenie maszynowe czy sztuczna inteligencja. Z drugiej – wektory ataku obierają bardzo niespodziewane kierunki. Na końcu całego procesu znajduje się jednak człowiek, który jest najbardziej podatny na schematyczne myślenie. Tym samym przeprowadzanie – czasem po wprowadzeniu lekkich modyfikacji – tych samych scenariuszy ataków nadal jest skuteczne

Michał Zalewski

inżynier w firmie Barracuda Networks

Analiza danych wykazała między innymi, że:

• Atakujący próbują zdalnie kontrolować podatne systemy, wykorzystując taktykę z 2008 roku. Pozwala im ona skorzystać z niewłaściwie skonfigurowanego serwera sieciowego, aby uzyskać dostęp do danych, takich jak kod aplikacji lub wrażliwe pliki systemowe, do których nie powinni mieć dostępu.
• Kolejna taktyka, mająca na celu zdalne przejęcie kontroli, pochodzi z 2003 roku. Polega na próbie wstrzyknięcia specjalnie spreparowanego złośliwego kodu do prawidłowego procesu, co umożliwia atakującemu odczytanie wrażliwych danych, modyfikację operacji oraz wysyłanie instrukcji do systemu operacyjnego.
• Inne sprawdzone taktyki wykorzystują błędy w językach programowania, używanych przez programistów do tworzenia aplikacji zintegrowanych z popularnymi systemami opartymi na sieci (web-based) lub z oprogramowaniem "middleware". Przetwarza ono dane na przykład wtedy, gdy ktoś dodaje przedmiot do koszyka podczas zakupów online. Potencjalny zasięg ataku przy użyciu tych taktyk jest zatem szeroki.
• Cyberprzestępcy starają się zdobyć wrażliwe informacje, atakując podatne serwery po to, by uzyskać hasła lub listy użytkowników, albo wykorzystując prawidłowy proces, aby dowiedzieć się, ile komputerów w sieci ma aktywne połączenie IP. Może to pomóc w planowaniu i przygotowaniu się do większego ataku.
• Atakujący starają się również powodować ogólny chaos, zakłócenia i odmowę usługi, manipulując pakietami danych ruchu internetowego. Sprawiają, że są one zbyt małe, lub fragmentują je, aby kanały komunikacyjne i serwery docelowe były przeciążone i uległy awarii.

Podatności bezpieczeństwa nie mają określonej daty ważności, a ryzyko polega na tym, że z czasem mogą stać się trudniejsze do zlokalizowania i złagodzenia. Przekształcają się więc w głęboko zakorzenione, ukryte luki w systemie lub aplikacji. A taktyki pozwalające na skuteczne atakowanie ich nie muszą być nowe ani nawet zaawansowane. Niezwykle istotne jest zastosowanie wielowarstwowego podejścia do ochrony, obejmującego kilka poziomów coraz bardziej zaawansowanego wykrywania i analizy. Znajomość ukrytych podatności w środowisku IT i informacje na temat potencjalnych atakujących oraz sposobu, w jaki działają, są kluczowe, podobnie jak zdolność do reagowania na zagrożenia i eliminowania ich.

Merium Khalid

senior SOC manager, offensive security w Barracuda XDR