Atak na Eurocert. Wydano zalecenia

Cyberatak opisywaliśmy na łamach CyberDefence24. Incydent jest bardzo poważny, ponieważ naruszeniu ochrony uległo wiele danych osobowych. Firma podkreśla, że nie doszło do skompromitowania samych certyfikatów na fizycznych urządzeniach. Ataku dokonała grupa RansomHub, której w zeszłym roku ofiarą padły m.in. Starostwo Powiatowe w Jędrzejowie czy Polska Grupa Dealerów.

Eurocert potwierdził również to, że pliki przetwarzane przez organizację zostały zaszyfrowane. O incydencie poinformowano CERT Polska, Policję oraz UODO. Co ważne, klientami spółki były m.in.: miasto stołeczne Warszawa, Polskie Koleje Państwowe, Poczta Polska, Scania, Warbud czy IBM.

Wśród danych, które najprawdopodobniej zostały wykradzione przez cyberprzestępców, znajdują się:

• dane identyfikacyjne;
• dane kontaktowe (numer telefonu, adres e-mail);
• numer PESEL;
• imiona i nazwiska;
• data urodzenia;
• seria i numer dowodu osobistego;
• nazwa użytkownika i/lub hasło;
• wizerunek.

Obecnie nieznana jest skala naruszenia.

Zalecenia Ministra Cyfryzacji

Wicepremier Krzysztof Gawkowski pełni rolę Pełnomocnika Rządu do spraw Cyberbezpieczeństwa. Na stronie Ministerstwa Cyfryzacji opublikowano zalecenia dotyczące incydentu. Jednym z nich jest przegląd infrastruktury pod kątem danych przetarzanych oraz udostępniane przez EUROCERT w celu identyfikacji potencjalnych ataków na obecnych i bylych kontrahentów.

Kolejnym z nich jest coś bardzo ważnego dla bezpieczeństwa organizacji, czyli zablokowanie zdalnego dostępu i powiązań infrastruktury IT z EUROCERT. Oznacza to, że obecnie infrasturktura EUROCERT powinna być traktowana jako niezaufana.

Pełnomocnik rządu rekomeduje również analizę logów od 1 listopada 2024 roku. Może to wskazywać na przybliżoną datę skompromitowania części lub całości infrastruktury EUROCERT, choć może też być to również działanie czysto prewencyjne.

Zmiana danych logowania, analiza ryzyka i socjotechnika

Wśród rekomendacji słusznie znalazła się zmiana poświadczeń logowania do kont związanych z EUROCERT oraz wdrożenie dwueatpowego uwierzytelniania do pozostałych kont. Każdy z nas powinien używać unikalnego hasła do każdego serwisu oraz stosować na co dzień 2FA - zalecenie jest oczywiście słuszne.

Jedna z rekomendacji mówi o przeprowadzeniu analizy ryzyka dotyczącej stosowania podpisów kwalifikowanych od EUROCERT. „Należy przeanalizować możliwość nieuprawnionego wykorzystania usług zaufania dostarczonych przez EUROCERT oraz nieuprawnionego wykorzystania danych osobowych posiadanych przez EUROCERT, w szczególności w podmiotach administracji publicznej.” - stwierdzono w rekomendacji. Jest to również słuszne, pomimo twierdzeń dostawcy, że podpisy są bezpieczne.

Cyberprzestępcy wykorzystają każdą okazję do ataków socjotechnicznych, dlatego pełnomocnik rządu przypomina o możliwości wystąpienia różnych ataków socjotechnicznych (np. phishingu). Jeżeli spotykamy się z jakąkolwiek próbą oszustwa - należy ją niezwłocznie zgłosić do odpowiedniego CSIRT-u. W przypadku mieszkańców RP będzie to CERT Polska, zaś organizacji rządowych - CSIRT GOV.

Ważne środki bezpieczeństwa

Minister Cyfryzacji wskazał również środki prewencyjne. Wśród nich znajduje się stosowanie dwuetapowego uwierzytelniania (szczególnie do kont serwisowych) oraz regularne aktualizowanie oprogamowania. W rekomendacji możemy również zapoznać się z analizą obecnego stanu bezpieczeństwa polskiej cyberprzestrzeni:

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, informuje o utrzymującym się dużym poziomie ryzyka wystąpienia incydentów w polskiej cyberprzestrzeni. Do najbardziej destrukcyjnych ataków należą ataki ransomware prowadzące do wycieków danych. Jednym z najnowszych przypadków, jest cyberatak dokonany wobec firmy EUROCERT Sp. z o.o. - dostawcę kwalifikowanych i niekwalifikowanych usług zaufania.
Ministerstwo Cyfryzacji

Połączone Centrum Operacyjnego Cyberbezpieczeństwa stwierdziło, że wyciek obejmuje:

• dane osobowe;
• zawarte umowy;
• informacje o realizowanych przedsięwzięciach;
• dane dostępowe i inne wrażliwe informacje.

Groźba wycieku

Post RansomHub o zaatakowaniu polskiego Eurocertu pojawił się 15 stycznia 2025 roku niedługo po trzeciej w nocy. Jako dowody ataku dołączono m.in. zrzuty ekranu z baz danych (zawierające uprzednio wymienione dane osobowe) oraz umowy.

Niektóre z maili na zrzutach ekranu pochodzą z domeny gov.pl.

Na dołączonych materiałach można zobaczyć, że bazy danych mają od 95 do 126 tys. rekordów. Nie oznacza to oczywiście, że dane tylu osób wyciekną do sieci. Publikacja danych przez cyberprzestępców jest planowana na 27 stycznia o godz. 1:00 naszego czasu. Cyberprzestępcy twierdzą, że wykradli 65 GB danych.

Należy podkreślić, że to nie jest pierwszy taki komunikat. W październiku ub. r. opublikowano zalecenia po ataku na polską spółkę AIUT.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].