#CyberMagazyn: Islandzkie media atakowane przez hakerów. Rosji zależy na strachu

Pod koniec czerwca nie działał jeden z największych islandzkich serwisów medialnych, mbl.is, oraz stacja radiowa K100 z powodu cyberataku na ich wydawcę, firmę Árvakur. Potwierdzono, że za atakiem stała rosyjska grupa Akira. Atakujący przejęli i zaszyfrowali wszystkie dane firmy, co spowodowało wyłączenie systemów komputerowych.

Grupa wcześniej zaatakowała islandzkiego dealera samochodowego Brimborg oraz Uniwersytet w Reykjaviku. Nie było jeszcze jasne, jak doszło do włamania do systemu komputerowego Árvakur, ale przypuszczano, że miało to miejsce kilka dni przed samym atakiem.

Cyberprzestępcy prawdopodobnie użyli kombinacji zaawansowanych technik hakerskich do przejęcia i zaszyfrowania danych firmy. Typowe dla takich grup jest wykorzystanie złośliwego oprogramowania typu ransomware, które po infiltracji systemu szyfruje wszystkie dostępne pliki i dane. Atak rozpoczął się od phishingu - pracownicy otrzymali fałszywe e-maile z zainfekowanymi załącznikami lub linkami.

Po kliknięciu przez jednego z użytkowników w link, złośliwe oprogramowanie zainstalowało się na komputerze, uzyskując dostęp do sieci wewnętrznej firmy. Następnie zainfekowany sprzęt rozprzestrzeniał ransomware na inne komputery w sieci, szyfrując dane i blokując dostęp do nich. W systemach firmowych brakowało odpowiednich mechanizmów obronnych przeciwko phishingowi oraz niewystarczające były zabezpieczenia sieciowe.

Firma nie posiadała zaawansowanego systemu IDS, a to pozwoliło na swobodne rozprzestrzenianie się złośliwego oprogramowania w sieci wewnętrznej. Brak odpowiednich procedur w zakresie tworzenia i przechowywania kopii zapasowych danych mógł przyczynić się do tego, że wszystkie dane zostały zaszyfrowane przez ransomware.

Cyberataki na instytucje edukacyjne

Grupa Akira zyskała złą sławę, dzięki serii cyberataków przeprowadzonych na różne instytucje i firmy na całym świecie. W ataku na Brimborg zastosowała zaawansowane techniki phishingowe, wysyłając do pracowników fałszywe e-maile, które wyglądały jak oficjalna korespondencja od wewnętrznych działów firmy.

Po kliknięciu w link lub otwarciu załącznika, złośliwe oprogramowanie typu ransomware zainfekowało komputery ofiar, a to doprowadziło do szyfrowania danych i zablokowania dostępu do systemów firmy. Podobny schemat ataku miał miejsce na Uniwersytecie w Reykjaviku, gdzie hakerzy wykorzystali słabości w zabezpieczeniach sieciowych, aby uzyskać dostęp do systemów uczelni.

W tym przypadku, oprócz phishingu, grupa Akira wykorzystała również inne techniki (ataki typu brute force na hasła lub luki w oprogramowaniu). Atak na uniwersytet miał poważne konsekwencje, wpływając na działanie systemów edukacyjnych, administracyjnych i badawczych, co utrudniło funkcjonowanie placówki przez kilka dni.

Metody działania rosyjskich hakerów

Rosyjskie grupy hakerskie są znane z zaawansowanych technik i szerokiego zakresu działań, których celem jest destabilizacja, szpiegostwo i manipulacja informacją. Ich metody działania są różnorodne i obejmują zarówno »„tradycyjne” cyberataki, jak i bardziej subtelne operacje, które mają wpływać na opinię publiczną.

W kontekście Islandii nie można pominąć faktu, że rosnące zainteresowanie Rosji Arktyką i Grenlandią może sprawić, że kraj ten będzie bardziej narażony na działania rosyjskich hakerów.

Ataki DDoS

Ataki DDoS polegają na przeciążeniu systemów komputerowych lub sieci, by zablokować dostęp do usług internetowych. Rosyjscy hakerzy często wykorzystują tę metodę do paraliżowania infrastruktury krytycznej; atakowania stron rządowych, banków, mediów czy usług publicznych. Wykorzystując sieci zainfekowanych komputerów (botnety), hakerzy są w stanie generować olbrzymi ruch sieciowy, który przeciąża serwery ofiary.

Przykładami takich działań są incydenty z Estonii w 2007 roku, gdzie atak DDoS sparaliżował działanie rządu, banków i mediów. Podobne ataki miały miejsce w Gruzji w 2008 roku, podczas konfliktu z Rosją, gdzie cyberataki towarzyszyły tradycyjnym działaniom wojennym.

Zwiększone zainteresowanie Arktyką może prowadzić do podobnych ataków na islandzką infrastrukturę, zwłaszcza w momentach napięć politycznych lub strategicznych, o które na Islandii nie jest trudno.

Phishing

Z kolei phishing to metoda wyłudzania poufnych informacji poprzez podszywanie się pod zaufane osoby lub instytucje i wysyłanie wiadomości/ maili/ SMS-ów (smishing) z linkami prowadzącymi do fałszywych stron.

Spear-phishing jest bardziej wyrafinowaną wersją, skierowaną do konkretnych osób lub organizacji. Rosyjscy hakerzy często wykorzystują te metody do zdobywania danych logowania, informacji finansowych lub innych cennych danych, które mogą być wykorzystane do dalszych ataków. Operacja „Fancy Bear” przypisywana rosyjskiemu wywiadowi wojskowemu (GRU) jest jednym z najbardziej znanych przykładów spear-phishingu.

W 2016 roku hakerzy wykorzystali spear-phishing do włamania się na konta e-mailowe członków Komitetu Narodowego Partii Demokratycznej w USA, a celem był wpływ na wynik wyborów prezydenckich. To samo działo się na Islandii, w której Rosja próbowała włamać się do systemów instytucji państwowych i przechwycać tajne dokumenty.

Operacje dezinformacyjne

Rosyjscy hakerzy często współpracują z agencjami propagandowymi w celu szerzenia dezinformacji i manipulowania opinią publiczną. Wykorzystują fałszywe konta w mediach społecznościowych, boty oraz trolle internetowe, aby rozprzestrzeniać fałszywe wiadomości, teorie spiskowe i polaryzujące treści.

W Islandii propaganda szerzona jest przez prawicowych polityków, czy też blogerów, którzy mają jednoznacznie pozytywne opinie o Moskwie. Można spodziewać się nasilenia takich działań, których celem będzie wpływanie na islandzką opinię publiczną oraz destabilizacja wewnętrznej sytuacji politycznej.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].