Rosja atakuje polską infrastrukturę krytyczną. ABW alarmuje

Jak informowaliśmy na naszych łamach, podczas VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej wicepremier i minister cyfryzacji Krzysztof Gawkowski przekazał, że między początkiem roku a końcem III kwartału odnotowano przeszło pół miliona incydentów cyberbezpieczeństwa. Z kolei zdarzeń, które zostały obsłużone przez zespoły, zanotowano ponad 170 tys. Zdaniem przedstawiciela rządu, wiele wskazuje na to, że rekord z poprzednich lat zostanie pobity.

Jedynie 9 poważnych incydentów

Podczas prezentacji „Aktualny krajobraz cyberzagrożeń dla infrastruktury IT”, statystyki dotyczące sytuacji w cyberprzestrzeni w zakresie infrastruktury krytycznej przedstawiła Agencja Bezpieczeństwa Wewnętrznego. Duży wzrost incydentów zanotowano w przypadku socjotechniki oraz skanowania – odpowiednio z 95 do 202 oraz z 75 do 174. Wśród możliwych przyczyn pierwszej z wymienionych kategorii znalazły się rozwój technik wykorzystywanych podczas ataków, czy omijanie kwarantanny bądź wzrost świadomości użytkowników i administratorów.

Z drugiej strony, dane ABW mówią również o spadku zgłoszeń dotyczących podatności. Podmioty infrastruktury krytycznej przekazały z kolei jedynie dziewięć informacji dotyczących poważnych incydentów. 2 z nich zakwalifikowano jako „nieumyślne uszkodzenia”, pozostałe 7 zaś – jako awarie. Agencja przyznałą, że takie informacje wydają się być mało wiarygodne i jako możliwą przyczynę wskazała niewielką dojrzałość raportowania.

Od phishingu po wykorzystanie AI

ABW przedstawiło również szczegóły dotyczące trendów dostrzeganych w zakresie infrastruktury krytycznej. Wskazano na wykorzystywanie dużych modeli językowych (LLM) jako przynęty oraz narzędzia podczas ataków. W tle oprogramowania generującego obrazki działało malware, które za pomocą API wysyłało dane do jednego z modeli, które dynamicznie tworzyło polecenia wysyłane i wykonywane na zainfekowanej stacji roboczej. Za tę operację miała być odpowiedzialna grupa APT28 powiązana z rosyjskimi służbami.

CSIRT GOV zauważył też wzrost przypadków zastosowania kodów QR w phishingu. Jednym z przykładów były fałszywe zaproszenia na autentyczne konferencje, wykorzystujące m.in. typosquatting (podmianę jednej litery na dwie upodabniającej się do pierwotnej). Skanowanie kodów z wiadomości phishingowych przy pomocy telefonu pozwalało na obejście zabezpieczeń firmowych, a nawet wieloskładnikowego uwierzytelnienia poprzez pozyskanie kodu przez atakującego. Za takie próby miały odpowiadać m.in. rosyjskie grupy Gryzak oraz Storm1747.

Istotnym zagrożeniem stało się również wykorzystywanie metody ClickFix, w której atakujący podszywa się pod weryfikację CAPTCHA i prosi o przekopiowanie i wklejenie ciągu znaków do odpowiedniego okna, np. Uruchom w systemie Windows. Ponieważ wspomniany ciąg jest w rzeczywistości poleceniem PowerShell, ABW zaleca zablokowanie uruchamiania wszystkich poleceń tego rodzaju przez użytkownika.

Trzy rodzaje atakujących

Spośród wszystkich incydentów, ekspertom udało się zidentyfikować trzy bezpośrednie grupy aktorów zagrożeń podejmujących działania przeciwko infrastrukturze krytycznej. Najpospolitszą pozostają cyberprzestępcy, jednakże według ABW to właśnie ich działania w coraz większym stopniu stanowią zagrożenie – odpowiadają bowiem m.in. za wycieki danych przeprowadzane przy pomocy infostealerów, a także incydenty w łańcuchach dostaw.

Podmioty sponsorowane przez państwa niezmiennie pozostają źródłem wysokiego ryzyka. W tej kategorii najczęściej identyfikowano Rosję; grupy tego rodzaju mają potencjał destrukcji i sabotażu, ale ich działania jeszcze ograniczone są do skanowania czy wywiadu zamiast sabotażu.

Jednym z najpoważniejszych zagrożeń pozostają prorosyjscy haktywiści. Pomimo, że najczęściej wykorzystywaną przez nich metodą są ataki DDoS, nieustannie się rozwijają, zaś na liście ich celów coraz częściej pojawiają się panele sterowania. Dobór celu jest jednak uzależniony od zabezpieczeń czy poziomów poświadczeń. Zdaniem ABW, rośnie ryzyko zmiany nastawienia haktywistów na bardziej ofensywne.