Cyberataki w 2023 roku w Polsce i na świecie

Już od wielu lat kwestie bezpieczeństwa są absolutnym priorytetem działów IT w praktycznie każdej większej organizacji. Nie ma w tym nic dziwnego, bo równie długo wszystkie dostępne raporty firm badawczych wskazują na stały wzrost zagrożeń. Co więcej cyberprzestępcom wydaje się, że są zawsze o pół kroku przed obrońcami. Cyberataki w 2023 roku, czyli jakie były najgroźniejsze ataki w Polsce i na świecie.

Dane analityczne, czyli cyberataki w 2023 roku i nie tylko

Jak wynika z raportu Identity Theft Resource Center ITRC[i] dotyczącego naruszeń danych w USA, liczba incydentów związanych z bezpieczeństwem danych zgłoszonych publicznie do końca trzeciego kwartału 2023 przekroczyła już poprzedni rok o 14%. Tylko w trzecim kwartale zaatakowani zgłosili 733 naruszenia. Związane one były z bezpieczeństwem danych, czego efektem był wyciek danych ponad 66,6 miliona osób. Łącznie do końca września 2023 było to 2116 przypadków. Jednak w całym 2022 roku zgłoszono ich sporo mniej, bo tylko 1862 zdarzeń.

Ponad połowa podmiotów, w których doszło do naruszeń, nie zgłosiła wektora ataku. Starali się oni minimalizować straty wizerunkowe i nie dopuszczać do zbyt długich dyskusji na temat poniesionych strat. Trudno zatem o wiarygodne informacje na temat częstości występowania poszczególnych form ataków. Najczęściej zgłaszano ataki phishingowe, zero-day, ransomware i złośliwe oprogramowanie. Co ciekawe, cyberataki w 2023 roku na łańcuchy dostaw były przyczyną 87 naruszeń lub ujawnień danych. Dotknęły one 344 organizacje w USA, przy czym 40% z nich było bezpośrednio związanych z atakiem na aplikację internetową MOVEit Transfer.

Przyczyna była dość prozaiczna: MOVEit Transfer to szeroko stosowane oprogramowanie do przesyłania plików, które szyfruje je i wykorzystuje bezpieczne protokoły do przesyłania danych. W związku z tym ma dużą bazę użytkowników z branży krytycznej, publicznej czy rządowej. Wystarczyła jedna luka umożliwiającą wstrzyknięcie kodu SQL. Pozwalała ona nieuwierzytelnionemu atakującemu na uzyskanie nieautoryzowanego dostępu do bazy danych MOVEit Transfer i nieszczęście gotowe. Cyberprzestępcy mogli dokonać eskalacji uprawnień, a w konsekwencji uzyskać dostęp do środowiska, w którym przechowywane były dane biznesowe całych organizacji. Jak widać, wystarczy jeden błąd, jedna luka, a konsekwencje są liczne i bolesne.

Jak zatem wyglądał rok 2023 na świecie?

W marcu w Citibanku, jednym z największych banków na świecie, doszło chyba do największego wycieku danych w historii sektora finansowego. Skutkiem naruszenia bezpieczeństwa było ujawnienie poufnych informacji dotyczących milionów klientów. Dostępne stały się numery kont, dane osobowe, a nawet historie transakcji. Śledztwo wykazało, że bank stał się ofiarą złożonego ataku hakerskiego, który wykorzystał słabe punkty w infrastrukturze IT banku. Co prawda Citibank szybko podjął działania zaradcze i wdrożył środki naprawcze. Starał się ograniczyć szkody, ale sam incydent wywołał globalną i bardzo poważną dyskusję o bezpieczeństwie danych w sektorze bankowym. Skutek? Wprowadzono jeszcze surowsze regulacje związane z ochroną danych osobowych w amerykańskim sektorze bankowym.

Linkedln

Nawet tak znana platforma mediów społecznościowych, jak LinkedIn, nie ustrzegła się przed błędami w zabezpieczeniu swojej infrastruktury IT. W lipcu 2023 także tam nastąpił masowy wyciek danych. Ujawnione zostały dane osobowe, adresy e-mail, historie zatrudnienia i wiele innych wrażliwych informacji należących do ponad 500 milionów użytkowników. To naprawdę olbrzymia liczba, a konsekwencje użytkownicy portalu mogą odczuwać w najmniej spodziewanych momentach. Sam portal zareagował błyskawicznie, powiadomił użytkowników o naruszeniu bezpieczeństwa danych i doradził szybką zmianę haseł na nowe i bardziej bezpieczne. LinkedIn wykonał potem olbrzymią pracę przy kompleksowym audycie swoich systemów bezpieczeństwa tak. Wszystko po to, aby w przyszłości nie mogły się zdarzyć  podobne wypadki.

Całe to zdarzenie miało jeden pozytywny aspekt – wskazało na wagę ochrony danych osobowych i na nowo rozpaliło dyskusję na temat odpowiedzialności mediów społecznościowych za bezpieczeństwo danych użytkowników.

Cyberataki w 2023 roku – sektor medyczny

Nawet branża tak zdawałoby się uczulona na chronienie danych osobowych, jak opieka zdrowotna, także doświadczyła skutków aktywności cyberprzestępców. W USA, w sierpniu 2023 roku systemy bezpieczeństwa firmy UnitedHealthcare shakowano. W rezultacie czego nastąpił wyciek danych osobowych pacjentów, ich historii medycznych i danych ubezpieczeniowych. Podobnie, jak w poprzednich przypadkach, analiza post factum wyraźnie wskazała, że było to po prostu wykorzystanie luk i słabości w zabezpieczeniach biznesowych systemów i baz danych firmy. Oczywiście UnitedHealthcare zareagowało jak należy. Poinformowali oni pacjentów, wdrożyli dodatkowe systemy i narzędzia poprawiające stan cyberbezpieczeństwa. Sam incydent, zaś przypomniał wielu osobom o wadze bezpieczeństwa danych w opiece zdrowotnej i konieczności zapewnienia najwyższego poziomu ochrony.

Adobe

O ile w ochronie zdrowia można znaleźć okoliczności łagodzące w postaci chronicznego niedoinwestowania, o tyle w takiej firmie, jak Adobe, trudno o jakiekolwiek usprawiedliwienie. Ten globalny lider wśród wytwórców oprogramowania kreatywnego pozwolił na takie naruszenie bezpieczeństwa własnych systemów. Wyciekły dane osobowe, hasła, adres e-mail i dane dotyczące subskrypcji milionów użytkowników. Wystarczyło wykorzystać luki w zabezpieczeniach serwerów firmy, aby uzyskać dostęp do tych danych.

To nie świadczy dobrze o samej firmie i jej specjalistach ds. cyberbezpieczeństwa. Działania firmy po ujawnieniu samego wycieku i jego skali były w zasadzie standardowe. Adobe poinformowało użytkowników o naruszeniu, zaleciło modyfikację haseł i zwiększyło poziom zabezpieczeń własnych systemów. Była to chyba bardzo dobra nauczka dla całej branży technologicznej, bo pokazała, że w dzisiejszych czasach nikt nie może się czuć bezpieczne. Wymagane jest stałe monitorowanie poziomu zagrożenia i ulepszanie systemów bezpieczeństwa. Przypadek Adobe pokazał także, że znacznego wysiłku wymaga odbudowanie zaufania użytkowników. Jednak sprawna i przejrzysta komunikacja z klientami na pewno pomogła w zażegnaniu ryzyka jeszcze większej utraty twarzy.

ExxonMobil – cyberataki w 2023 roku na koncernt energetyczny

Pod koniec roku, w listopadzie, media poinformowały, że ExxonMobil, globalny koncern energetyczny, także padł ofiarą skomplikowanego cyberataku. Doprowadziło to do ujawnienia wrażliwych danych korporacyjnych oraz informacji osobowych pracowników. Tu sprawa była bardziej skomplikowana, bo do przeprowadzenia tak skoordynowanego ataku cyberprzestępcy musieli sięgnąć po zaawansowane metody przenikania do wewnętrznych sieci firmy. Korporacja od razu podjęła działania ograniczające wpływ incydentu na biznes. Klienci i pracownicy zostali powiadomieni o naruszeniu bezpieczeństwa ich danych, a dział IT wdrożył nowe, bardziej rygorystyczne reguły bezpieczeństwa.

Przypadek ExxonMobli uruchomił wiele procesów poprawiających stan cyberbezpieczeństwa całej branży energetycznej, od której przecież zależy stabilność i bezpieczeństwo całego kraju. To zbyt poważne sprawy, aby przejść nad nimi do porządku dziennego.

Cyberataki w 2023 roku w Polsce

Co prawda Polska to nie USA, ale też nie jest samotną, odizolowaną od świata wyspą. W 2023 roku byliśmy świadkami wielu poważnych wycieków danych, które miały wpływ na prywatność milionów osób.

Laboratorium medyczne ALAB

Chyba najpoważniejszy z nich to naruszenie bezpieczeństwa danych co najmniej kilkudziesięciu tysięcy osób, które wykonywały badania w ogólnopolskiej sieci laboratoriów medycznych ALABii.[i]. Na początku grudnia w sieci znalazła się część danych osobowych klientów z ostatnich sześciu lat. Jak podawały media, autorami ataku była grupa ransomware RA World. Opublikowali oni bowiem na swoim blogu nie tylko informację o skutecznym włamaniu, ale także ujawnili próbkę wykradzionych danych. Pośród nich znalazły się między innymi wyniki ponad 50 tysięcy badań medycznych, a także numery PESEL, imiona i nazwiska, daty urodzenia i miejsca zamieszkania.

Prowadzone analizy przyczyn incydentu wskazują, że z równym prawdopodobieństwem mógł być to błąd pracownika ALABu, jak i niedostateczne zabezpieczenie serwerów, a w zasadzie serwera, ponieważ tylko do jednego z kilkudziesięciu serwerów dostali się cyberprzestępcy.

Incydent takiego typu są bardzo groźne. Pozyskane w ten sposób dane mogą posłużyć do wyłudzania kredytów i zaciągania innych zobowiązań finansowych. Mogą one zostać wykorzystane przez inne osoby do spersonalizowanych ataków phishingowych lub do realizacji spersonalizowanych kampanii marketingowych. Co ciekawe, cyberprzestępcy domagali się okupu za nieujawnianie wszystkich przejętych danych, bagatela – kilkuset tysięcy dolarów. ALAB odmówił. Jak się zakończy cała sprawa? Zobaczymy.

Ostatecznie okazało się, że wyciek danych dotyczył nie tylko niemal 200 tysięcy numerów PESEL, ale także 190 GB danych firmowych samego ALAB-u. Do tej pory hakerzy udostępnili niecałe 10% danych pacjentów i około 4 GB danych dotyczących spółki.

W roku 2023 mieliśmy także do czynienia z jednym z największych jednorazowych wycieków w historii polskiego internetu[ii]. W polskojęzycznym forum w sieci Tor opublikowano bazę danych składającą się z milionów wierszy. Zawierały one dane na temat kont polskich użytkowników sieci, ich danych, czyli loginów, haseł i adresów internetowych, z których pochodzą.

Cyberataki w 2023 roku na sklepy internetowe

Na liście zaatakowanych organizacji są sklepy internetowe takie, jak X-kom, morele.net, allegro.pl, banki: ingbank.pl i online.mbank.pl, dwa najpopularniejsze serwisy z pocztą elektroniczną poczta.onet.pl i poczta.wp.pl oraz medium społecznościowe facebook.com.

Wstępne analizy pokazały, że informacje wykradło złośliwe oprogramowanie, które wyszukiwało zapisane w przeglądarkach loginy i hasła po to, aby przekazać je twórcom wirusa. Jedynym pocieszeniem jest to, że poszkodowanych można liczyć w tysiącach, a nie w milionach. Specjaliści wskazują, że wirus mógł zaciągnąć wiele haseł z jednego komputera, co oznacza, że cyberprzestępcy kopiowali wszystko, co było zapisane. Ze względu na brak spójnego formatowania danych szacuje się przybliżoną liczbę ofiar wirusa na nieco ponad 100 000 osób.

Akademia sztuki wojennej

Przedstawione powyżej przypadki są oczywiście tylko wierzchołkiem góry lodowej. Wiele firm, ze względu na potencjalne straty finansowe i wizerunkowe woli się nie chwalić, że było przedmiotem cyberataku. Tak było chociażby z Akademią Sztuki Wojennej w Warszawie. Przez półtora miesiąca uczelnia ukrywała, że padła ofiarą największego znanego ataku hakerskiego na wojskową strukturę w Polsce. Atak był też na tyle poważny, że praktycznie sparaliżował pracę Akademii. Zainfekowane zostały wszystkie komputery znajdujące się w jej sieci. Chyba do dziś nie poradzono sobie z jego skutkami, a przecież ucierpieli studenci, pracownicy i bezpieczeństwo państwa. Uczelnia lekkomyślnie zostawiła hakerom otwarte drzwi do ataku. Pozostawiali oni w użyciu przestarzały sprzęt i nie wspierane oprogramowanie systemowe, pozbawione aktualizacji i łatek bezpieczeństwa. Co gorsza, kiedy atak nastąpił, Akademia zareagowała na kryzys chaosem. Hakerzy pochwalili się w sieci niektórymi wykradzionymi z uczelni danymi, jednak do końca nie wiadomo, ile i jak ważnych danych mają w swoich zasobach.

Specjaliści ustalili, że wykorzystane zostało złośliwe oprogramowanie typu wiper. W takim przypadku celem ataku jest sprawienie, aby zaatakowana organizacja na stałe straciła dostęp do danych. Jest to przeciwieństwo ataku ransomware, w którym dane mogą być przywrócone po opłaceniu okupu. Wiper niszczy zainfekowane dane raz na zawsze poprzez zaszyfrowanie lub nadpisanie ich zawartości, a hakerzy atakując przestarzałe systemy operacyjne mogą uniemożliwić w ten sposób dostanie się do jakichkolwiek danych na komputerze.

Cyberataki w 2023 roku na media masowego przekazu

W tym samym czasie hakerzy zaatakowali: Telewizję Kablową Chopin, Radio NordaFM, Telewizję TTM z województwa pomorskiego oraz ZETO Lublin. Oczywiście cyberprzestępcy nie omieszkali się tym pochwalić. Wcześniej na swoim koncie mieli także inne, mniejsze lub większe ataki na państwa NATO. Polegały one m.in. na zatrzymaniu działania stron internetowych określonych instytucji za pomocą DDoS.

Są także ataki dotykające przez relatywnie krótki czas wiele osób z całego świata, jak to było z atakiem na urządzenia monitorujące jednej z najbardziej znanych firm Ubiquiti[iii]. Przez 9 godzin, część użytkowników uzyskiwało dostęp nie tylko do swoich, ale też do cudzych urządzeń i sieci. Inni, korzystający z aplikacji mobilnej do obsługi kamer Ubiquiti odbierali powiadomienia o ruchu pochodzące z nieswoich kamer, wraz ze stopklatkami, a to bardzo mocno naruszyło prywatność wielu osób.

Wojsko Polskie

Są wycieki danych i awarie, których przyczyną nie jest żaden cyberatak, ale zwykła ludzka nieuwaga lub nonszalancja. Tak było z ujawnieniem bazy zasobów Wojska Polskiego z 1,7 mln. rekordów ze stanem zaopatrzenia armii. Najprawdopodobniej ktoś chciał sobie ułatwić pracę z bazą danych i  przerzucił jej zawartość do programu nieautoryzowanego przez Wojsko Polskie. W niezabezpieczonym środowisku, podatnym na ataki wirusów i robaków, taki błąd został natychmiast wykorzystany, a baza stała się publiczna[iv].

Politechnika Wrocławska

W maju 2023 roku nie popisała się także Politechnika Wrocławska. Ćwiczenia przeciwpożarowe doprowadziły do wyłączenia systemów uczelni i zasypania serwerowni proszkiem gaśniczym[v]. Po prostu ktoś zapomniał coś wyłączyć.

Koniec roku 2023 nie przyniósł wytchnienia i przestoju w walce z cyberprzestępcami. Początek stycznia 2024 uraczył wszystkich informacją o ataku na Uniwersytet Zielonogórski[vi]. Atak ten spowodował m.in. problemy z działaniem poczty i niektórych kluczowych aplikacji takich, jak drukowanie, pobieranie kluczy do sal i systemów bibliotecznych. Doszło także do zaszyfrowania danych studentów, ale reakcja uczelni była szybka. Zablokowano wszystkie serwisy działające w środowisku wirtualizacyjnym Centrum Komputerowego Uniwersytetu Zielonogórskiego. Uczelnia rozpoczęła przywracanie danych i pracy wszystkich systemów i usług.

Cóż, czekamy co przyniosą kolejne miesiące.

Zapraszamy do porzednich artykułów dotyczących cyberbezpieczeństwa:

1. W jakie narzędzia i technologie warto zainwestować w zakresie cybersecurity?
2. Simpli-Secure – oferta Simplicity w obszarze cyberbezpieczeństwa

[i] https://www.idtheftcenter.org/post/q3-2023-data-breach-report-itrc-reports-data-compromise-record-with-three-months-left-in-year/

[ii] https://www.rmf24.pl/fakty/polska/news-wyciek-danych-z-alab-laboratoria-hakerzy-zazadali-kilkuset-t,nId,7183228#crp_state=1

[iii] https://spidersweb.pl/2023/05/wyciek-danych-polskich-uzytkownikow.html

[iv] https://niebezpiecznik.pl/post/olbrzymia-wpadka-ubiquity-mozna-bylo-podejrzec-cudze-kamery-i-zarzadzac-cudzymi-sieciami/

[v] https://www.tabletowo.pl/wojsko-polskie-potezny-wyciek-danych/

[vi] https://www.tuwroclaw.com/wiadomosci,awaria-serwerow-na-politechnice-wroclawskiej-czy-uda-sie-je-uratowac,wia5-3266-70568.html

[vii] https://niebezpiecznik.pl/post/uniwersytet-zielonogorski-ofiara-ataku-doszlo-do-zaszyfrowania-danych/