Počet cílených útoků na IT roste

Denní počet cílených útoků na IT infrastrukturu je na vzestupu, přičemž nejčastěji bývá napadána veřejná správa; druhé místo pomyslného žebříčku patří chemickému a farmaceutickému průmyslu, třetí průmyslu zpracovatelskému. Cílem útoků je podle komentátorů vytvoření trvalého přístupu do sítě napadené organizace, v mnoha případech jde rovněž o vytvoření vzdáleného přístupu k důvěrným datům. A útoky se samozřejmě nevyhýbají ani organizacím v tuzemsku.

Výše uvedené údaje jsou jen částí výstupů ze zprávy Symantec Intelligence Report (SIR), ve které společnost Symantec koncem minulého roku shrnula trendy za uplynulých 11 měsíců. Provedená analýza mimo jiné potvrdila, že velké společnosti s více než 2500 zaměstnanci čelily největšímu průměrnému počtu útoků. Denně jich blokovaly v průměru 36,7. Menší organizace s počtem zaměstnanců do 250 pak denně blokovaly průměrně 11,6 útoků.

„Cílené útoky jsou navrženy pro sběr informací, krádeže důvěrných dat nebo obchodních tajemství. V případě útoků typu Stuxnet narušují provoz, případně ničí kritickou infrastrukturu,“ varuje Paul Wood, senior intelligence analyst, Symantec.cloud. „Je důležité si uvědomit, že bez silného sociálního inženýrství nebo techniky ‚head-hacking‘ nemohou uspět ani technicky velmi sofistikované útoky. Většina z nich proto využívá sociální inženýrství,“ dodává Wood
Země, ze kterých pocházejí firmy napadené při útoku Nitro. Zdroj: Symantec a upřesňuje: „Pracují s informacemi, které o sobě zveřejňujeme na sociálních sítích a na stránkách sociálních médií. Pokud útočníci mohou znát naše zájmy a koníčky, ví, s kým se stýkáme a kdo je v naší síti, potom jsou schopni vytvořit velmi uvěřitelné a přesvědčivé útoky.“

Průběh útoků

Útočníci podle další zprávy Symantecu věnované loňskému útoku Nitro (zaměřeného na chemický průmysl) cílené útoky zpravidla pečlivě plánují. V každé napadené organizaci byl v tomto případě e-mail typicky zaslán jen malému počtu zaměstnanců. Výjimkou byly tři organizace, z nichž v jedné dostalo e-mail takřka 500 příjemců a v dalších dvou více než 100.

Obsah e-mailů byl velmi různý, dva typy však vyčnívaly nad ostatní: Jedna skupina se tvářila jako pozvánka na setkání se známým obchodním partnerem, druhá pak jako bezpečnostní update (tento druhý typ e-mailů zpravidla dostala širší skupina příjemců). E-maily pak obsahovaly buď spustitelný soubor, který se názvem a ikonou maskoval jako textový dokument, nebo zaheslovaný archiv se spustitelným souborem – s heslem uvedeným v e-mailu. V obou případech obsahoval spustitelný soubor trojského koně PoisonIvy, vyvinutý zřejmě čínsky mluvícím programátorem.

Po spuštění se škodlivý kód nainstaloval, šifrovaně se spojil s C&C serverem (command-and-control server) a poté již plnil příkazy zadané prostřednictvím tohoto serveru. Typicky odeslal útočníkovi informace o dalších počítačích v síti a hashe hesel z Windows. S využitím získaných informací pak útočník zamířil na další počítače v síti.

Útok Nitro postihl 29 firem – a podle uvedené zprávy napadl rovněž tři počítače v ČR. (Lokalita napadených počítačů byla určena podle IP adres strojů připojujících se k C&C serveru.) Útočícími počítači byly VPS servery v USA využívané z Číny.

Nebezpečí v číslech

Zpráva SIR dále uvádí, že jeden phishingový útok připadal loni v listopadu na 302 e-mailů (0,33 %) a globální míra e-mailů šířících viry činila 0,39 % (jedna postižená zpráva na 255,8 bezproblémových). 40,2 % e-mailů šířících viry obsahovalo odkazy na infikované webové stránky.

Analytici každý den identifikovali v průměru 4915 webových stránek, které obsahovaly škodlivý kód (včetně spyware a adware) a obecně nejčastěji blokovaným malwarem byl kód WS.Trojan.H. (Jde o soubory zachycené obecnou cloudovou heuristickou detekcí, u nichž nebyla klasifikována konkrétní hrozba.)

Pokud vás zajímá, jak jsou na tom jednotlivé regiony, pak třeba podíl spamu se typicky pohybuje ve většině uváděných zemí okolo 70 % e-mailové komunikace. V USA činí podle zprávy 69,9 %, v Kanadě 69,5 % (stejně jako ve Velké Británii), v Nizozemsku 70,5 %, v Austrálii 68,6 % a naopak v Brazílii 74,3 %. Nejčastějším cílem phishingových útoků se stala Jižní Afrika – jeden z 96,2 e-mailů byl identifikován jako phishing, druhé místo připadlo Velké Británii s jednou ze 167 zpráv. V USA šlo o jednu z 461,8 zpráv a třeba v Německu o jednu z 426,2 zpráv.