Większość cyberataków nie robi na nas większego wrażenia. W najgorszym przypadku użytkownik widzi na ekranie żądanie okupu, z którego dowiaduje się, że przechowywane na komputerze dane zostały zaszyfrowane, a w celu ich odzyskania musi zapłacić określoną kwotę. Często wiele szkodliwych programów działa ukradkiem, aby zwiększyć szansę kradzieży danych, zanim zostaną dostrzeżone.
Niektóre cyberataki, ze względu na ich skalę czy poziom wyrafinowania, przyciągają znacznie większą uwagę. Dzisiejszy post poświęcony będzie pięciu najbardziej spektakularnym i najbardziej znanym cyberatakom, jakie miały miejsce na przestrzeni ostatniego dziesięciolecia.
WannaCry: prawdziwa epidemia
Atak WannaCry zwrócił uwagę na oprogramowanie żądające okupu (ang. ransomware) i ogólnie szkodliwe programy dla komputerów — nawet tych osób, które kompletnie nie interesowały się wcześniej tą tematyką. Korzystając z exploitów ugrupowania hakerskiego Equation Group, które zostały publicznie udostępnione przez członków ugrupowania Shadow Brokers, atakujący utworzyli prawdziwego potwora — szyfrujący program ransomware, który szybko rozprzestrzeniał się przez internet i w sieciach lokalnych.
Czterodniowa epidemia szkodnika WannaCry objęła ponad 200 tys. komputerów w 150 krajach, w tym infrastrukturę krytyczną: w niektórych szpitalach WannaCry zaszyfrował wszystkie urządzenia, w tym sprzęt medyczny, a w wybranych fabrykach wstrzymano produkcję. Jeśli chodzi o ostatnie ataki, ten z użyciem szkodnika WannaCry miał największy zasięg.
W tym poście znajduje się więcej informacji na temat ataku z użyciem WannaCry, a tu i tu omówiliśmy ten temat w kontekście zagrożeń dla firm. Co istotne, WannaCry nadal działa, zagrażając komputerom na całym świecie. Aby dowiedzieć się, jak uodpornić system Windows, przeczytaj ten post.
NotPetya/ExPetr: najbardziej kosztowny atak
Tytuł najdroższej epidemii wędruje nie do WannaCry, ale do innego programu szyfrująco-blokującego (nazwa techniczna to wiper) o nazwie ExPetr, znanego również jako NotPetya. Działał on na takich samych zasadach: wykorzystując exploity EternalBlue i EtrernalRomance, robak poruszał się w internecie, szyfrując nieodwracalnie wszystko, co stanęło mu na drodze.
Mimo że ogólnie zainfekował on mniej komputerów, NotPetya atakował głównie firmy — po części dlatego, że jeden z jego wektorów rozprzestrzeniania obejmował oprogramowanie do finansowości MeDoc. Cyberprzestępcom udało się uzyskać kontrolę nad serwerem aktualizacji MeDoc, co w efekcie spowodowało, że wielu klientów tego oprogramowania do finansowości otrzymało wspomniany szkodliwy program pod postacią aktualizacji, a następnie rozprzestrzeniał się on w całej sieci.
Szkody, jakie wyrządził cyberatak z użyciem NotPetya, szacuje się na 10 mld dolarów, tymczasem w przypadku WannaCry — według różnych szacunków — wynosiły one 4–8 mld dolarów. Z tego powodu NotPetya jest uważany za najbardziej kosztowny globalny cyberatak w historii. Rekord ten prawdopodobnie szybko nie zostanie pobity.
Więcej informacji na temat epidemii NotPetya/ExPetr znajduje się w tym poście; szkody wyrządzone firmom opisaliśmy tutaj; a tutaj napisaliśmy, dlaczego ta epidemia, która sparaliżowała duże firmy, ma wpływ nie tylko na osoby, których komputery zostały zainfekowane.
Stuxnet: dymiąca cyberbroń
Prawdopodobnie najbardziej znanym cyberatakiem był skomplikowany, wieloaspektowy szkodliwy program, który wyłączył działanie wirówek do wzbogacania uranu w Iranie, co spowolniło program jądrowy tego kraju o kilka lat. Stuxnet jako pierwszy wywołał dyskusje na temat stosowania cyberbroni w atakach na systemy przemysłowe.
Wówczas nic nie dorównywało Stuxnetowi, jeśli chodzi o stopień skomplikowania czy przebiegłość działania — robak potrafił niepostrzeżenie rozprzestrzeniać się poprzez dyski USB, przedostając się w ten sposób nawet do tych komputerów, które nie miały dostępu do internetu czy sieci lokalnej.
Robak ten wymknął się spod kontroli i szybko rozprzestrzenił się na całym świecie, infekując setki tysięcy komputerów. Jednak nie wszystkie niszczył, gdyż został utworzony w bardzo konkretnym celu. Swoją obecność manifestował tylko na komputerach sterowanych przy użyciu sterowników programowalnych i oprogramowania marki Siemens. Po przedostaniu się na taki sprzęt zmieniał ustawienia tych sterowników. Następnie, poprzez ustawienie zbyt dużej prędkości obrotu wirówek do wzbogacania uranu, doprowadzał je do fizycznych uszkodzeń.
O Stuxnecie napisano już wiele — nawet całą książkę.
DarkHotel: szpiedzy w przebieralni
Nie jest tajemnicą, że publiczne sieci Wi-Fi w kawiarniach czy na lotniskach nie należą do najbezpieczniejszych. Wiele osób uważa, że sytuacja wygląda o wiele lepiej w hotelach. Zawsze należy pamiętać, że nawet jeśli należąca do hotelu sieć jest publiczna, musi wymagać jakiejś formy autoryzacji.
Błąd ten wiele kosztował wielu menedżerów i wysoko postawionych urzędników. Łącząc się z hotelową siecią, widzieli komunikat o konieczności zainstalowania niewzbudzającej podejrzeń aktualizacji popularnego oprogramowania, po czym ich urządzenia były natychmiast infekowane oprogramowaniem szpiegowskim o nazwie DarkHotel, które zostało celowo umieszczone w sieci przez atakujących na kilka dni przed ich przybyciem i usunięte kilka dni później. Program potajemnie rejestrował naciśnięcia klawiszy i umożliwiał cyberprzestępcom przeprowadzanie ukierunkowanych ataków phishingowych.
Bardziej szczegółowe informacje na temat infekcji DarkHotel znajdują się tutaj.
Mirai: upadek internetu
Mimo że od dawna wiadomo o istnieniu botnetów, stały się one sławne dopiero za sprawą pojawienia się Internetu Rzeczy. Urządzenia, których nigdy nie zabezpieczono i dla których nie istniały programy antywirusowe, nagle zostały zainfekowane na dużą skalę. Następnie wyszukiwały one sobie podobne w celu przekazania infekcji. Ta armia urządzeń-zombie, zbudowana w oparciu o szkodliwy program o romantycznej nazwie Mirai (po japońsku „przyszłość”), nieustannie się rozrastała, oczekując cały czas na instrukcje.
Pewnego dnia — 21 października 2016 r. — właściciele tego gigantycznego botnetu zdecydowali się przetestować jego możliwości, poprzez użycie zainfekowanych nim milionów cyfrowych rejestratorów wideo, routerów, aparatów IP i innych „inteligentnych” urządzeń do zalania żądaniami dostawcy usługi DNS, firmy Dyn.
Dyn zwyczajnie nie wytrzymał tak masywnego ataku DDoS. System DNS, podobnie oparte na nim serwisy, stały się niedostępne: w Stanach Zjednoczonych sytuacja dotknęła PayPala, Twittera, Netflixa, serwisu Spotify czy usług internetowych PlayStation. Ostatecznie dostawca Dyn odzyskał swoją sprawność, ale sama skala ataku Mirai skłoniła świat do zastanowienia się nad kwestiami bezpieczeństwa „inteligentnych” urządzeń.
Więcej informacji na temat Mirai, Dyn i „ataku, który załamał internet” znajdziesz w tym poście.