CARNetov odjel za Nacionalni CERT objavio je Godišnji izvještaj o aktivnostima u 2016. godini u kojem je dan pregled sigurnosti na internetu u Republici Hrvatskoj i u svijetu.

U 2016. godini Nacionalni CERT nastavio je svoju proaktivnu i reaktivnu ulogu kako bi se smanjio rizik od pojave sigurnosnih incidenata i umanjila šteta pri njihovom nastupanju. Nastavio je razvijati suradnju s institucijama izvan RH, kao što su drugi CERT timovi i institucijama Europske unije i NATO-a te s ostalim tijelima unutar RH, a sve u svrhu razvitka zajedničkih interesa u području informacijske sigurnosti.

Usto, Nacionalni CERT je ostvario i značajne pomake na području nacionalne i međunarodne suradnje, daljnjeg usavršavanja djelatnika te na području povećanja razine spremnosti na odgovor na sve složenije sigurnosne izazove.

Nacionalni CERT i u 2016. godini uspješno je sudjelovao u NATO CyberCoalition vježbi, gdje je RH sudjelovala u svojstvu igrača. U međunarodnoj vježbi Cyber Europe 2016 stručnjaci za informacijsku sigurnost, i ostala nadležna tijela, rješavali su simulirane scenarije računalno sigurnosnih incidenata.

Sumarno, prema statistikama, može se zaključiti kako razina incidenata koji se odnose na broj registriranih botova konstantno pada, a u padu je i broj drugih vrsta incidenata. Posjećenost portala antibot.hr je tijekom 2016. godine dosegla brojku od 24.891 posjetitelja, što je u korelaciji s manjim brojem zabilježenih zaraženih računala krajnjih korisnika (botova). Osvježenjem portala antibot.hr dodana je kategorija Ransomware, potkategorija s alatima za preglednike, nove poveznice za različite online servise te potkategorija Korisni alati.

Pada broj kompromitiranih web sjedišta u odnosu na prošlu godinu, i to za 16%. Najznačajnija promjena u odnosu na prethodnu godinu je rast broja web defacementa, što je rezultat veće suradnje s vanjskim izvorima, tj. veći je broj prijava iz vanjskih izvora u odnosu na prošlu godinu. Što se tiče većih pravnih subjekata, napadi uskraćivanjem usluge i dalje su prisutni, a često se za obustavljanje DDoS napada traži plaćanje otkupnine.

Stanje računalnih incidenata i statistike

Nacionalni CERT u 2016. godini zaprimio je i obradio ukupno 641 prijavu koja se može klasificirati kao računalni incidenti u nadležnosti Nacionalnog CERT-a.

Vodeći tipovi incidenata su web defacement (kompromitirano web sjedište s izmijenjenom početnom web stranicom), phishing URL i malware URL. S obzirom na to da navedena tri tipa incidenata, uz spam URL, zapravo predstavljaju kompromitirana web sjedišta, ako se gleda sumarno, broj otkrivenih kompromitiranih web sjedišta u odnosu na prošlu godinu pao je za 16%. Najznačajnija promjena u odnosu na prethodnu godinu rast je broja web defacementa, što je rezultat vanjskih (automatiziranih) izvora koji su to češće prijavljivali nego prošle godine.

Napadi uskraćivanjem usluge i dalje su prisutni. Napadači često traže plaćanje otkupnine kako bi obustavili svoje DDoS napade.

Slijedeći graf  je prikaz omjera incidenata po tipu u 2016. godini, koji su zabilježeni u sustavu za obradu incidenata.

 

Prijavitelji su incidenata, kao i u prošloj godini, u većini slučajeva bili izvan RH ili je incidente registrirao softver SRU@HR, odnosno dobiveni su od partnera putem projekta ACDC.

Sljedeća tablica prikazuje broj obrađenih incidenata na poslužiteljima na mjesečnoj bazi, koji su zabilježeni u sustavu za obradu incidenata.

Registrirani botovi u RH

Nacionalni CERT primao je i statistički obrađivao podatke o botovima na računalima krajnjih korisnika. Podaci su prosljeđivani pripadajućim davateljima internetskih usluga i pružateljima usluga udomljavanja Internet stranica (hosting provider). Iz grafikona koji prikazuje godišnji trend broja botova moguće je očitati da je u RH broj registriranih zaraženih računala u stagnaciji i da ih u prosjeku ima manje nego prošle godine.

Broj otkrivenih botova prikazan ovim statistikama temelji se na vanjskim izvorima koji dostavljaju podatke Nacionalnom CERT-u te ne odgovara broju stvarno zaraženih korisničkih računala, ali prikazuje trend i okvir stvarnog stanja.

Slijedeća tablica prikazuje raspodjelu i trend broja prijavljenih botova kroz godinu dana koji su bili diseminirani davateljima usluge pristupa Internetu

 

Srednja vrijednost broja botova po danu za 2016. godinu iznosila je 1.593,5

Krnološki pregled značajnijih incidenta, otkrivenih ranjivosti i događaji u 2016. godini

Prvi kvartal

U siječnju 2016. godine otkriven je komandni i kontrolni (command and control – C&C) poslužitelj Dridex botneta u mreži jednog hrvatskog ISP-a. Također, vanjski je partner prijavio kako je velik broj računala u Republici Hrvatskoj zaražen Qakbot zlonamjernim kodom čija je primarna namjena krađa povjerljivih podataka.

U istom mjesecu zabilježena je phishing kampanja na hrvatske korisnike Gmaila. Napadači su slali phishing poruke elektroničke pošte (u ime Google tima) koje su lažno obavještavale korisnike da je došlo do nadogradnje na poslužiteljima te se tražilo unošenje Gmail korisničkih podataka unutar phishing stranice.

Američka tvrtka iSight objavila je kako je ruska hakerska grupa Sandworm odgovorna za prekid struje u Ukrajini u prosincu 2015. Analizom je utvrđeno da su uz pomoć zlonamjernog softvera Black Energy 3 i Kill Disk, 23. prosinca 2015. prekinuli dovod električne energije za 80,000 korisnika na oko šest sati.

U veljači se dogodio DNS reflektirajući DDoS napad na poslužitelje u CARNetovoj mreži, web stranice Vlade RH (www.gov.hr) i na web sjedište www.predsjednica.hr.

1. ožujka objavljeno je kako je otkrivena ranjivost HTTPS poslužitelja, nazvana DROWN. Ranjivost se očituje u dva slučaja: ako poslužitelj uz TLS podržava i SSLv2 ili ako se isti javni ključ koristi na drugom poslužitelju koji podržava SSLv2 (tada je TLS poslužitelj ranjiv jer koristi isti javni ključ). Naime, poslužitelj koji podržava SSLv2 izlaže informacije koje se mogu iskoristiti kako bi se prisluškivala komunikacija TLS sesija. Isti dan je objavljeno kako je čak 33% HTTPS poslužitelja ranjivo na DROWN.

U ožujku se dogodio phishing napad u kojem je korištena phishing stranica jedne poznate hrvatske banke. Isti mjesec je otkrivena i nova phishing kampanja – elektroničkom poštom širile su se phishing poruke koje su u privitku sadržavale .zip datoteku unutar koje je zlonamjerna JavaScript datoteka. Radilo se o crypto-ransomware tipu zlonamjernog koda naziva Locky koji se u računalo korisnika ubacuje u slučaju pokretanja JavaScript datoteke koja s udaljenog web sjedišta dohvaća zlonamjerni kod i ubacuje ga na računalo.

Malware potom šifrira podatke na računalu, nakon čega napadači ucjenjuju žrtvu da otkupi ključ kojim je moguće dešifrirati šifrirane podatke.

Drugi kvartal

U travnju je WhatsApp, poznata mobilna aplikacija za komunikaciju, implementirala End-to-End šifriranje svih tekstualnih poruka, priloženih datoteka, poziva i grupnog dopisivanja.

Istraživači za računalnu sigurnost unaprijedili su BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) napad star tri godine. BREACH napad iskorištava gzip/DEFLATE algoritam za sažimanje HTTP(S) prometa kojeg koriste mnogi web poslužitelji kako bi komunikaciju učinili efikasnijom.

Mehanizam sažimanja otkriva informacije o šifriranim vezama. Starije inačice BREACH napada bile su efikasne za veze koje su koristile RC4 simetrični kriptografski algoritam toka, dok je novija inačica efikasna i kod veza koje koriste danas zastupljeniji TLS block ciphers kao što je AES.

U svibnju je nekoliko tvrtki i banaka unutar RH ucjenjivano DDoS napadima. Neki DDoS napadi su se stvarno i dogodili.

8.lipnja 2016. na ilegalnom internetskom tržištu na prodaju je ponuđeno oko 32 milijuna korisničkih imena i približan broj lozinki društvene mreže Twitter za 10 Bitcoina. Korisnički podaci prikupljeni su pomoću zlonamjernog programa koji je bez znanja žrtve spremao korisnička imena i lozinke u web preglednicima Google Chrome i Firefox te ih slao napadaču. Kompromitirani računi većinom dolaze iz ruskog govornog područja.

8. lipnja 2016. godine NATO je cyber prostor proglasio zonom ratovanja. Razlog je tome što se opasni napadi mogu izvršiti u kibernetičkom prostoru isto kao i u zraku, moru i zemlji, te time utjecati na suverenitet pojedine članice NATO saveza.

Treći kvartal

U srpnju je parlament Europske Unije usvojio NIS direktivu (The Directive on Security of Network and Information Systems). Zemlje članice imaju (od 6. srpnja) 21 mjesec da direktivnu ugrade u svoje zakonodavstvo i još 6 mjeseci kako bi identificirale operatore ključnih usluga. Direktiva definira potrebu za uređenjem mreže CSIRT-ova (država članica) kako bi se promovirala brza i učinkovita operativna suradnja te dijeljenje informacija u slučaju računalno-sigurnosnih incidenata.

Tijekom kolovoza otkriven je skup četiri ranjivosti nazvan QuadRooter koji pogađa čak 900 milijuna Android uređaja koji imaju ranjivi čip proizvođača Qualcomm. Ranjivosti su omogućavale napadačima preuzimanje kontrole nad mobilnim uređajem ako uspiju žrtvu natjerati da instalira zlonamjernu mobilnu aplikaciju (bez posebnih privilegija). Neki od poznatijih pogođenih uređaja su: Samsung Galaxy S7 i S7 Edge, Sony Xperia Z Ultra i OnePlus One.

U rujnu je predstavljena inicijativa NoMoreRansom od strane Europola, nizozemske policije i tvrtki Kaspersky Lab i Intel Security. Cilj inicijative je pomoći žrtvama ransomwarea u vraćanju datoteka bez da plate otkupninu, kao i edukacija krajnjih korisnika kako bi se spriječila zaraza opasnim kripto virusima.

Yahoo! je potvrdio kompromitaciju 500 milijuna korisničkih imena, adresa elektroničke pošte, telefonskih brojeva, datuma rođenja i šifriranih sigurnosnih pitanja i odgovora. Kompromitacija se dogodila 2014. godine, a početkom kolovoza 2016. godine haker pod nazivom Peace, na prodaju je ponudio 200 milijuna Yahoo! korisničkih računa.

Najveći zabilježeni DDoS napad intenziteta preko 1 Tbps izvršen je na poslužitelje poznatog francuskog pružatelja usluge udomljavanja internet stranica, OVH. Ovu vijest na Twitteru je objavio osnivač i CTO tvrtke, Octave Klaba. Napad je izvršen iskorištavanjem preko 152.000 Internet of Things (IoT) uređaja, uglavnom CCTV nadzornih kamera i video rekordera. Izvršena su dva uzastopna napada čiji je ukupni intenzitet dosegao više od 1 Tbps. Jedan od njih bio je intenziteta 799 Gbps što ga čini najvećim DDoS napadom ikad zabilježenim. Procjenjuje se da je svaki uređaj generirao intenzitet od 1 do 30 Mbps.

Četvrti kvartal

U sklopu europskog mjeseca sigurnijeg interneta obnovljen je sadržaj web sjedišta botfree.eu. Inicijalno je napravljen kao dio europskog Cyber Security projekta ACDC (Advanced Cyber Defence Centre), projekta koji je bio aktualan od 2013. do 2015. godine s ciljem unaprjeđenja borbe protiv botneta. Fokus servis botfree.eu je pružanje pomoći malware i botnet žrtvama, ali i davanje savjeta o zaštiti protiv zlonamjernih kodova i ostalih cyber prijetnji poput phishing mail poruka i ransomware zlonamjernog softvera.

U listopadu Nacionalnom CERT-u prijavljen je DDoS napad na jedan poznati domaći web portal za kupnju ulaznica.

Kompromitirani su poslužitelji kompanije FriendFinder Networks koja se nalazi iza 49.000 web sjedišta za odrasle. Kompromitirano je 412,214.295 korisničkih računa, od toga 15 milijuna obrisanih korisničkih računa koji su još uvijek bili pohranjeni u bazu podataka. Prema tome, riječ je o najvećoj kompromitaciji u 2016. godini.

Otkriveni su korisnički podaci za posljednjih 20 godina s ukupno šest domena. Kompromitirani osobni podaci uključivali su korisnička imena, adrese elektroničke pošte, datume prijava u sustav, jezik, lozinke i slično.

U prosincu je u koordiniranoj akciji srušena organizirana kriminalna mreža (botnet Avalanche). Akcija je trajala četiri godine, a uključivala je rad tužitelja i istražitelja iz trideset zemalja, FBI i Europol. Žrtve napada koje su koristile navedenu infrastrukturu nalaze se u čak 180 zemalja, a 221 poslužitelj je ugašen. Operacija je uključivala preuzimanje kontrole ili blokiranje rekordnih 800 tisuća domena. Procijenjeno je da je Avalanche uzrokovao gubitak stotina milijuna eura diljem svijeta.

Podijeli: