Ataki ukierunkowane na instytucje administracji

CERT.GOV.PL
Źródło:
http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/118,Ataki-ukierunkowane-na-instytucje-administracji-publicznej.html
Wygenerowano: Czwartek, 2 marca 2017, 16:37
Ataki ukierunkowane na instytucje administracji publicznej
Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL uzyskał informację o przypadkach ataków
ukierunkowanych, których celem są pracownicy instytucji administracji publicznej.
Charakterystyka zagrożenia
Ataki ukierunkowane przeprowadzane są zwykle poprzez zawierające złośliwe oprogramowanie załączniki poczty
elektronicznej, których otwarcie skutkuje instalacją w systemie oprogramowania typu „koń trojański”. Istotą ataku jest jego
„ukierunkowanie”, tzn. indywidualny charakter przesłanej wiadomości, udający np. korespondencję służbową. Wybór
technologii użytej do ataku poprzedza dokładny rekonesans instytucji będącej celem ataku i obejmuje przegląd:
●
●
●
●
dostępnych stron internetowych i zebranie informacji o pracownikach wyższego szczebla.
zaindeksowanych przez wyszukiwarki stron internetowych instytucji w poszukiwaniu znanych plików pakietów biurowych i
ich wersji.
używanych domen internetowych.
rekordów WHOIS.
Zebrane w ten sposób dane często poddawane są dalszej analizie za pomocą narzędzi open source intelligence. Na
podstawie ogólnodostępnych informacji zamieszczonych w internecie tworzona jest sieć zależności pomiędzy osobami, co
pozwala wybrać zarówno cel ataku, jak i źródło, pod które podszywają się atakujący. Atak polega na nakłonieniu użytkownika
do otwarcia niebezpiecznego załącznika i tym samym zainstalowania złośliwego oprogramowania. Spreparowany przez
atakującego załącznik może wykorzystywać znaną lukę w oprogramowaniu biurowym, jak również lukę, która nie została
wcześniej upubliczniona – takie ataki nazywane często 0-day są najbardziej niebezpieczne. Często (zwłaszcza w początkowej
fazie wykorzystania przez atakującego) oprogramowanie złośliwe ukryte w załączniku wiadomości nie jest wykrywane przez
systemy antywirusowe. Brak masowego charakteru ataku dodatkowo powoduje, iż ewentualne próbki do analizy trafiają do
twórców systemów AV z opóźnieniem. Złośliwe oprogramowanie służy przede wszystkim do zbierania informacji, w tym
transferowania poza instytucję dokumentów znalezionych na dyskach twardych lub zasobach sieciowych ofiary.
Zalecenia
Zastosowanie różnych form inżynierii społecznej pozwala na wysoką skuteczność tego rodzaju ataków, dlatego też
CERT.GOV.PL zaleca użytkownikom:
●
●
●
●
wyłączenie opcji autopodglądu załącznika w kliencie pocztowym.
nieotwieranie załączników zawartych w mailach z nieznanego źródła.
nieotwieranie załączników zawartych w „niezamówionych” mailach z innej bądź macierzystej instytucji państwowej, nawet
jeśli na pierwszy rzut oka wyglądają na wysłane z instytucji, z którą na co dzień współpracujemy.
zgłaszanie administratorom sieci oraz osobom odpowiedzialnym za bezpieczeństwo informacji wszelkich nietypowych
sytuacji podczas pracy, takich jak:
o nieoczekiwane zamknięcie programu podczas otwierania plików,
o czasowe lub trwałe zawieszenie się aplikacji,
o znaczne spowolnienie pracy komputera.
❍
❍
❍
CERT.GOV.PL zaleca administratorom systemów komputerowych:
●
●
●
●
●
Poinformowanie użytkowników sieci o zagrożeniach związanych z otwieraniem podejrzanych wiadomości e-mail oraz
konieczności informowania o wystąpieniu sytuacji nietypowych związanych z otrzymanymi przesyłkami.
Zgłaszanie do CERT.GOV.PL wszelkich przypadków otrzymania podejrzanych (niezamówionych) przesyłek e-mail z
załącznikiem, których nadawcą jest rzekomo instytucja państwowa lub instytucja Unii Europejskiej.
Regularne aktualizowanie systemu operacyjnego i oprogramowania biurowego na stacjach klienckich.
Regularne aktualizowanie sygnatur oprogramowania antywirusowego.
Zaimplementowanie filtrów antyspamowych na serwerach pocztowych.
●
W instytucjach wykorzystujących pakiet Microsoft Office sugerowane jest zainstalowanie darmowego narzędzia MOICE
(Microsoft Office Isolated Conversion Environment) . Szczegółowe informacje na temat narzędzia dostępne są tutaj.
Incydenty tego typu jak również inne zagrożenia bezpieczeństwa systemów informatycznych powinny być zgłaszane do
Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL.
ataki ukierunkowane
RG
Ocena: 1.9/5 (5)