Według najnowszego Microsoft Digital Defense Report, Polska znalazła się wśród najczęściej atakowanych państw Europy, zajmując 10. miejsce na kontynencie i 27. na świecie pod względem liczby użytkowników dotkniętych cyberatakami. Pozostajemy również jednym z głównych celów grup hakerskich sponsorowanych przez obce państwa.
Raport Microsoft wśród najpoważniejszych zagrożeń dla cyberbezpieczeństwa wskazuje grupy hakerskie sponsorowane przez wrogie państwa. Tego typu podmioty koncentrują swoje działania na strategicznych sektorach i regionach, prowadząc operacje szpiegowskie, a niekiedy również ataki motywowane korzyściami finansowymi. Wśród państw szczególnie aktywnych w obszarze cyberprzestępczości znalazły się Chiny, Iran, Korea Północna oraz Rosja.
Ransomwarem w produkcję i obronę
W ciągu ostatniego roku rosyjskie grupy cybernetyczne wyraźnie zintensyfikowały i rozszerzyły swoje operacje, obejmując nimi nie tylko Ukrainę, ale również kraje należące do NATO, w tym Polskę. Według danych Microsoft Threat Intelligence Center, ich aktywność wobec tych krajów wzrosła aż o 25 proc. Coraz częściej celem ataków stają się zarówno duże instytucje, jak i mniejsze firmy, a działania te realizowane są nie tylko poprzez zaawansowane operacje własne, lecz także z wykorzystaniem rozbudowanego ekosystemu cyberprzestępczego. Najczęściej jednak ataki są skierowane w sektory rządowy, naukowy, organizacje pozarządowe, energetykę, przemysł obronny, produkcję, transport, IT oraz organizacje międzynarodowe. Wśród regionów najbardziej dotkniętych aktywnością cyberprzestępczą sponsorowaną przez Rosję znalazły się Stany Zjednoczone, Wielka Brytania, Ukraina, Niemcy, Belgia, Włochy, Estonia, Francja, Holandia oraz Polska.
Cyberprzestępcy koncentrują swoje działania na atakowaniu kluczowych usług publicznych – których zakłócenie może mieć bezpośredni i natychmiastowy wpływ na życie obywateli. Szpitale, administracja lokalna czy instytucje publiczne są szczególnie narażone ze względu na przetwarzanie wrażliwych danych, ograniczone budżety na cyberbezpieczeństwo oraz niewystarczające zasoby do reagowania na incydenty, często połączone z wykorzystywaniem przestarzałego oprogramowania. W minionym roku cyberataki na te sektory miały wymierne skutki – opóźnienia w udzielaniu pomocy medycznej, zakłócenia w działaniu służb ratunkowych, odwołane zajęcia szkolne czy paraliż systemów transportowych.
Szczególnie aktywne w tych obszarach są grupy stosujące ransomware, które wykorzystują ograniczone możliwości reagowania przez ofiarę ataku. Przykładowo, szpital musi natychmiast odzyskać dostęp do zaszyfrowanych systemów, ponieważ wszelkie przerwy w jego działaniu mogą realnie zagrozić zdrowiu i życiu pacjentów, co często pozostawia instytucji niewielki wybór poza zapłatą okupu. Dodatkowo, instytucje rządowe, placówki medyczne i ośrodki badawcze przechowują dane, które mogą zostać skradzione i spieniężone na nielegalnych rynkach, w tym w dark webie, napędzając dalszą działalność przestępczą.
Koreańczycy polują na drony
Do podobnych wniosków dochodzą eksperci firmy ESET, identyfikując spore wzmożenie w cyberprzestrzeni, za sprawą aktywności cyberprzestępców z Korei Północnej, wspierających Rosję. A na celowniku jest oczywiście europejski przemysł obronny.
Niedawne ataki dotknęły m.in. trzy firmy z Europy Środkowej i Południowo-Wschodniej, a ich głównym celem była kradzież informacji poufnych i know-how, co jest zbieżne z niedawnymi doniesieniami o rozwoju północnokoreańskiego programu dronów. W drugiej połowie września przywódca Korei Północnej wyraził swoje zadowolenie z przeprowadzonych testów bojowych dronów, jednocześnie podkreślając, że drony stają się głównym orężem działań wojskowych, co czyni ich rozwój najwyższym priorytetem i ważnym zadaniem w modernizacji sił zbrojnych Korei Północnej.
“Znaleźliśmy dowody na to, że jeden z zaatakowanych podmiotów jest zaangażowany w łańcuch dostaw zaawansowanych dronów jednowirnikowych, czyli bezzałogowych śmigłowców. Jest to typ statku powietrznego, który Pjongjang aktywnie rozwija, ale jak dotąd nie był w stanie go zmilitaryzować” – mówi Peter Kálnai, badacz ESET, który odkrył i przeanalizował te ataki.
„Działanie cyberprzestępców opiera się na metodach inżynierii społecznej, a jej dominującym motywem jest lukratywna, ale fałszywa oferta pracy. Potencjalna ofiara zazwyczaj otrzymuje zwodniczy dokument z opisem stanowiska oraz „niezbędne” narzędzia do otworzenia pliku z ofertą.. W plikach narzędzia najczęściej zaszyty jest trojan umożliwiający zdalny dostęp (RAT), dzięki któremu atakujący mogą uzyskać pełną kontrolę nad zainfekowanym urządzeniem” – mówi Beniamin Szczepankiewicz, ekspert cyberbezpieczeństwa ESET.
- Cyberprzestępcy z grupy Lazarus szpiegowali przedsiębiorstwa z sektora przemysłu obronnego w Europie Środkowej – odkryli badacze ESET.
- Zaatakowane organizacje to producenci różnego rodzaju sprzętu wojskowego, w tym dronów i jego komponentów, z których wiele jest obecnie używanych w Ukrainie w ramach pomocy wojskowej państw europejskich.
- Infekując komputery pracowników firm, próbowali pozyskać wiedzę na temat technologii produkcji dronów.
- Te działania budzą obawy o bezpieczeństwo polskiego przemysłu obronnego, który będzie rozwijał technologie produkcji dronów, a w przeszłości był atakowany przez grupę Lazarus.
Bez AI się nie uda
Jak sugerują autorzy Microsoft Digital Defense Report, tradycyjne środki ochrony nie są już wystarczające. Aby nadążyć za skalą i dynamiką zagrożeń, konieczne jest wdrażanie nowoczesnych mechanizmów obronnych opartych na sztucznej inteligencji. Niezbędna jest również ścisła współpraca międzysektorowa – zarówno w ramach sektorów gospodarki, jak i administracji publicznej. Jak wynika z raportu, w ciągu ostatnich dwunastu miesięcy zarówno podmioty cyberprzestępcze, jak i zespoły ds. bezpieczeństwa zaczęły intensywnie wykorzystywać możliwości generatywnej sztucznej inteligencji. Cyberprzestępcy stosują AI do automatyzacji kampanii phishingowych, skalowania działań socjotechnicznych, tworzenia syntetycznych treści, szybszego wykrywania podatności oraz projektowania złośliwego oprogramowania zdolnego do adaptacji. Również grupy sponsorowane przez państwa coraz częściej wykorzystują sztuczną inteligencję w operacjach wpływu prowadzonych w cyberprzestrzeni. W ostatnich sześciu miesiącach ich aktywność znacząco wzrosła – technologia pozwala im działać szybciej, skuteczniej i bardziej precyzyjnie.
Z drugiej strony, AI staje się również cennym narzędziem dla zespołów odpowiedzialnych za bezpieczeństwo. Microsoft wykorzystuje sztuczną inteligencję do wykrywania zagrożeń, eliminowania luk w detekcji, identyfikowania prób phishingu oraz ochrony najbardziej narażonych użytkowników. W obliczu dynamicznie rozwijających się możliwości i ryzyk związanych z AI, organizacje muszą priorytetowo traktować zabezpieczanie swoich narzędzi opartych na sztucznej inteligencji oraz odpowiednie szkolenie personelu. Niezbędne jest proaktywne podejście – zarówno ze strony biznesu, jak i administracji publicznej – aby nadążyć za coraz bardziej zaawansowanymi metodami ataków i zapewnić przewagę podmiotom odpowiedzialnym za ochronę infrastruktury cyfrowej.
