Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Atak za pomocą robaka WannaCry mógł spotkać się ze zbrojną odpowiedzią NATO

Recommended Posts

Podczas niedawnego panelu dyskusyjnego nt. bezpieczeństwa wojskowych sieci komputerowych dowiedzieliśmy się, że NATO mogło przeprowadzić konwencjonalny atak w odpowiedzi na cyberatak robaka WannaCry. Generał-major Jürgen Setzer, odpowiedzialny w Bundeswerze za bezpieczeństwo cyfrowe, przyznał, że sekretarz generalny NATO nie odrzucił idei ataku zbrojnego w odpowiedzi na cyberatak.

W ubiegłym roku sekretarz generalny NATO mówił, że atak WannaCry z 2017 roku, na którym szczególnie ucierpiały szpitale w Wielkiej Brytanii, mógł być powodem do użycia sił NATO, stwierdził Setzer.

Generał dodał, że takie stanowisko sekretarza generalnego oznacza, iż kwestia odpowiedzi zbrojnej na cyberatak nie powinna być ściśle określona. Fakt, że przeciwnik przeprowadził cyberatak nie powinien oznaczać, że zaatakowany może odpowiedzieć wyłącznie w ten sam sposób.

Jeśli mówimy o cyberbezpieczeństwie, to nie znaczy, że na cyberatak musimy odpowiadać w ten sam sposób. To już ryzyko napastnika, który nie wie gdzie leży granica i czy cyberatak jest już jej przekroczeniem, dodał Setzer.

W prawie międzynarodowym od co najmniej 180 lat stosuje się zasadę koniecznej i proporcjonalnej odpowiedzi na atak Pomiędzy atakiem, a odpowiedzią nań musi istnieć pewna równowaga. Kwestia tego, czym jest proporcjonalna odpowiedź, wciąż pozostaje przedmiotem sporów. A obecnie sprawę komplikuje fakt, że atak może być też przeprowadzony za pomocą sieci komputerowych. Wydaje się, że przeważa opinia o możliwości odpowiedzi zbrojnej na cyberatak.

Już w 2011 roku informowaliśmy, że Pentagon przygotowuje swoją pierwszą strategię obrony cyberprzestrzeni i nie wyklucza odpowiedzi militarnej na cyberatak.

Za atakiem WannaCry najprawdopodobniej stała Korea Północna. Atak został powstrzymany przez byłego hakera Marcusa Hutchinsa, który później został aresztowany w USA. Zanim jednak Hutchins go powstrzymał, robak zdążył narobić poważnych szkód w 150 krajach.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Cała zabawa z cyberatakami polega na tym, że nie zostawiają one wiarygodnego adresu zwrotnego.

Share this post


Link to post
Share on other sites
2 hours ago, peceed said:

Cała zabawa z cyberatakami polega na tym, że nie zostawiają one wiarygodnego adresu zwrotnego.

To nie jest tak do końca. Wiele atakujących pozostawia wystarczająco dużo śladów, aby umożliwić atrybucję. Nawet jeżeli pozostaną nieuchwytni, to w końcu zostawią ślady i popełnią wystarczająco błędów.

Po pierwsze tworzenie narzędzi i procedur zabiera czas, więc grupy mają często wypracowane charakterystyczne TTPs (tools, tactics, procedures). Tak samo infrastruktura jest często wykorzystywana ponownie do kolejnych ataków. Zacieranie śladów kosztuje, chociaż większości rządowych grup APT (advanced persistent threat) zależy na skrytości, szczególnie tym mocno zaawansowanym i z zasobami jak te z USA. Grupy takie jak Lazarus z Korei Północnej działają pod presją łagrów i mają parcie na wyniki ($), bo reżim finansuje w ten sposób programy militarne.

Były też takie przypadki:

Quote

It was a case of spies watching spies watching spies: Israeli intelligence officers looked on in real time as Russian government hackers searched computers around the world for the code names of American intelligence programs.

https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html

Ale też i takie:

Quote

Wspólne brytyjsko-amerykańskie śledztwo wykazało, że irańscy hakerzy z grupy OilRig padli ofiarą rosyjskiej cyberszpiegowskiej grupy Turla. Rosjanie podszywali się pod Irańczyków, stosując ich narzędzia i metody, by przeprowadzać ataki na instytucje wojskowe, rządowe, naukowe oraz uniwersytety z wielu krajów świata.

https://tvn24.pl/swiat/rosyjscy-cyberprzestepcy-podszywali-sie-pod-hakerow-z-iranu-ra979233-2293643

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

 

24 minuty temu, cyjanobakteria napisał:

Ale też i takie:

Cytat

Wspólne brytyjsko-amerykańskie śledztwo wykazało, że irańscy hakerzy z grupy OilRig padli ofiarą rosyjskiej cyberszpiegowskiej grupy Turla. Rosjanie podszywali się pod Irańczyków

No właśnie. Naloty nie mają opcji "rallback". Grożenie nalotami za ataki cybernetyczne jest po prostu głupie w takim kontekście.

Share this post


Link to post
Share on other sites
48 minutes ago, peceed said:

Grożenie nalotami za ataki cybernetyczne jest po prostu głupie w takim kontekście.

Nie zgadzam się z tym. Nie jestem zwolennikiem przemocy, ale warto mieć taką opcję. Z drugiej strony, nie powinien to być standard. Jeżeli nalot ma być przeprowadzony natychmiastowo (real-time) albo w bardzo krótkim czasie to rośnie ryzyko pomyłki.

Przykład niedawnego ataku na siedzibę Hamasu. Podobno Izraelczycy śledzili działania Hamasu i cały czas kontrolowali sytuację, więc pojawiły się pytania o proporcjonalność odpowiedzi.

https://www.zdnet.com/article/in-a-first-israel-responds-to-hamas-hackers-with-an-air-strike/

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Trzeciego października, w 30. rocznicę zjednoczenia Niemiec, na Wyspie Muzeów w Berlinie ktoś spryskał oleistą substancją co najmniej 70 eksponatów. W doniesieniach medialnych wymieniane są egipskie sarkofagi czy XIX-wieczne obrazy, wystawiane w Muzeum Pergamońskim, Starej Galerii Narodowej i Nowym Muzeum. Fundacja Pruskiego Dziedzictwa Kultury ponoć potwierdziła, że oleista substancja pozostawiła widoczne ślady. Na szczęście uszkodzenia są powierzchowne. Stołeczna policja wszczęła śledztwo, ale odmówiła komentowania motywów zdarzenia. Ze względów strategicznych sprawy nie upubliczniono.
      Jak poinformowało BBC, policja skontaktowała się mailowo z osobami, które kupiły bilety w tym terminie.
      Próbując wyjaśnić, co się stało, prasa i telewizja przypominają, że w 2018 roku w Atenach aresztowano dwie Bułgarki, które pobrudziły oleistą substancją zabytki w Narodowym Muzeum Historii. Kobiety zeznały, że spryskały je olejkami i mirrą, kierując się zapisami z Pisma Świętego.
      Październikowe zdarzenie, opisywane jako jeden z największych ataków na dzieła sztuki w powojennej historii Niemiec, może mieć związek z teoriami spiskowymi. Jedna z nich postuluje np., że Muzeum Pergamońskie to światowe centrum satanizmu (znajduje się tam bowiem zrekonstruowany Ołtarz Pergamoński). W tym kontekście media wymieniają niejakiego Attilę Hildmanna, byłego wegańskiego kucharza-celebrytę, który stał się jednym z najbardziej znanych zwolenników teorii spiskowych QAnon. Niedawno Hildmann opublikował wpisy, w których sugerował, że Angela Merkel wykorzystuje Ołtarz do składania ofiar z ludzi. Komentując zaś doniesienia o najnowszym akcie wandalizmu na Wyspie Muzeów, Hildmann stwierdził: Fakt! To jest tron Baala (Szatana).
      Warto przypomnieć, że w 1999 r. Museumsinsel została wpisana na Listę Dziedzictwa Kulturowego UNESCO.
       


      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Elon Musk potwierdził, że rosyjski cyberprzestępca próbował przekupić jednego z pracowników firmy, by ten zainstalował ransomware w sieci firmowej Gigafactory w Newadzie. Próbę ataku podjął 27-letni Jegor Igorewicz Kriuczkow, który zaoferował anonimowemu pracownikowi Tesli milion dolarów za zainfekowanie systemu. Jeśli do infekcji by doszło, Kriuczkow i jego wspólnicy mogliby przeprowadzić atak DDoS na system Tesli.
      Szczegóły całej operacji poznaliśmy dzięki dokumentom ujawnionym przez FBI po aresztowaniu Kriuczkowa. Z dokumentów wynika, że Kriuczkow przyjechał do USA jako turysta w lipcu bieżącego roku. Wybrał się do miejscowości Sparks w Newadzie, gdzie znajduje się Gigafactory, i wynajął pokój hotelowy. Tam wielokrotnie spotkał się z mówiącym po rosyjsku pracownikiem fabryki. W czasie jednego ze spotkań zaoferował mu pieniądze za wprowadzenie malware'u do sieci. Pracownik zgodził się, a po rozmowie natychmiast poinformował o tym przedstawicieli firmy. Ci z kolei skontaktowali się z FBI. W sierpniu Biuro rozpoczęło tajną operację. W jej ramach pracownik nadal spotykał się z Kriuczkowem, tym razem jednak miał przy sobie podsłuch. Podczas kilku kolejnych spotkań omawiali sposób ataku oraz wynagrodzenie dla pracownika.
      Zainstalowane malware miało rozpocząć atak DDoS, który zaalarmowałby systemy bezpieczeństwa i odwrócił uwagę informatyków Tesli. W tym czasie Kriuczkow i jego kompani chcieli ukraść poufne informacje, za zwrot których zażądaliby sowitego okupu. Przestępcy najwyraźniej spodziewali się sporych zysków, skoro oferowali aż milion USD za zainfekowanie systemu firmy Muska.
      Kriuczkow został aresztowany 22 sierpnia w Los Angeles, gdy próbował opuścić USA. Postawiono mu zarzuty konspirowania z zamiarem celowego spowodowania szkód w chronionym systemie komputerowym. Za przestępstwo to grozi do 5 lat więzienia oraz wysoka grzywna.
      FBI stwierdziło, że Kriuczkow jest jednym z członków rosyjskiej grupy cyberprzestępczej, która już w przeszłości atakowała amerykańskie firmy.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Amazon poinformował, że jego chmura obliczeniowa AWS odparła jeden z najpotężniejszych ataków DDoS w historii. Do ataku doszło w lutym. W szczytowym momencie napastnicy wygenerowali ruch dochodzących do 2,3 terabitów na sekundę. Poprzedni najpotężniejszy atak w szczytowym momencie generował 1,7 Tbit/s.
      Lutowy atak był o 44% potężniejszy niż jakikolwiek wcześniej doświadczony przez Amazon Web Srvices. Chmura Amazona obsługuje wiele witryn internetowych. Nie zdradzono jednak, która z nich była celem ataku.
      Przedstawiciele Amazona poinformowali, że przez 3 dni po ataku w AWS obowiązywał stan podwyższonego alertu. Jak dowiadujemy się z oświadczenia prasowego, mieliśmy do czynienia z atakiem, który Amazon określił mianem „CLDAP reflection”. Najprawdopodobniej, chociaż Amazon nie mówi tego wprost, napastnik wykorzystał błędy konfiguracyjne w protokole CLDAP w serwerze strony trzeciej, który pozwolił mu na zwiększenie siły ataku.
      Ataki DDoS i związane z tym zakłócenia pracy infrastruktury informatycznej, mogą być bardzo kosztowne dla ofiary. Specjaliści oceniają, że sama tylko Wielka Brytania może tracić na takich atakach około 1 miliarda funtów rocznie. Dużym problemem jest fakt, że tego typu ataku są łatwe i tanie do przeprowadzenia.
      Firma Kaspersky informuje, że w I kwartale bieżącego roku doszło do znaczącego wzrostu liczby i jakości ataków DDoS. Nie tylko jest ich obecnie dwukrotnie więcej niż przed rokiem, ale 80% z nich trwa dłużej.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed kilkoma dniami doszło do wielkiego atak na 1,3 miliona witryn korzystających z oprogramowania WordPress. Przestępcy próbowali ukraść pliki konfiguracyjne oraz informacje potrzebne do logowania do bazy danych. Nieudana próba ataku została przeprowadzona na stare luki XSS w pluginach i skórkach do WordPressa.
      Jak poinformowali specjaliści z firmy Wordfence, którzy powstrzymali napastników, przestępcy chcieli pobrać pliki wp-config.php. Ich zdobycie pozwoliłoby im na uzyskanie dostępu du baz danych. Pomiędzy 29 a 31 maja zaobserwowano i zablokowano ponad 130 milionów prób ataku skierowanych przeciwko 1,3 milionowi witryn. Szczyt nastąpił 30 maja. W tym dniu dokonano 75% wszystkich prób nielegalnego zdobycia danych, usiłując wykorzystać dziury w pluginach i skórkach na platformach WordPress, czytamy w wydanym komunikacie.
      Badacze połączyli te ataki z działaniem tej samej grupy, która 28 kwietnia próbowała wstrzyknąć na witryny złośliwy kod JavaScript. Jego zadaniem było przekierowywanie użytkownika z uprawnieniami administratora na złośliwą witrynę, z której można było dokonać ataku. Oba ataki udało się połączyć dzięki temu, że zarówno w kwietniu jak i maju przestępcy korzystali z tej samej puli 20 000 adresów IP.
      Eksperci przypominają właścicielom witryn, że jeśli ich strona padła ofiarą ataku, należy natychmiast zmienić hasła dostępu oraz klucze uwierzytelniające. Jeśli konfiguracja twojego serwera pozwala na uzyskanie zdalnego dostępu do bazy danych, napastnik, który zdobył taki dostęp może z łatwością dodać konto administratora, uzyskać dostęp do poufnych informacji lub w ogóle zlikwidować twoją witrynę. Nawet jeśli twój serwer nie pozwala na zdalny dostęp do bazy danych, to jeśli napastnik zdobył klucze uwierzytelniające, może ich użyć do ominięcia kolejnych zabezpieczeń, czytamy w oświadczeniu.
      Osoby korzystające z WordPressa powinny też upewnić się, czy wykorzystują najnowsze wersje dodatków i czy na bieżąco łatają pojawiające się dziury. Warto przypomnieć, że przed kilkoma tygodniami znaleziono dwie dziury w pluginie Page Builder. Plugin ten jest zainstalowany na milionie witryn, a zanlezione dziury pozwalają przestępcom na przejęcie kontroli nad witryną.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa hakerska Shiny Hunters włamała się na GitHub-owe konto Microsoftu, skąd ukradła 500 gigabajtów danych z prywatnych repozytoriów technologicznego giganta. Dane te zostały następnie upublicznione na jednym z hakerskich forów. Nic nie wskazuje na to, by zawierały one jakieś poufne czy krytyczne informacje.
      Ataku dokonali ci sami przestępcy, którzy niedawno ukradli dane 91 milionów użytkowników największej indonezyjskiej platformy e-commerce Tokopedii i sprzedali je za 5000 USD. Jak mówią eksperci, Shiny Hunters zmienili w ostatnim czasie taktykę.
      Na dowód dokonania ataku na konto Microsoftu hakerzy dostarczyli dziennikarzom zrzut ekranowy, na którym widzimy listę prywatnych plików developerów Microsoftu. Początkowo przestępcy planowali sprzedać te dane, ale w końcu zdecydowali się udostępnić je publicznie.
      Jako, że w ukradzionych danych znajduje się m.in. tekst i komentarze w języku chińskim, niektórzy powątpiewają, czy rzeczywiście są to pliki ukradzione Microsoftowi. Jednak, jak zapewniają redaktorzy witryny Hack Read, ukradziono rzeczywiście pliki giganta z Redmond. Przedstawiciele Shiny Hunters informują, że nie mają już dostępu do konta, które okradli. Microsoft może zatem przeprowadzić śledztwo i poinformować swoich klientów o ewentualnych konsekwencjach ataku. Sama firma nie odniosła się jeszcze do informacji o włamaniu.
      GitHub to niezwykle popularna platforma developerska używana do kontroli wersji, z której korzysta 40 milionów programistów z całego świata. W październiku 2018 roku została ona zakupiona przez Microsoft za kwotę 7,5 miliarda dolarów.

      « powrót do artykułu
×
×
  • Create New...