CERT.GOV.PL - wersja tekstowa

Ataki ukierunkowane na instytucje administracji publicznej - wersja graficzna tekstu

Charakterystyka zagrożenia

Ataki ukierunkowane przeprowadzane są zwykle poprzez zawierające złośliwe oprogramowanie załączniki poczty elektronicznej, których otwarcie skutkuje instalacją w systemie oprogramowania typu „koń trojański”. Istotą ataku jest jego „ukierunkowanie”, tzn. indywidualny charakter przesłanej wiadomości, udający np. korespondencję służbową. Wybór technologii użytej do ataku poprzedza dokładny rekonesans instytucji będącej celem ataku i obejmuje przegląd:

• dostępnych stron internetowych i zebranie informacji o pracownikach wyższego szczebla.
• zaindeksowanych przez wyszukiwarki stron internetowych instytucji w poszukiwaniu znanych plików pakietów biurowych i ich wersji.
• używanych domen internetowych.
• rekordów WHOIS.

Zebrane w ten sposób dane często poddawane są dalszej analizie za pomocą narzędzi open source intelligence. Na podstawie ogólnodostępnych informacji zamieszczonych w internecie tworzona jest sieć zależności pomiędzy osobami, co pozwala wybrać zarówno cel ataku, jak i źródło, pod które podszywają się atakujący. Atak polega na nakłonieniu użytkownika do otwarcia niebezpiecznego załącznika i tym samym zainstalowania złośliwego oprogramowania. Spreparowany przez atakującego załącznik może wykorzystywać znaną lukę w oprogramowaniu biurowym, jak również lukę, która nie została wcześniej upubliczniona – takie ataki nazywane często 0-day są najbardziej niebezpieczne. Często (zwłaszcza w początkowej fazie wykorzystania przez atakującego) oprogramowanie złośliwe ukryte w załączniku wiadomości nie jest wykrywane przez systemy antywirusowe. Brak masowego charakteru ataku dodatkowo powoduje, iż ewentualne próbki do analizy trafiają do twórców systemów AV z opóźnieniem. Złośliwe oprogramowanie służy przede wszystkim do zbierania informacji, w tym transferowania poza instytucję dokumentów znalezionych na dyskach twardych lub zasobach sieciowych ofiary.

Zalecenia

Zastosowanie różnych form inżynierii społecznej pozwala na wysoką skuteczność tego rodzaju ataków, dlatego też CERT.GOV.PL zaleca użytkownikom:

• wyłączenie opcji autopodglądu załącznika w kliencie pocztowym.
• nieotwieranie załączników zawartych w mailach z nieznanego źródła.
• nieotwieranie załączników zawartych w „niezamówionych” mailach z innej bądź macierzystej instytucji państwowej, nawet jeśli na pierwszy rzut oka wyglądają na wysłane z instytucji, z którą na co dzień współpracujemy.
• zgłaszanie administratorom sieci oraz osobom odpowiedzialnym za bezpieczeństwo informacji wszelkich nietypowych sytuacji podczas pracy, takich jak:
  
  • o nieoczekiwane zamknięcie programu podczas otwierania plików,
  • o czasowe lub trwałe zawieszenie się aplikacji,
  • o znaczne spowolnienie pracy komputera.

CERT.GOV.PL zaleca administratorom systemów komputerowych:

• Poinformowanie użytkowników sieci o zagrożeniach związanych z otwieraniem podejrzanych wiadomości e-mail oraz konieczności informowania o wystąpieniu sytuacji nietypowych związanych z otrzymanymi przesyłkami.
• Zgłaszanie do CERT.GOV.PL wszelkich przypadków otrzymania podejrzanych (niezamówionych) przesyłek e-mail z załącznikiem, których nadawcą jest rzekomo instytucja państwowa lub instytucja Unii Europejskiej.
• Regularne aktualizowanie systemu operacyjnego i oprogramowania biurowego na stacjach klienckich.
• Regularne aktualizowanie sygnatur oprogramowania antywirusowego.
• Zaimplementowanie filtrów antyspamowych na serwerach pocztowych.
• W instytucjach wykorzystujących pakiet Microsoft Office sugerowane jest zainstalowanie darmowego narzędzia MOICE (Microsoft Office Isolated Conversion Environment) . Szczegółowe informacje na temat narzędzia dostępne są tutaj.

Incydenty tego typu jak również inne zagrożenia bezpieczeństwa systemów informatycznych powinny być zgłaszane do Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL.

Zawartość działu

| Poprawki i aktualizacje |

| Zagrożenia i podatności |

| Wiadomości ogólne |