Kimsuky, zwana też jako Velvet Chollima albo Black Banshee, to grupa cyberszpiegów, którzy zasłynęli z ataków w Korei Płd., np. na instytut badań jądrowych i ministerstwo działające na rzecz zjednoczenia półwyspu. Najczęściej przyjmuje się, że Kimsuky działa z Korei Płn., a w ostatnim czasie rozszerza działalność na kolejne kraje. Zaś w ubiegłym roku zaatakowała Polskę. Tak wynika z „Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2020 roku", przygotowanego przez działający w ABW Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV.
Zdaniem raportu szpiedzy z Kimsuky przeprowadzili atak na polskie instytucje rządowe i podmioty współpracujące z ONZ. Mieli wysyłać wiadomości ze złośliwym oprogramowaniem do m.in. pracowników departamentów międzynarodowych, których wcześniej wytypowano na podstawie wpisów w portalach społecznościowych, specjalizujących się w kontaktach zawodowych. „Ataki miały na celu pozyskanie informacji powszechnie niedostępnych, jak również uzyskanie dostępu do skrzynek poczty elektronicznej" – pisze CSIRT GOV. Czy się powiodły, już nie wspomina.
To tylko jedno z wielu naruszeń naszej cyberprzestrzeni w 2020 r., który zdaniem ABW był najgorszy w historii. Tak wynika ze statystyk incydentów w krajowym systemie cyberbezpieczeństwa, do których należą m.in. administracja rządowa oraz operatorzy infrastruktury krytycznej.
Lawina incydentów
Jak piszą specjaliści z ABW, w 2020 r. odnotowano 246 tys. zgłoszeń, czyli o 8 proc. więcej niż rok wcześniej. Za to liczba zdarzeń, które zostały zarejestrowane jako faktyczny incydent, wyniosła 23 tys., co stanowi wzrost aż o 88 proc. Zespół CSIRT GOV pisze, że nigdy nie odnotował jeszcze tak wysokich liczb. Zdaniem ABW większość, bo 72 proc. incydentów, dotyczyła złośliwego oprogramowania.
Eksperci podzielili też incydenty na poszczególne sektory, jak instytucje publiczne, ministerstwa czy administracja. „W roku 2020 zaobserwować można istotny przyrost w stosunku do roku 2019 liczby incydentów dotyczących urzędów państwowych (prawie 118 proc.), infrastruktury krytycznej (około 283 proc.) oraz służb i wojska (prawie 311 proc.)" – głosi raport. Zdaniem ABW w 2020 roku zwiększyła się też liczba kampanii phishingowych, polegających na podszywaniu się pod inne instytucje, a w niektórych wykorzystywano motyw pandemii.
Cyberszpiedzy atakują
Jednak najgroźniej brzmią doniesienia o atakach zorganizowanych grup, określanych przez specjalistów terminem APT, najczęściej sponsorowanych przez rządy państw.
Do APT zalicza się grupa Kimsuky, a oprócz niej raport wspomina o czterech innych. Jedną z nich jest grupa Gamaredon, znana też jako Primitive Bear, która w 2020 r. miała zaatakować placówki dyplomatyczne i inne polskie instytucje na terytorium Ukrainy. „Ataki były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano jedynie na wybrane hosty. Na podstawie analiz przeprowadzonych ataków zaobserwowano wykorzystanie wyspecjalizowanego złośliwego oprogramowania" – czytamy.
Poznaj najlepsze samorządy w Polsce
Dokument wspomina też o ataku grupy Wicked Panda, choć tu nie podaje konkretnego celu. Zdaniem ABW inne APT, Mythic Leopard, miało zaatakować polskie ministerstwa, z wykorzystaniem infrastruktury rządowej innych państw. Z kolei grupa Turla, znana też jako Venomous Bear, miała próbować szpiegować polskie instytucje, mając na celu „pozyskanie informacji powszechnie niedostępnych".
O narodowości szpiegów raport nie wspomina. Wyspecjalizowane firmy, które łączą Kimsuky z Koreą Płn., często twierdzą, że Gamaredon i Turla to Rosjanie, Wicked Panda – Chińczycy, a Mythic Leopard – Pakistańczycy. Często zakłada się, że działają one w ramach służb swoich państw.
Pytania o narodowość
Mariusz Burdach z firmy Prevenity, osłaniającej polskie instytucje, mówi, że przypisywanie APT do poszczególnych państw bazuje na poszlakach, choć czasami mocnych. – Atakujący starają się przeprowadzać ataki z serwerów zlokalizowanych w innych krajach, ale czasami można spróbować wyjaśnić, skąd miało miejsce faktyczne połączenie. Analizuje się też wiele czynników takich jak narzędzia wykorzystywane przez atakujących, użycie tych samych błędów w oprogramowaniu, scenariusze ataków, podobne incydenty z przeszłości oraz prawdopodobne motywacje – wylicza.
Dlaczego w 2020 r. ataków było aż tak wiele? ABW łączy to z pandemią. Wyjaśnia, że najwięcej faktycznych incydentów zarejestrowano w drugim kwartale przy relatywnie małej liczbie zgłoszeń, co było prawdopodobnie spowodowane lockdownem.
– Wprowadzenie z dnia na dzień pracy zdalnej spowodowało, że niektóre scenariusze dla cyberprzestępców stały się łatwiejsze do przeprowadzenia – mówi Mariusz Burdach.
Mirosław Maj założyciel i prezes Fundacji Bezpieczna Cyberprzestrzeń
Lockdown i upowszechnienie pracy zdalnej zwiększyło coś, co nazywamy „exploitation surface", czyli powierzchnię możliwego ataku. Praca zdalna odbywa się w najróżniejszy sposób, a w ekosystemy informatyczne organizacji zaczynają wchodzić mikroekosystemy poszczególnych pracowników. Specjaliści od zabezpieczeń siłą rzeczy nie mają nad nimi pełnej kontroli, bo musieliby zapanować nad np. wszystkimi routerami, które pracownicy mają w swoich domach. Zwiększyła się też liczba interakcji zdalnych, więc nie powinno dziwić, że przybyło też zagrożeń w cyberprzestrzeni. Najgorsze były początki, bo wiele organizacji w trosce o ciągłość swojego funkcjonowania decydowało się na proste rozwiązania, obarczone ryzykiem. Z czasem powinno być lepiej, jednak problem łatwo nie zniknie.
