Zespół CERT Polska działa w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) od 19 lat i monitoruje zagrożenia związane z cyberbezpieczeństwem użytkowników internetu w Polsce. Regularnie przygotowuje także raport będący podsumowaniem zagrożeń w internecie w danym roku.
Siewierski wspólnie z pozostałymi pracownikami zespołu CERT Polska przeprowadził analizę działań cyberprzestępców, a wyniki zaprezentował w środę na XIX Konferencji na temat bezpieczeństwa teleinformatycznego Secure 2015.
Cyberprzestępcy wykorzystywali logotyp Poczty Polskiej
Pierwsze informacje o nowym ataku prowadzonym przez cyberprzestępców, w której wykorzystywany był logotyp i nazwa Poczty Polskiej, pojawiły się w mediach w maju br. E-maile informowały o rzekomo nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użytkowników, w zależności od wykorzystywanej przez nich przeglądarki internetowej, do pliku o rozszerzeniu .exe bądź .apk. Następnie komunikat zawarty na stronie internetowej prosił o pobranie pliku w wersji pdf, uruchomienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internauci pobierali na swoje urządzenia złośliwe oprogramowanie o nazwie TorrentLocker, które szyfrowało pliki na dysku użytkownika, a za ich odszyfrowanie żądało okupu.
Ataki miały skuteczność powyżej 41 proc.
- Tylko w drugiej połowie sierpnia z fałszywą stroną połączyło się ponad 15 tysięcy unikalnych adresów IP, z których większość pochodziła z Polski. Z dużym prawdopodobieństwem możemy powiedzieć, że liczba 15 tys. dotyczy poszczególnych użytkowników. Spośród nich, aż 6388 pobrało szkodliwe oprogramowanie – powiedział Siewierski.
Oznacza to, że prowadzone ataki miały skuteczność powyżej 41 proc. - Stanowi to niezwykle wysoką liczbę jak na atak tego typu, szczególnie biorąc pod uwagę fakt, że już w maju media szeroko informowały o występowaniu takiego zagrożenia w internecie – wskazał ekspert.
Dodał, że w tym przypadku, – co było pewną nowością – atakowani byli zarówno użytkownicy urządzeń stacjonarnych, jak i mobilnych. Siewierski powiedział, że za atakami najprawdopodobniej stoi międzynarodowa grupa przestępcza, która odpowiada za podobne działania przeprowadzone m.in. w Hiszpanii, Wielkiej Brytanii czy Australii. Eksperci z CERT–u roboczo nazwali ją „Grupą Pocztową”.
- Nazwa grupy jest pochodną przyjętego przez nią schematu atakowania, który był podobny w wielu innych krajach. W każdym z państw cyberprzestępcy podszywali się pod przedsiębiorstwo świadczące usługi pocztowe, wykorzystując jego logo, i inne charakterystyczne elementy – wyjaśnił ekspert. Wskazał, że o tym, iż ataki wydają się być dokonane przez tę samą grupę świadczy nie tylko sposób działania, lecz także wykorzystanie podobnej infrastruktury sieciowej i podobnego złośliwego oprogramowania.
PAP, awi