Metryki dla Polskiej CyberPrzestrzeni

Czy można ocenić i monitorować stan bezpieczeństwa i rozwoju Polskiej cyberprzestrzeni? Będziemy próbowali odpowiedzieć na te pytanie w naszym nowym projekcie.


Do naszego projektu Metryki dodaliśmy statystyki z programu GreyNoise. Narzędzie to analizuje czy z danego adresu IP nie wychodzi podejrzany ruch który może być potwierdzeniem zainfekowania systemu. Na podstawie tych danych stworzyliśmy trzy nowe wykresy .


W ramach projektu Metryki dla Polskiej CyberPrzestrzeni analizujemy dane związane z bezpieczeństwem polskiej publicznej infrastruktury w internecie. W ostatnim czasie zaobserwowaliśmy znaczący wzrost liczby polskich adresów na liście prowadzonej przez portal URLhaus, wykres. Znajdują się na niej adresy IP i URL, które służą do dystrybucji złośliwego oprogramowania.

W ciągu zaledwie jednego tygodnia liczba złośliwych adresów zwiększyła się z 56 do 143. Z naszych analiz wynika, że wzrost został spowodowany infekcjami polskiej infrastruktury IT przez botnety Mozoi, Mirai i malware Flubot.

Nazwa złośliwego oprogramowania Liczba hostów
Inne 6
Gafgyt 1
Mirai 2
Flubot 12
Mozi 86

Mirai

Mirai to złośliwe oprogramowanie, które atakuje routery i urządzenia IoT (internet of things) w celu automatycznego wykorzystywania ich w dalszych atakach. Jego historia jest bardzo dobrze opisana w artykule na portalu Krebs on security. O samym botnecie możecie przeczytać na Wiki.

Po tym jak kod botnetu został publicznie udostępniony, jego warianty nadal infekują urządzenia IoT. Zainfekowane urządzenia są wykorzystywane do:

Dwa hosty z listy URLhaus zostały przejęte przez przestępców wykorzystujących ich słabe zabezpieczenia, i są teraz wykorzystywane do dystrybucji plików botnetu. Samych zainfekowanych urządzeń jest w Polsce, jak podaje serwis Grey Noise, około 2688.

Jak widać, przestępcy nie omijają niezabezpieczonych serwerów i wykorzystują je w celu zarabiania pieniędzy i atakowania innych użytkowników.

Serwis Grey Noise udostępnił nam API dzięki któremu dodamy ich dane do wykresów za co bardzo dziękujemy.

Flubot

Malware bankowy, który przez SMS wysyła linki prowadzące do przejętych serwerów, na których jest hostowana aplikacja umożliwiająca operatorowi malware wykradnięcie z telefonu danych bankowych i kart kredytowych. Malware oferuje również możliwość zainstalowania funkcji szpiegowskich takich jak wykradanie danych kontaktowych. Pełniejsza analiza Flubota dostępna jest na stronie.

Mozi

Ostatnio bardzo aktywny botnet którego ruch odpowiedzialny jest za 90% ruchu wszystkich botnetów. Atakuje głównie IoT.

Przejęte hosty (67 wg URLhaus) należą głównie do jednej firmy

Botnet jest wykorzystywany do podobnych celów co Mirai. Dodatkowe informacje na jego temat można znaleźć na stronie.

Podsumowanie:

To, że podłączamy niezabezpieczone urządzenie do Internetu, nie oznacza, że narażamy tylko siebie. Nie dbając o bezpieczeństwo swoich urządzeń dajemy przestępcom możliwość wykorzystywania naszej infrastruktury do atakowania innych.

Dwa z trzech opisanych powyżej botnetów atakują głównie urządzenia IoT, których jak widac na naszych wykresach, coraz więcej jest podpiętych w Polsce do internetu. Jeśli nie wdrożymy odpowiednich zabezpieczeń dla IoT, negatywnie płynie to na nasze bezpieczeństwo, za to pozytywnie – na konta bankowe włamywaczy.


Shodan potrafi określić także typy hostów udostępnionych publicznie w Internecie. Dzięki temu możemy monitorować trendy w udostępnianiu urządzeń wykorzystywanych w przemyśle oznaczonych jako “ICS”, medycznych “medic” czy urządzeń domowych/osobistych “IOT”.

Jak widać na wykresie, najwięcej dostępnych jest urządzeń typu “IOT”, a prawie o połowę mnie urządzeń “ICS”. Wszystkie te urządzenia nie charakteryzują się wysokim poziomem bezpieczeństwa, często niosą ze sobą zagrożenia takie jak opisane przez Marcina Dudka z Polskiego CERTU w artykule “Coraz wiecej urzadzeń przemysłowych podłączonych do internetu”. Będziemy w przyszłości robić dokładniejszą analizę tych urządzeń oraz monitorować czy równolegle zwiększa się ilość incydentów bezpieczeństwa związana z nimi.


Metryki które zamierzamy sprawdzać to m. in. liczba zainfekowanych stron, liczba urządzeń IoT/ICS wystawionych do Internetu, liczba dostepnych baz danych, czy niezałatane hosty podatne na poważne luki.

Pierwsze statystyki pojawiły się już na podstronie metryki. Projekt cały czas jest rozwijany i wkrótce pojawi się tam więcej statystyk. Zachęcamy wszystkich do wysyłania swoich opinii, pomysłów oraz uwag na adres kontakt@poc.org.pl lub w wiadomości na Twitterze.