Skąd pochodzą cyberataki na Polskę?
Cyberataki w kierunku Polski najczęściej pochodzą z Rosji - to aż 65 493 próby ataków dziennie.
- Rosja przoduje jako źródło ataków globalnie, jest to związane z intensywnym działaniem przestępców znajdujących się w tym kraju (np. sprzedających sieci botów, czy organizujących kampanie ransomware), ale również ze słabym poziomem zabezpieczeń i monitoringu tamtejszej infrastruktury internetowej - mówi Leszek Tasiemski, lider specjalnej jednostki CSS firmy F-Secure.
Drugie miejsce, jeśli chodzi o podejrzany ruch sieciowy skierowany w stronę Polski stanowią adresy IP przynależne do Niemiec z średnią liczbą 13 390 prób ataków dziennie.
- Czołowa pozycja Niemiec może wynikać z geograficznej bliskości do Polski. Może to być czysta optymalizacja, gdzie skanowane są cele w sieciach o niskim opóźnieniu transmisji - komentuje Leszek Tasiemski.
Wysoko na liście znajduje się też Holandia. Ponownie, nie tylko w odniesieniu do celów w Polsce, ale również globalnie. W tym przypadku podejrzenie pada na słabo zabezpieczone serwerownie (data center), które są wykorzystywane do ataków przeprowadzanych przez przestępców z innych krajów - w 2016 roku były to głównie ataki na USA.
- W Internecie geografia jest rzeczą bardzo płynną i ulotną. Musimy pamiętać, że to, co widzimy jako źródło to ostatni "przystanek", którego atakujący użył, nie jest to jednoznaczne z fizycznym położeniem atakującego. Możliwe, że haker z Polski, używa serwera w Rosji, żeby zaatakować cel w Brazylii - wyjaśnia Tasiemski.
Dzięki sieci Honeypot możliwe było również stworzenie mapy pokazującej miejsca najczęstszego występowania ataków w naszym kraju.
- Jeśli spojrzymy na mapę celów ataków, nie dziwi największe nagromadzenie w przypadku Warszawy, Krakowa czy Aglomeracji Katowickiej. Po prostu, im więcej użytkowników, tym więcej zaatakowanych urządzeń. Dodatkowo, w największych miastach znajdują się siedziby (i węzły internetowe) dostawców usług internetowych (ISP), co jeszcze bardziej intensyfikuje ruch sieciowy w tych miejscach - mówi Leszek Tasiemski.
Ataki zidentyfikowane przez sieć F-Secure to:
- reckon, czyli zautomatyzowana działalność polegająca na skanowaniu sieci i wykrywaniu niezabezpieczonych urządzeń do zainfekowania (wszystkie platformy, coraz częściej urządzenia z kategorii Internetu rzeczy - IoT);
- tworzenie botnetów, z użyciem exploit kitów (Linux jako platforma), takie gotowe botnety są potem wynajmowane do dalszej działalności, jak ataki DDoS, rozsyłanie SPAMu czy pozyskiwanie waluty Bitcoin;
- próby infekcji złośliwym oprogramowaniem (platforma Windows), jest to głównie ransomware (oprogramowanie szyfrujące dane dla okupu) oraz adware (oprogramowanie serwujące większą ilość reklam, często o ofensywnym charakterze - np. erotyczne).