Przejdź do głównej zawartości

Szpiegostwo napędza globalne cyberataki 

W ubiegłym roku cyberataki dotknęły 120 krajów. Napędzane były finansowanymi przez rządy operacjami wywiadowczymi i wzrostem liczby działań mających na celu wywieranie wpływu (IO). Blisko połowa z nich została wymierzona w państwa członkowskie NATO, a ponad 40 proc. było skierowanych w instytucje rządowe lub organizacje z sektora prywatnego związanego z budową i utrzymaniem infrastruktury krytycznej. Podczas gdy zeszłoroczne głośne ataki często skupione były na niszczeniu lub osiąganiu korzyści finansowych za pomocą oprogramowania ransomware, dane pokazują, że obecnie największą motywacją cyberprzestępców jest kradzież informacji, potajemne monitorowanie komunikacji lub manipulowanie opinią społeczną. 

Przykładowo: 

  • Rosyjski wywiad ponownie skupił się na aktywności szpiegowskiej, wspierając działania zbrojne w Ukrainie, jednocześnie kontynuując tam destrukcyjne cyberataki i podejmując bardziej złożone operacje wywiadowcze;  
  • Działania Iranu, niegdyś skoncentrowane na niszczeniu sieci komunikacyjnych swoich celów, są dziś skoncentrowane na wzmacnianiu przekazów manipulacyjnych służących realizacji geopolitycznych planów lub uzyskiwaniu dostępu do danych przepływających przez wrażliwe sieci;  
  • Chiny zwiększyły zakres wykorzystania kampanii szpiegowskich, aby pozyskać informacje wywiadowcze, mogące zasilić inicjatywę Pasa i Szlaku lub ich politykę regionalną. Celem było szpiegowanie Stanów Zjednoczonych, w tym kluczowych obiektów amerykańskiej armii oraz uzyskanie dostępu do sieci podmiotów infrastruktury krytycznej;   
  • Podmioty z Korei Północnej próbowały potajemnie wykraść poufne dane. Ich celem była firma zajmująca się technologią łodzi podwodnych. Oprócz tego przeprowadzono cyberataki do kradzieży setek milionów w kryptowalucie. 

To tylko kilka spostrzeżeń z czwartego dorocznego raportu Microsoft Digital Defense Report, który bada trendy między lipcem 2022 r. a czerwcem 2023 r. w zakresie działalności państw, cyberprzestępczości i strategii obronnych. 

Atakowanych jest coraz więcej krajów i sektorów rynku 

W ubiegłym roku najczęściej atakowanymi krajami były Stany Zjednoczone, Ukraina i Izrael. Ponadto odnotowano globalny wzrost tego typu incydentów. Dotyczy to w szczególności krajów globalnego Południa, zwłaszcza Ameryki Łacińskiej i Afryki Subsaharyjskiej. Iran zintensyfikował swoje działania na Bliskim Wschodzie. W gronie najczęściej atakowanych celów znalazły się organizacje zaangażowane w kształtowanie i realizację strategii politycznych. 

Najczęściej atakowanymi krajami w podziale na regiony* były: 

Europa  Bliski Wschód i Afryka Północna  Azja i Pacyfik 
  1. Ukraina (33%)  
  1. Izrael (38%)  
  1. Korea (17%)  
2. Wielka Brytania (11%)   2. Zjednoczone Emiraty Arabskie (12%)   2. Tajwan (15%)  
3. Francja (5%)   3. Arabia Saudyjska (9%)   3. Indie (13%)  
4. Polska (5%)   4. Jordania (6%)   4. Malezja (6%)  
5. Włochy (4%)   5. Irak (5%)   5. Japonia (5%)  
6. Niemcy (3%)   6. Bahrajn (4%)   6. Australia (5%)  

*Pełne zestawienie danych można znaleźć w raporcie.  

Rosja i Chiny skupiają się na mniejszościach narodowych 

Zarówno Rosja jak i Chiny zwiększają zakres swoich operacji przeciwko różnym mniejszościom narodowym. Celem Rosji jest zastraszenie Ukraińców i zasianie nieufności między uchodźcami a społecznościami ich przyjmującymi, zwłaszcza w Polsce i krajach bałtyckich. Natomiast Chiny wykorzystują rozległą sieć skoordynowanych kont na dziesiątkach platform do rozpowszechniania ukrytej propagandy. Dociera ona bezpośrednio do globalnych społeczności chińskojęzycznych, oczerniając amerykańskie instytucje i promując pozytywny wizerunek Chin współpracując z licznymi wielojęzycznymi influencerami.  

Zbieżność operacji wpływu z cyberatakami 

Podmioty państwowe coraz częściej wykorzystują operacje wpływu wraz z działaniami w cyberprzestrzeni w celu rozpowszechniania preferowanych narracji propagandowych. Ich celem jest manipulowanie opinią społeczną i ogólnoświatową w celu podważenia instytucji demokratycznych w krajach niesprzyjających – co jest szczególnie niebezpieczne w kontekście konfliktów zbrojnych i wyborów krajowych. Na przykład po zaatakowaniu Ukrainy Rosja konsekwentnie synchronizowała swoje operacje informacyjne z działaniami wojskowymi i cyberatakami. Podobnie w lipcu i wrześniu 2022 r. po destrukcyjnych cyberatakach na rząd Albanii, Iran przeprowadził skoordynowaną kampanię wpływu, która trwa do dzisiaj. 

Trendy w poszczególnych krajach 

W badanym okresie, oprócz wzrostu aktywności zagrożeń, zaobserwowano również wyszczególnione niżej trendy wśród najbardziej aktywnych podmiotów państw narodowych. 

Celem Rosji byli sojusznicy Ukrainy z NATO 

Rosjanie rozszerzyli zakres swoich działań związanych z Ukrainą, aby atakować sojuszników Kijowa, głównie członków NATO. W kwietniu i maju 2023 r. Microsoft zaobserwował wzrost aktywności wymierzonej w zachodnie organizacje, z których 46 proc. znajdowało się w państwach członkowskich NATO, zwłaszcza w Stanach Zjednoczonych, Wielkiej Brytanii i Polsce. Kilku rosyjskich aktorów państwowych podawało się za zachodnich dyplomatów i ukraińskich urzędników, próbując uzyskać dostęp do kont. Celem było uzyskanie wglądu w zachodnią politykę zagraniczną wobec Ukrainy, poznanie planów obronnych oraz szczegółów dotyczących dochodzenia w sprawie zbrodni wojennych.  

Chiny celują w obronę USA, kraje Morza Południowochińskiego i partnerów Inicjatywy Pasa i Szlaku 

Szeroko zakrojone i wysoce wyrafinowane działania Chin odzwierciedlają ich dążenie do globalnego wpływu i gromadzenia danych wywiadowczych. Celem ataków jest najczęściej amerykańska infrastruktura obronna i krytyczna, kraje graniczące z Morzem Południowochińskim (zwłaszcza Tajwan), a nawet strategiczni partnerzy Chin. Oprócz wielu ataków na amerykańską infrastrukturę opisanych w raporcie, Microsoft zaobserwował również, że chińscy szpiedzy atakują partnerów Chin w ramach inicjatywy Pasa i Szlaku, takich jak Malezja, Indonezja i Kazachstan.  

Iran atakuje Afrykę, Amerykę Łacińską i Azję 

W ubiegłym roku niektóre irańskie podmioty państwowe zwiększyły złożoność swoich ataków. Iran nie tylko obrał za cel kraje zachodnie, które jego zdaniem podsycają niepokoje w Iranie, ale także rozszerzył swój zasięg geograficzny, obejmując więcej krajów azjatyckich, afrykańskich i latynoamerykańskich. Jeżeli chodzi o operacje wpływu, Iran forsował narracje mające na celu wzmocnienie palestyńskiego ruchu oporu, sianie paniki wśród obywateli Izraela, podsycanie szyickich niepokojów w krajach arabskich Zatoki Perskiej i zapobieganie normalizacji stosunków arabsko-izraelskich. Iran podjął również wysiłki, aby zwiększyć koordynację swoich działań z Rosją.  

Korea Północna celuje m.in. w rosyjskie organizacje  

W ciągu ostatniego roku, Korea Północna zwiększyła stopień zaawansowania swoich operacji  w cyberprzestrzeni, zwłaszcza w zakresie kradzieży kryptowalut i ataków na łańcuchy dostaw. Ponadto Korea Północna wykorzystuje wiadomości e-mail typu spear-phishing i profile LinkedIn do atakowania ekspertów z Półwyspu Koreańskiego zlokalizowanych w różnych częściach świata, aby gromadzić dane wywiadowcze. Pomimo niedawnego spotkania Władimira Putina i Kim Dzong Una, Korea Północna atakuje Rosję, biorąc za cel energię jądrową i obronność, gromadząc dane wywiadowcze dotyczące polityki rządu. 

Sztuczna inteligencja stwarza nowe zagrożenia i nowe możliwości obrony 

Atakujący już teraz wykorzystują sztuczną inteligencję do udoskonalania wiadomości phishingowych i usprawniania operacji wywierania wpływu za pomocą syntetycznych obrazów. Ale sztuczna inteligencja będzie miała również kluczowe znaczenie dla skutecznej obrony, automatyzując i wspomagając przewidywanie zagrożeń, ich wykrywanie i analizowanie, a także reagowanie na nie. AI może również umożliwić dużym modelom językowym (LLM) generowanie spostrzeżeń i zaleceń w języku naturalnym na podstawie złożonych danych, pomagając analitykom zwiększyć skuteczność i szybkość reakcji. 

Dostrzegamy także, że wykorzystanie sztucznej inteligencji odwraca falę cyberataków. Przykładowo w Ukrainie technologia ta pomogła obronić się przed atakami rosyjskimi. 

Sztuczna inteligencja przekształca wiele aspektów życia społecznego. Musimy zatem stosować się do zasad Responsible AI, które zbudują zaufanie użytkowników do tej technologii, zapewnią prywatność danych i przyniosą długoterminowe korzyści. Generatywne modele sztucznej inteligencji wymagają od nas rozwijania praktyk w zakresie cyberbezpieczeństwa i modeli zagrożeń, aby sprostać nowym wyzwaniom, takim jak tworzenie realistycznych treści – w tym tekstu, obrazów, wideo i audio – które mogą być wykorzystywane przez podmioty stanowiące zagrożenie do rozpowszechniania dezinformacji lub tworzenia złośliwego kodu. Aby sprostać tym pojawiającym się zagrożeniom, wszystkie nasze produkty i usługi AI są opracowywane i wykorzystywane w sposób zgodny z naszymi zasadami.  

Stan cyberprzestępczości 

Gra w kotka i myszkę między cyberprzestępcami a odpierającymi ataki nadal trwa. Mimo że w ciągu ostatniego roku grupy stanowiące zagrożenie znacznie przyspieszyły tempo swoich ataków, wbudowane zabezpieczenia w produktach Microsoft zablokowały dziesiątki miliardów przypadków złośliwego oprogramowania, udaremniły 237 miliardów prób ataków typu brute-force na hasła i ograniczyły 619 000 ataków typu Distributed Denial of Service (DDoS), których celem było wyłączenie serwera, usługi lub zablokowanie sieci poprzez przeciążenie ich natłokiem ruchu internetowego. 

Przestępcy dążą również do zapewnienia sobie większej anonimowości i skuteczności, wykorzystując zdalne szyfrowanie do zacierania śladów, a także narzędzia oparte na chmurze, takie jak maszyny wirtualne. Jednak dzięki coraz silniejszym partnerstwom prywatno-publicznym są oni coraz częściej na celowniku organów ścigania. Dla przykładu, operator oprogramowania ransomware znany jako “Target” został zdemaskowany, a następnie aresztowany i postawiony w stan oskarżenia. Jednak przestępcy nadal szukają podatności, które pozwolą im dostać się do systemów. Dlatego też niezbędne jest przyspieszenie działań, aby być o krok przed nimi.  

Ataki ransomware stają się szybsze i coraz bardziej wyrafinowane 

Dane telemetryczne firmy Microsoft wskazują, że od września 2022 r. organizacje odnotowały wzrost liczby niezautomatyzowanych, lecz obsługiwanych przez ludzi ataków ransomware o 200 proc. Zazwyczaj wymierzane były one w całą organizację, a żądany okup był dostosowywany do sytuacji.  

Atakujący rozwijają także swoje metody, aby zminimalizować możliwość ich wykrycia, a 60 proc. z nich wykorzystuje zdalne szyfrowanie, co sprawia, że typowe środki zaradcze są nieskuteczne. 

Takie ataki są warte uwagi również ze względu na sposób, w jaki próbują uzyskać dostęp do niezarządzanych lub prywatnych urządzeń, które były celem ponad 80 proc. przypadków naruszeń bezpieczeństwa w badanym okresie.  Twórcy oprogramowania ransomware coraz częściej wykorzystują luki w mniej popularnym oprogramowaniu, co utrudnia przewidywanie ataków i obronę przed nimi.  

Przestępcy wymuszający okup grożą również ujawnieniem skradzionych informacji, aby wywrzeć presję na ofiarach i zmusić je do zapłaty. Od listopada 2022 r. zaobserwowaliśmy dwukrotny wzrost liczby potencjalnych przypadków naruszenia danych po tym, jak cyberprzestępcy włamali się do środowiska. Ale nie wszystkie kradzieże informacji są związane z oprogramowaniem ransomware. Część może służyć zbieraniu danych uwierzytelniających lub szpiegostwu państwowemu. 

Gwałtownie rośnie liczba ataków opartych na hasłach i uwierzytelnianiu wieloczynnikowym (MFA)  

MFA to coraz bardziej powszechna metoda uwierzytelniania, która wymaga od użytkowników podania dwóch lub więcej „elementów” identyfikacji w celu uzyskania dostępu do strony internetowej lub aplikacji – takich jak hasło wraz z rozpoznawaniem twarzy lub jednorazowym kodem dostępu. Wdrożenie uwierzytelniania wieloskładnikowego jest jednym z najłatwiejszych i najskuteczniejszych zabezpieczeń, jakie organizacje mogą wdrożyć, zmniejszając ryzyko udanego ataku o 99,2 proc. Jednak atakujący coraz częściej wykorzystują metodę “zmęczenia MFA”, bombardując użytkowników powiadomieniami MFA w nadziei, że w końcu je zaakceptują i zapewnią im dostęp do swoich zasobów.  

W ciągu ostatniego roku firma Microsoft zaobserwowała około 6000 prób ataków metodą tzw. „zmęczenia MFA” dziennie. Ponadto w pierwszym kwartale 2023 r. odnotowano drastyczny dziesięciokrotny wzrost liczby ataków na tożsamość w chmurze opartych na hasłach, zwłaszcza w sektorze edukacji – z około 3 miliardów do ponad 30 miliardów miesięcznie. Średnio to 4000 ataków na hasła na sekundę wymierzonych w tożsamości w chmurze firmy Microsoft w tym roku. 

Jedyną bezpieczną obroną jest obrona zbiorowa 

Skala i charakter zagrożeń przedstawionych w Microsoft Digital Defense Report mogą być przytłaczające. Jednak w świecie technologii czynione są ogromne postępy, aby pokonać agresorów, a jednocześnie tworzone są silne partnerstwa, które wykraczają poza granice, branże i podziały prywatno-publiczne. Współpraca ta odnosi coraz większe sukcesy w zapewnianiu nam wszystkim bezpieczeństwa, dlatego tak ważne jest, abyśmy nadal ją poszerzali i pogłębiali. Aż 75 proc. uprawnionych obywateli w krajach demokratycznych będzie miało możliwość głosowania w ciągu najbliższego półtora roku. Utrzymanie bezpieczeństwa wyborów i silnych instytucji demokratycznych jest kamieniem węgielnym naszej wspólnej obrony.