Jūs naršote internete, ir staiga:
Kas gi nutiko ? Viskas gana paprasta - Jūs apsilankėte užkrėstoje svetainėje, ir Jūsų kompiuteris buvo atakuotas. Visa tai labai realu ir vyksta Lietuvoje dabar. Įliustracijai pateikiame porą vaizdo įrašų, kaip užkrėstos lietuviškos svetainės atakuoja savo lankytojus ( video įrašuose pateikta informacija turi tai patvirtinančius įrodymus ).
Video įrašas iš svetainės anglonas.fotonija.lt. Cerber botnetas. Ataka prieš šios svetainės lankytojus užfiksuota 2017 vasario 12 d.
Video įrašas iš svetainės www.svara.lt. Cryptomix botnetas. Ataka prieš šios svetainės lankytojus užfiksuota 2017 vasario 9 d.
Tokių, savo lankytojus atakuojančių svetainių Lietuvoje yra labai daug. Šio straipsnio publikavimo dienai turime informacijos apie maždaug 150-200 aktyviai Lietuvoje veikiančių tokio pobūdžio svetainių. Ką gi šios svetainės daro savo lankytojams ? Šiuo metu pagrindinė ataka prieš lankytojus - lankytojo kompiuteryje saugomos informacijos užšifravimas ir išpirkos reikalavimas. Pagrindiniai ir aktyviausiai šiuo metu Lietuvoje aptinkami botnetai yra šie:
Štai kaip jie atrodo vartotojui:
Cerber
Osiris
Cryptomix
Užkrėstos svetainės savo lankytojus atakuoja per kelis žingsnius - visų pirma kažkokioje svetainėje yra patalpinamas žemiausio lygio kodas ( jis vartotojo naršyklę nukreipia į taip vadinamą "landing page" ), kuris vartotoją nukreipia į aukštesnio lygmens svetainę, kuri vartotoją atakuoja. Jei ataka sėkminga, kenkėjiškas kodas kreipiasi į dar aukštesnio lygmens svetainę, kad atsisiųstų papildomą kodą, kuris ir atliks galutinius veiksmus ( užšifruos bylas, perims slaptažodžius / sąskaitas ir pan. ). Atakos lygmenys abstrakčiai ( be žemiausio lygmens užkrėstų svetainių ) pavaizduoti šiame paveikslėlyje:
Šie atakos lygmenys sudaro kaip ir piramidę, kur žemiausiame lygyje yra didelis kiekis užkrėstų svetainių, o aukštesnio lygio svetainės aptarnauja daug žemesniame lygmenyje esančių svetainių. Kuo aukštesnis lygmuo, tuo svetainių skaičius mažesnis.
Užkrėstas svetaines aptikti gana sudėtinga, nes kenkėjiškas kodas sudėtingas ir slepiasi nuo tyrinėtojų. Nepaisant to, mums pavyko identifikuoti ir aukštesnio ( 2 ir 3 ) hierarchinio lygmens kenkėjiškas svetaines bei jų tinklus. Mūsų vertinimais, naudojant turimą informaciją, galima būtų sustabdyti apie 70-80% šių botnetų atakų Lietuvoje, o tai mūsų vertinimais sudarytų apie 50-60% atakų prieš Lietuvos vartotojus. Tokios atakos prieš vartotojus jau yra blokuojamos įmonėse / įstaigose, kurių gynybai naudojamos mūsų technologijos ( plačiau žr. paslaugų skiltį)
Taip yra užfiksuota keletas taip vadinamų infekuotų svetainių spiečių - t.y. dideli kiekiai infekuotu svetainių pas tam tikrus ryšio tiekėjus ar įstaigas. Kai kurios svetainės savo lankytojus atakuoja ilgiau nei metus.
Pagrindinės rekomendacijos
Saugumo testavimai
Botnetų stebėjimas
DDOS gynyba
WEB svetainių apsauga
Kibernetinio saugumo tyrimai