Europa atakowana ze swojego podwórka

haker

Jak wynika z najnowszej analizy zagrożeń przeprowadzonej przez F5 Labs[1], Europa jest celem większej liczby ataków przeprowadzanych z jej własnego terenu niż jakikolwiek inny region świata. Większość ataków jest inicjowana z adresów IP zlokalizowanych w Holandii, a w dalszej kolejności, z tych znajdujących się w Stanach Zjednoczonych, Chinach, Rosji i Francji.

Europejskie systemy są atakowane z adresów IP z całego świata. Krajem, z którego pochodziło najwięcej ataków, okazała się Holandia. Na kolejnych miejscach pierwszej dziesiątki znalazły się: Stany Zjednoczone, Chiny, Rosja, Francja, Iran, Wietnam, Kanada, Indie i Indonezja. Warto zauważyć, że z Holandii pochodziło 1,5-krotnie więcej ataków na systemy europejskie niż ze Stanów Zjednoczonych i Chin łącznie, a także 6-krotnie więcej niż z Indonezji.

Najczęściej wykorzystywane w atakach sieci (ASN) i dostawcy usług internetowych

Trzy sieci, z których wykryto najwięcej ataków (holenderska sieć HostPalace Web Solutions, francuska – Online SAS i NForce Entertainement z Holandii) to dostawcy usług hostingowych, którzy regularnie pojawiają się na sporządzanych przez F5 Labs listach sieci najczęściej używanych przez cyberprzestępców[2].

72% wszystkich zarejestrowanych w raporcie numerów ASN[3] reprezentuje dostawców usług internetowych, pozostałe 28% to dostawcy usług hostingowych. W ramach przeprowadzonych badań analitycy F5 Labs wskazali też 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie.[4] Z tą listą powinni zapoznać się przedsiębiorcy i sprawdzić dzienniki swoich sieci pod kątem połączeń z wyszczególnionymi w niej adresami IP. Ze względów bezpieczeństwa adresom tym powinni się również przyjrzeć właściciele sieci.

Najczęściej atakowane porty

Dzięki analizie najczęściej atakowanych portów, ekspertom z F5 Labs udało się określić typ systemów, które znajdują się na celowniku cyberprzestępców. Najczęściej atakowany port w Europie (port 5060) wykorzystywany jest w telefonii internetowej do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Jak wynika z analiz ruchu związanego z atakami ukierunkowanymi na określoną lokalizację, port ten regularnie jest celem intensywnych ataków w trakcie globalnych konferencji dyplomatycznych, takich jak niedawne ważne szczyty Donalda Trumpa z Kim Dzong Unem[5] i Władimirem Putinem[6].

Skuteczne zabezpieczenie

Według ekspertów F5 firmy powinny nieustannie skanować swoje systemy i porty pod kątem zewnętrznych luk w zabezpieczeniach, a każdy system narażony na zewnętrzne ataki na porty najczęściej wybierane przez przestępców, powinien być traktowany priorytetowo przy konfiguracji zapory lub zarządzaniu lukami w zabezpieczeniach.

„Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki. W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług internetowych, aby mogli oni wyłączyć systemy przestępców” — mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs.

Kłopotliwe może być prowadzenie dużych czarnych list, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy usług internetowych. Mogą one bowiem zapewniać dostęp do Internetu w miejscach zamieszkania klientów atakowanej firmy. „W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia” – dodaje Sara Boddy.

Zablokowanie ruchu z całej sieci o konkretnym numerze ASN lub od określonego dostawcy usług internetowych mogłoby uniemożliwić współpracę użytkowników z daną firmą. W takim przypadku lepszym rozwiązaniem będzie zablokowanie wyłącznie dostawcy usług internetowych obsługującego kraj, z którym dane przedsiębiorstwo nie współpracuje w oparciu o geolokalizację na poziomie kraju.

###

50 najczęściej atakujących sieci (numerów ASN) od największej do najmniejszej liczby ataków.

ASN ASN Organization Country Industry
133229 HostPalace Web Solution PVT LTD Netherlands Hosting
12876 Online S.a.s. France Hosting
43350 NForce Entertainment B.V. Netherlands ISP
16276 OVH SAS France Hosting
36352 ColoCrossing United States ISP
4134 Chinanet China ISP
50113 MediaServicePlus LLC Russia ISP
56005 Henan Telcom Union Technology Co., LTD China Hosting
45899 VNPT Corp Vietnam ISP
17974 PT Telekomunikasi Indonesia Indonesia ISP
4837 CNCGROUP China169 Backbone China ISP
44244 Iran Cell Service and Communication Company Iran ISP
3462 Data Communication Business Group Taiwan ISP
7552 Viettel Corporation Vietnam ISP
197207 Mobile Communication Company of Iran PLC Iran ISP
58271 FOP Gubina Lubov Petrivna Ukraine Hosting
8048 CANTV Servicios Venuzuela ISP
4766 Korea Telecom South Korea ISP
12880 Information Technology Company (ITC) Iran ISP
18403 The Corporation for Financing & Promoting Tech… Vietnam ISP
6739 Vodafone Ono, S.A. Spain ISP
45090 Shenzhen Tencent Computer Systems Company Limited China ISP
9121 Turk Telekom Turkey ISP
206792 IP Khnykin Vitaliy Yakovlevich Russia ISP
23650 CHINANET jiangsu province backbone China ISP
9829 National Internet Backbone India ISP
31549 Aria Shatel Company Ltd Iran ISP
8151 Uninet S.A. de C.V. Mexico ISP
49877 RM Engineering LLC Russia Hosting
12389 PJSC Rostelecom Russia ISP
9299 Philippine Long Distance Telephone Company Philippines ISP
4812 China Telecom (Group) China ISP
4808 China Unicom Beijing Province Network China ISP
8452 TE Data Norway ISP
16125 UAB Cherry Servers Lithuania Hosting
29073 Quasi Networks LTD. Netherlands Hosting
60999 Libatech SAL Lebanon ISP
31034 Aruba S.p.A. Italy Hosting
9498 BHARTI Airtel Ltd. India ISP
7922 Comcast Cable Communications, LLC United States ISP
44050 Petersburg Internet Network ltd. Russia ISP
60781 LeaseWeb Netherlands B.V. Netherlands Hosting
42590 Telemost LLC Ukraine Hosting
393406 Digital Ocean, Inc. United States Hosting
43754 Asiatech Data Transfer Inc PLC Iran Hosting
23969 TOT Public Company Limited Thailand ISP
18881 TELEFÔNICA BRASIL S.A Brazil ISP
16509 Amazon.com, Inc. United States Hosting
55577 Atria Convergence Technologies pvt ltd India ISP
4230 CLARO S.A. Brazil ISP

 

Note: The Quasi Networks (a known bulletproof hosting provider that did not respond to abuse complaints), ASN 29073 has been “unassigned” as of March 24th, 2019.

Organizations should check their network logs for connections from these IP addresses, and the owning networks should investigate these IP addresses for abuse. The networks of these IPs show up in the top attacking ASN’s list, but these top attacking IP’s are unique to Europe except for 2: 62.210.83.136 and 46.166.151.117.

Source IP ASN Organization ASN ISP Country
23.249.175.100 ColoCrossing 36352 Net3 United States
42.51.231.67 Henan Telcom Union Technology Co., LTD 56005 CNISP-Union Technology (Beijing) Co. China
194.63.142.249 MediaServicePlus LLC 50113 MediaServicePlus LLC Russia
37.49.231.160 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
37.49.231.132 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.84.142 Online S.a.s. 12876 Free SAS France
185.53.88.46 Vitox Telecom 209299    Estonia
185.254.122.17 UGB Hosting OU 206485 Russia
37.49.231.188 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
167.114.1.144 OVH SAS 16276 OVH Hosting Canada
185.40.4.42 MediaServicePlus LLC 50113 MediaServicePlus LLC Russia
62.210.83.56 Online S.a.s. 12876 Free SAS France
167.114.208.173 OVH SAS 16276 OVH Hosting Canada
37.49.231.187 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.86.106 Online S.a.s. 12876 Free SAS France
62.210.86.117 Online S.a.s. 12876 Free SAS France
62.210.88.58 Online S.a.s. 12876 Free SAS France
62.210.83.104 Online S.a.s. 12876 Free SAS France
37.49.231.236 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
37.49.231.122 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.83.136 Online S.a.s. 12876 Free SAS France
176.119.7.170 FOP Gubina Lubov Petrivna 58271 FOP Gubina Lubov Petrivna Ukraine
216.170.120.176 ColoCrossing 36352 Net3 United States
185.107.83.129 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
185.107.80.62 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
185.107.80.153 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
46.166.142.35 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
192.227.220.213 ColoCrossing 36352 ColoCrossing United States
46.166.187.179 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
185.107.80.31 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
46.166.187.2 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
210.124.164.133 Korea Telecom 4766 LG DACOM Corporation Republic of Korea
46.166.139.6 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
167.114.174.232 OVH SAS 16276 OVH Hosting Canada
46.166.187.4 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
185.53.88.71 Vitox Telecom 209299    Estonia
62.210.84.176 Online S.a.s. 12876 Free SAS France
46.166.148.3 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
149.56.45.214 OVH SAS 16276 OVH Hosting Canada
62.210.86.103 Online S.a.s. 12876 Free SAS France
37.49.231.77 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
46.166.142.27 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
46.166.187.177 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
137.74.180.145 OVH SAS 16276 OVH SAS France
178.215.173.22 Telemost LLC 42590 Telemost LLC Ukraine
37.49.231.159 HostPalace Web Solution PVT LTD 133229 Estro Web Services Private Limited Netherlands
62.210.142.89 Online S.a.s. 12876 Free SAS France
62.210.84.136 Online S.a.s. 12876 Free SAS France
46.166.151.117 NForce Entertainment B.V. 43350 NFOrce Entertainment B.V. Netherlands
62.210.84.153 Online S.a.s. 12876 Free SAS France

 Top 20 attacked ports and services

top

[1] Analitycy F5 Labs we współpracy z firmą Baffin Bay Networks zajmującą się analizą zagrożeń podjęli się zbadania globalnego środowiska ataków, aby lepiej zrozumieć zagrożenia w poszczególnych regionach, wyodrębnić wspólne cechy przestępców i powtarzające się atakowane porty oraz wskazać elementy unikalne. W serii przeprowadzonych badań przeanalizowano ataki, które miały miejsce w tym samym 90-dniowym okresie w Europie, Stanach Zjednoczonych, Kanadzie i Australii. Wnioski z badania F5 Labs zostały wyciągnięte na podstawie analizy ruchu związanego z atakami ukierunkowanymi na europejskie adresy IP w okresie od 1 grudnia 2018 r. do 1 marca 2019 r.

[2] https://www.f5.com/labs/search._hunt_for_IoT

[3] Autonomous System – zbiór adresów IP pod wspólną administracyjną kontrolą, ze spójną routing policy

[4] https://www.f5.com/labs/articles/threat-intelligence/regional-threat-perspectives–europe

[5] https://www.f5.com/labs/articles/threat-intelligence/russian-attacks-against-singapore-spike-during-trump-kim-summit

[6] https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting