Z jakich krajów najczęściej przeprowadzano cyberataki na Polskę?

Leszek Tasiemski – F-Secure
Leszek Tasiemski - F-Secure

W ciągu ostatnich sześciu miesięcy Rosja podjęła ponad 2,5 miliona prób ataków na Polskę – na drugim miejscu znalazły się Niemcy, choć z dziesięciokrotnie mniejszym wynikiem.

Firma F-Secure, dostawca rozwiązań z zakresu cyberbezpieczeństwa, przedstawia dane dotyczące cyberataków na Polskę przeprowadzonych w ciągu ostatnich sześciu miesięcy. Informacje zostały uzyskane dzięki autorskiej sieci Honeypotów, czyli serwerów, które udają łatwy cel i są przynętą dla cyberprzestępców. Hakerzy atakują je i dzięki temu możliwe jest pozyskanie cennych danych oraz opracowywanie kolejnych metod walki z cyberzagrożeniami.

Cyberataki zdecydowanie najczęściej przeprowadzała Rosja, podejmując średnio 14 528 prób ataków dziennie.skąd pochodzą cyberataki

Analizując źródła ataków płynących do Polski, widzimy, że Rosja utrzymuje się na pierwszym miejscu z dziesięciokrotnie wyższym wynikiem niż Niemcy, które znalazły się na drugim miejscu listy. Rosyjskie adresy IP najczęściej próbowały uzyskać nieautoryzowany dostęp do urządzeń (protokół SSH), ale równie duży był udział połączeń na port SMTP, co wskazuje na aktywność w rozsyłaniu tzw. spamu. Jest to jedyny kraj o tego typu profilu i wygląda na to, że to z terytorium Rosji operują gangi czerpiące zyski z tego procederu. Winić za to można słabo zabezpieczoną infrastrukturę i niską skuteczność tamtejszych organów ścigania w tropieniu cybergangów – mówi Leszek Tasiemski, lider Centrum Cyberbezpieczeństwa F-Secure w Poznaniu.

Drugie miejsce, jeśli chodzi o podejrzany ruch sieciowy skierowany w kierunku Polski stanowią adresy IP przynależne do Niemiec z liczbą ponad 250 000 prób ataków przeprowadzonych w ciągu ostatnich sześciu miesięcy.

W przypadku ataków z Niemiec, jak i Francji oraz USA uwagę zwraca duży dział połączeń na port telefonii internetowej (SIP). Może mieć to związek z próbą kradzieży informacji (podsłuchy) lub spamu realizowanego drogą telefoniczną. Polega to na wykorzystywaniu skradzionej infrastruktury do wykonywania połączeń reklamowych na koszt skutecznie zaatakowanego podmiotu – komentuje Leszek Tasiemski.

Trzeci kraj najczęściej atakujący Polskę to Chiny, które od kwietnia do września br. przeprowadziły 183 000 prób cyberataków. Stany Zjednoczone oraz Francja znalazły się na kolejnych miejscach, podejmując średnio niemal 1 000 prób ataków dziennie.

Wśród zebranych danych wyróżniają się te dotyczące cyberataków z Chin. Większość ataków dotyczy prób nawiązania połączenia z popularnymi bazami danych, zarówno MSSQL jak i MySQL. To wskazuje na nastawienie atakujących głównie na kradzież danych oraz szpiegostwo przemysłowe – tłumaczy Tasiemski.

Miejsca narażone na cyberataki

najczesciej atakowaneDzięki sieci Honeypot możliwe było stworzenie mapy pokazującej ośrodki najczęstszego występowania ataków w Polsce – według danych są to Warszawa, Poznań, Kraków, Gdańsk i Katowice. Największe zagęszczenie wynika z dużej liczby użytkowników aglomeracji (a co za tym idzie również urządzeń). W dużych miastach znajdują się też węzły komunikacyjne dostawców usług internetowych, w związku z czym zintensyfikowany jest ruch sieciowy w tych miejscach.

Infografiki przedstawiają tzw. ataki nietargetowane – aby zdobyć informacje na temat tego, jakie konkretnie instytucje są atakowane, konieczna byłaby bezpośrednia współpraca w celu zainstalowania Honeypotów w ich sieciach.

Liczba obserwowanych przez nas zdarzeń nie rośnie w zastraszającym tempie, niemniej widoczne są zmiany struktury ataków. Globalnie widzimy coraz większy udział ataków na porty związane z Internetem rzeczy, co potwierdza konieczność zwrócenia uwagi na zabezpieczenia naszych „sprytnych” urządzeń codziennego użytku. Interesujące są też różnice między poszczególnymi krajami, ponieważ wskazują na pewien stopień specjalizacji operujących z ich terytorium hakerów. Należy pamiętać, że geografia w internecie jest rzeczą ulotną. Źródło to ostatni „przystanek”, którego atakujący użył i nie jest to jednoznaczne z jego fizycznym położeniem. Możliwe, że haker z Polski, używa serwera w Rosji, żeby zaatakować cel w Brazylii – podsumowuje Leszek Tasiemski.