Skoči na vsebino

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Prva objava: 24. 2. 2022
Zadnja posodobitev: 24. 3. 2022

Vsi Evropski odzivni centri za kibernetsko varnost (CSIRT, Computer Security Incident Response Team), že od konca januarja 2022 spremljamo napade na omrežja in sisteme v Ukrajini. Med njimi so napadi onemogočanja (DDoS napadi), napadi z zlonamerno kodo (kot je recimo HermeticWiper), postavljanje lažnih spletnih mest ukrajinskih državnih organov in širjenje lažnih novic (kot so bile novice o izpadu omrežja bankomatov ali mobilnih omrežij v Ukrajini).

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Po potrebi bomo o ustreznih ukrepih obvestili izvajalce bistvenih storitev (zavezance po Zakonu o informacijski varnosti), druge potencialno ogrožene subjekte in širšo javnost.

Če menite, da ste bili tarča kibernetskega napada, vsekakor podajte prijavo incidenta na SI-CERT. Če ste žrtev poskusa spletne goljufije, si oglejte navodila na našem portalu Varni na internetu.

Nasveti za podjetja in druge organizacije

Skrbnikom IKT storitev v organizacijah priporočamo spremljanje obvestil SI-CERT na družbenih omrežjih (twitter, facebook, linkedin) ali s prijavo na novičnik SI-CERT Odziv. Priporočamo tudi ogled obvestila SI-CERT 2020-02 / Varno delo na daljavo.

Napadi DDoS

Za uspešno obrambo pred napadi onemogočanja (DDoS) mora imeti organizacija pripravljene ukrepe za preprečevanje ali omejevanje škode. Napotke najdete v tehničnem zapisu SI-CERT TZ001 / Ukrepi ob napadih onemogočanja.

Napadi z izsiljevalskimi in destruktivnimi virusi

V napadu z izsiljevalskim virusom storilci zahtevajo odkupnino za povrnitev šifriranih podatkov na sistemih organizacije in grozijo z javno objavo poslovnih skrivnosti ali osebnih podatkov, ki so jih našli po vdoru v omrežje organizacije. Opis vektorjev napada, njegov običajen potek in priporočene zaščitne ukrepe najdete v tehničnem zapisu SI-CERT TZ011 / Napadi z izsiljevalskimi virusi. V trenutnem spopadu se na enak način izvaja okužbe z destruktivnimi virusi, ki so namenjeni uničenju podatkov, kar povzroči zastoj pri delu podjetja ali državnega organa (virus HermeticWiper, podobna primera sta bila WannaCry in NotPetya leta 2017).

Phishing napadi na zaposlene in sporočila z zlonamernimi priponkami

Z lažnimi sporočili storilci skušajo prepričati posameznike, da vpisašejo geslo za spletno storitev, službeni ali osebni poštni predal, morda tudi račun za družbeno omrežje. V ta namen postavijo lažno spletno mesto z identičnim izgledom, kot je pravo. S tem napadom storilci pridobijo dostop do računa zaposlenega. Gre za phishing napad, obliko družbenega inženiringa.

Elektronska sporočila z zlonamernimi priponkami so glavni način dostave zlonamerne programske kode do delovnih postaj zaposlenih, storilci pa potem z dodatno nameščenimi programi skušajo pridobiti dostop do drugih naprav na omrežju organizacije (ti. lateralno gibanje).

Poleg večstopenjskega preverjanja (MFA, Multi-Factor Authentication) in omejevanja dostopa do omrežja organizacije je glavni ukrep za zmanjševanje tveganj izobraževanje uporabnikov. Priporočamo spremljanje vsebin programa ozaveščanja Varni na internetu (tudi s prijavo na novičnik) in napotitev zaposlenih na brezplačni tečaj Varni v pisarni.

Zlorabe na družbenih omrežjih

Upravljalci službenih računov na družbenih omrežjih naj se seznanijo s tipičnimi zlorabami in načini zaščite računa (glej tudi Hitra finta #17 I kako ti vdrejo v Instagram?). Organizacija naj sestavi pravila za dostop in uporabo družbenih omrežij. Upravljalci naj bodo pozorni na sporočila, ki prihajajo domnevno s strani družbenega omrežja samega, saj gre lahko za phishing napad.

Nasveti za posameznike

Ni pričakovati, da bi bili posamezniki posebej izpostavljeni napadom, ki bi bili povezani s trenutnim napadom na Ukrajino. Vseeno pa priporočamo ogled petih nasvetov za varno delo od doma, spremljanje vsebin na portalu Varni na internetu (tudi s prijavo na novičnik).

Na spletu in v družabnih omrežjih so se pojavili pozivi, ki posameznike vabijo k sodelovanju pri izvajanju napadov na določene tarče v omrežjih Ruske federacije ali Ukrajine. Opozarjamo, da predstavlja nameščanje nepreverjene programske opreme lahko prvi korak do zlorabe vašega računalnika in da oglaševano orodje za sodelovanje v napadu morda vsebuje tudi stranska vrata. Poleg tega izvedba omrežnih napadov lahko predstavlja kaznivo dejanje po slovenski zakonodaji, ne glede na okoliščine.


  • Varni na internetu je nacionalni program ozaveščanja, ki ga izvaja SI-CERT.
  • Varni v pisarni je brezplačni tečaj za zaposlene o osnovah informacijske varnosti, ki ga je zasnoval SI-CERT.

Preberite tudi

SI-CERT 2022-05 / Ranljivosti OpenSSL 3 knjižnice

OpenSSL knjižnica različic 3.0.0 do 3.0.6 vsebuje ranljivosti pri preverjanjih X.509 digitalnih potrdil, ki lahko povzročijo izpad delovanja (denial of service) ali morda tudi zagon programske kode na daljavo (remote code execution). Zaenkrat še ni podatkov o izkoriščanju ranljivosti, vseeno svetujemo nadgradnjo na različico 3.0.7.
Več

SI-CERT 2022-04 / Ranljivost Microsoft Exchange strežnika

Dve ranljivosti Microsoft Exchange strežnika omogočata napadalcem izvedbo napada z zagonom poljubne kode, pri čemer je pogoj za uspešno izvedbo napada predhodna pridobitev pravic avtenticiranega uporabnika. Po podatkih Microsofta se veriga ranljivosti že izkorišča v omejenem številu ciljanih napadov.
Več

SI-CERT 2022-03 / Več ranljivosti v produktih podjetja Siemens

Siemens je eden vodilnih proizvajalcev sistemske avtomatizacije v proizvodnji. Objavili so vrsto varnostnih obvestil, med njimi tudi za kritične ranljivosti.
Več