Skoči na vsebino

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Prva objava: 24. 2. 2022
Zadnja posodobitev: 24. 3. 2022

Vsi Evropski odzivni centri za kibernetsko varnost (CSIRT, Computer Security Incident Response Team), že od konca januarja 2022 spremljamo napade na omrežja in sisteme v Ukrajini. Med njimi so napadi onemogočanja (DDoS napadi), napadi z zlonamerno kodo (kot je recimo HermeticWiper), postavljanje lažnih spletnih mest ukrajinskih državnih organov in širjenje lažnih novic (kot so bile novice o izpadu omrežja bankomatov ali mobilnih omrežij v Ukrajini).

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Po potrebi bomo o ustreznih ukrepih obvestili izvajalce bistvenih storitev (zavezance po Zakonu o informacijski varnosti), druge potencialno ogrožene subjekte in širšo javnost.

Če menite, da ste bili tarča kibernetskega napada, vsekakor podajte prijavo incidenta na SI-CERT. Če ste žrtev poskusa spletne goljufije, si oglejte navodila na našem portalu Varni na internetu.

Nasveti za podjetja in druge organizacije

Skrbnikom IKT storitev v organizacijah priporočamo spremljanje obvestil SI-CERT na družbenih omrežjih (twitter, facebook, linkedin) ali s prijavo na novičnik SI-CERT Odziv. Priporočamo tudi ogled obvestila SI-CERT 2020-02 / Varno delo na daljavo.

Napadi DDoS

Za uspešno obrambo pred napadi onemogočanja (DDoS) mora imeti organizacija pripravljene ukrepe za preprečevanje ali omejevanje škode. Napotke najdete v tehničnem zapisu SI-CERT TZ001 / Ukrepi ob napadih onemogočanja.

Napadi z izsiljevalskimi in destruktivnimi virusi

V napadu z izsiljevalskim virusom storilci zahtevajo odkupnino za povrnitev šifriranih podatkov na sistemih organizacije in grozijo z javno objavo poslovnih skrivnosti ali osebnih podatkov, ki so jih našli po vdoru v omrežje organizacije. Opis vektorjev napada, njegov običajen potek in priporočene zaščitne ukrepe najdete v tehničnem zapisu SI-CERT TZ011 / Napadi z izsiljevalskimi virusi. V trenutnem spopadu se na enak način izvaja okužbe z destruktivnimi virusi, ki so namenjeni uničenju podatkov, kar povzroči zastoj pri delu podjetja ali državnega organa (virus HermeticWiper, podobna primera sta bila WannaCry in NotPetya leta 2017).

Phishing napadi na zaposlene in sporočila z zlonamernimi priponkami

Z lažnimi sporočili storilci skušajo prepričati posameznike, da vpisašejo geslo za spletno storitev, službeni ali osebni poštni predal, morda tudi račun za družbeno omrežje. V ta namen postavijo lažno spletno mesto z identičnim izgledom, kot je pravo. S tem napadom storilci pridobijo dostop do računa zaposlenega. Gre za phishing napad, obliko družbenega inženiringa.

Elektronska sporočila z zlonamernimi priponkami so glavni način dostave zlonamerne programske kode do delovnih postaj zaposlenih, storilci pa potem z dodatno nameščenimi programi skušajo pridobiti dostop do drugih naprav na omrežju organizacije (ti. lateralno gibanje).

Poleg večstopenjskega preverjanja (MFA, Multi-Factor Authentication) in omejevanja dostopa do omrežja organizacije je glavni ukrep za zmanjševanje tveganj izobraževanje uporabnikov. Priporočamo spremljanje vsebin programa ozaveščanja Varni na internetu (tudi s prijavo na novičnik) in napotitev zaposlenih na brezplačni tečaj Varni v pisarni.

Zlorabe na družbenih omrežjih

Upravljalci službenih računov na družbenih omrežjih naj se seznanijo s tipičnimi zlorabami in načini zaščite računa (glej tudi Hitra finta #17 I kako ti vdrejo v Instagram?). Organizacija naj sestavi pravila za dostop in uporabo družbenih omrežij. Upravljalci naj bodo pozorni na sporočila, ki prihajajo domnevno s strani družbenega omrežja samega, saj gre lahko za phishing napad.

Nasveti za posameznike

Ni pričakovati, da bi bili posamezniki posebej izpostavljeni napadom, ki bi bili povezani s trenutnim napadom na Ukrajino. Vseeno pa priporočamo ogled petih nasvetov za varno delo od doma, spremljanje vsebin na portalu Varni na internetu (tudi s prijavo na novičnik).

Na spletu in v družabnih omrežjih so se pojavili pozivi, ki posameznike vabijo k sodelovanju pri izvajanju napadov na določene tarče v omrežjih Ruske federacije ali Ukrajine. Opozarjamo, da predstavlja nameščanje nepreverjene programske opreme lahko prvi korak do zlorabe vašega računalnika in da oglaševano orodje za sodelovanje v napadu morda vsebuje tudi stranska vrata. Poleg tega izvedba omrežnih napadov lahko predstavlja kaznivo dejanje po slovenski zakonodaji, ne glede na okoliščine.


  • Varni na internetu je nacionalni program ozaveščanja, ki ga izvaja SI-CERT.
  • Varni v pisarni je brezplačni tečaj za zaposlene o osnovah informacijske varnosti, ki ga je zasnoval SI-CERT.

Preberite tudi

SI-CERT 2021-06 / Kritična ranljivost Java knjižnice Apache Log4j

V programski knjižnici Java logging library Log4j je bila odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu
Več

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več