Cyberprzestępcy coraz częściej wykorzystują podatności zero-day do przeprowadzania ataków. Analizują kod oprogramowania lub kupują informacje o podatnościach na czarnym rynku. Na czym polegają ataki zero-day i jak firmy mogą się przed nimi bronić?
Co to jest atak typu zero-day? Dlaczego jest groźny dla firm?
Termin zero-day odnosi się do sytuacji, w której atakujący wykorzystuje lukę w oprogramowaniu, która nie została jeszcze odkryta – jak nazwa wskazuje, od jej wykorzystania do zidentyfikowania minęło dokładnie zero dni.
W 2023 roku Google zaobserwowało 97 luk typu zero-day, czyli o ponad 50% więcej niż rok wcześniej (choć to nadal mniej niż 106 luk wykrytych w roku 2021). 36 z nich dotyczyło przedsiębiorstw, a 61 urządzeń i platform użytkowników końcowych – telefonów, komputerów czy przeglądarek internetowych. Szczególnie niepokojący jest wzrost liczby wykrytych podatności w oprogramowaniu i technologiach korporacyjnych (aż 64-procentowy wzrost w 2023 roku w porównaniu do roku poprzedniego). Za 75% wykorzystanych podatności zero-day skierowanych na produkty Google oraz urządzenia z systemem Android w 2023 roku odpowiadały rozwiązania szpiegujące i monitorujące na rzecz rządów oraz innych organizacji (ang. CSV – Commercial Surveillance Vendors).
Najwięksi gracze na rynku, tacy jak Google, Apple czy Microsoft, znacząco zainwestowali w cyberochronę, aby uniemożliwić ataki tego typu. Cyberprzestępcy coraz częściej skupiają się jednak na zasobach zewnętrznych firm i kierują swoje działania przeciwko innym firmom z łańcucha dostaw. Nawet największe i najlepiej chronione korporacje korzystają z pomocy podwykonawców i partnerów (np. odpowiadających bezpośrednio za część oprogramowania lub fragment infrastruktury), którzy często nie mogą pochwalić się tak dobrymi zabezpieczeniami i wysokimi budżetami na cyberbezpieczeństwo. Ataki typu zero-day są też szczególnie groźne dla operatorów usług kluczowych i ich łańcuchów dostaw.
Do czasu rozpoznania luki w oprogramowaniu nie da się przewidzieć, czy firma padnie ofiarą ataku zero-day. Zdarza się, że pracownicy nawet nie zdają sobie sprawy z tego, co to jest zero-day, a oprogramowanie antywirusowe nie wystarcza, żeby powstrzymać atak. Tylko intensywny monitoring ruchu sieciowego może sprawić, że uda się wykryć incydent wystarczająco wcześnie, ażeby na niego zareagować.
Ataki zero-day są groźne także dlatego, że nie zostawiają specjalistom ds. cyberbezpieczeństwa wiele czasu na działanie. Jeśli cyberprzestępcy wykryją podatność systemu lub oprogramowania przed jego producentem, będą ją mogli w dowolny sposób wykorzystać, np. przygotowując groźny exploit, który posłuży za punkt wejścia do systemu użytkownika aplikacji.
W przeciwieństwie do innych exploitów zero-day może zaatakować nawet dobrze zabezpieczone systemy. Exploity zero-day działają zwykle do momentu, aż producent wprowadzi odpowiednie poprawki w swoim oprogramowaniu i użytkownicy zainstalują aktualizację.
Zero-day vulnerability – jak powstają podatności typu zero-day?
Zero-day vulnerabilitiy, czyli podatność na ataki typu „dzień zero”, to szczególny rodzaj luki w zabezpieczeniu oprogramowania, która pozwala hakerom na zaatakowanie jeszcze w momencie, zanim producent zorientuje się o jej istnieniu.
Najczęstszą przyczyną powstawania takich podatności są błędy programistyczne. Niewystarczająco długa faza testów również może się przyczynić do niewykrycia luk i wypuszczenia wadliwego oprogramowania. Kolejną przyczyną podatności zero-day mogą być złożone interakcje między elementami systemu, których nie udało się w pełni rozpoznać i zabezpieczyć.
Przykłady znanych ataków typu zero-day
Według „2024 Attack Intelligence Report” przygotowanego przez Rapid7 na początku 2024 roku, 53% nowych szeroko wykorzystywanych luk w zabezpieczeniach zostało użytych właśnie do ataków zero-day. To więcej niż w latach poprzednich. Jak może przebiegać incydent tego typu? Przedstawiamy 3 szczególnie ciekawe przypadki ataków typu zero-day.
Atak zero-day na Windows (Stuxnet)
Według raportu Google w 2023 roku Windows był najczęściej atakowaną, za pomocą luk zero-day, platformą wykorzystywaną przez użytkowników końcowych. Do jednego z głośniejszych ataków tego typu na system operacyjny Microsoftu doszło jednak znacznie wcześniej, bo już w 2010 roku. Użyto do tego wirusa Stuxnet, nad którym cyberprzestępcy pracowali już wtedy od 5 lat.
Stuxnet wykorzystywał aż 4 nieznane wcześniej luki w systemie Windows. Po wprowadzeniu do systemu operacyjnego skanował komputer w poszukiwaniu podłączonych sterowników PLC. Wykrywszy sterownik SIMATIC S7-300 lub SIMATIC S7-400, wirus ingerował w jego oprogramowanie, wprowadzając zmiany doprowadzające do szybszego zużycia sprzętu. Szacuje się, że Stuxnet zainfekował około 100 tysięcy komputerów, w tym 20 tysięcy urządzeń w irańskich obiektach nuklearnych, gdzie doprowadził do zniszczenia blisko 900 wirówek wzbogacających uran.
Atak zero-day na Adobe Flash
W 2018 roku wykryto podatność CVE-2018-4878 we wtyczce Adobe Flash Player. Za jej odkrycie odpowiadali specjaliści z południowokoreańskiego CERT-u. Exploit był dostarczany poprzez dokument Microsoft Office lub za pośrednictwem zainfekowanej strony internetowej. Pozwalał atakującemu na przejęcie kontroli nad urządzeniem ofiary. Na załatanie luki przez producenta użytkownicy musieli czekać kilka dni. W tym czasie zalecane było wyłączenie lub odinstalowanie wtyczki.
Celem ataku były głównie osoby, firmy i instytucje zajmujące się badaniami nad sytuacją w Korei Północnej. Podejrzewa się, że za zero-day exploit wymierzony w Adobe Flash odpowiada grupa TEMP.Reaper, znana też jako Group 123, uznawana za sponsorowaną przez reżim północnokoreański.
Atak zero-day na MOVEit Transfer
Podatność CVE-2023-35708 w oprogramowaniu firmy Progress Software umożliwiła cyberprzestępcom iniekcję szkodliwego kodu SQL w celu zaatakowania baz danych oprogramowania MOVEit Transfer. Luka została wykorzystana do ataku na co najmniej 27 podmiotów, w tym firmę Shell i amerykańskie agencje rządowe.
Hakerzy wykorzystujący tę podatność byli w stanie przejąć kontrolę nad systemem lub usunąć przejęte bazy danych, co wykorzystywali do wymuszeń. Za wykrycie luki odpowiada grupa Lace Tempest Ransomware. Według raportu Rapid7 przygotowania do ataku mogły trwać nawet 2 lata.
Dlaczego ataki typu zero-day są trudne do wykrycia? Jakie mają skutki?
Ataki zero-day wykorzystują luki w oprogramowaniu, których nie znają ani specjaliści od cyberbezpieczeństwa, ani producenci. Oznacza to, że potencjalne wektory ataku nie są jeszcze rozpoznane, co znacząco utrudnia identyfikację zagrożenia we wczesnym etapie.
Udany atak zero-day może prowadzić do utraty lub wycieku danych w wyniku uzyskania przez cyberprzestępców dostępu do infrastruktury sieciowej. Mogą oni m.in. zablokować dostęp do systemów i żądać okupu za jego przywrócenie lub upublicznić wrażliwe dane klientów, kontrahentów czy pracowników.
Udany atak może prowadzić do strat finansowych i konsekwencji prawnych, ale jest też ciosem w wizerunek organizacji. Partnerzy biznesowi mogą nie kontynuować współpracy z firmą, z której raz już wykradziono dane.
Realne skutki ataku zero-day mogą być różne, ponieważ często cyberprzestępcy wykorzystują luki jako punkty wejścia do systemu, co pozwala im przeprowadzać dalsze ataki, np. Man in the Middle (MitM) czy ransomware.
Jak chronić firmę przed atakami typu zero-day?
Jednym z podstawowych narzędzi w walce z atakami typu zero-day są aktualizacje. Warto zadbać o włączenie automatycznych aktualizacji lub używać oprogramowania szukającego najnowszych łatek.
W sytuacji, gdy firma wykryje lukę w zabezpieczeniach używanej platformy lub aplikacji, powinna niezwłocznie zgłosić to producentowi. Czas reakcji ma pierwszorzędne znaczenie – producenci zwykle w ciągu kilku dni wypuszczają aktualizację, która usuwa daną podatność. Wiele zagrożeń może być zniwelowanych, zanim wykryją je hakerzy, dzięki zgłoszeniom dokonywanym przez firmy, które korzystają z oprogramowania, a także dzięki aktywności pasjonatów cyberbezpieczeństwa, którzy składają raporty o błędach, bez oczekiwań finansowych lub w ramach programów bug bounty.
Istotna dla bezpieczeństwa firmy jest również świadomość pracowników. Warto ją zwiększać, organizując szkolenia z zakresu security awareness.
Choć wykrycie ataku zero-day jest trudne, wysoce wykwalifikowani specjaliści z Security Operations Center Netii są w stanie zidentyfikować niestandardową aktywność sieciową, która może świadczyć o incydencie. Korzystając m.in. z zaawansowanych systemów SIEM/SOAR, błyskawicznie podejmą niezbędne kroki i zminimalizują szkodliwe skutki ataku. Wysoki poziom bezpieczeństwa cybernetycznego, który można zapewnić organizacji dzięki usługom cyberbezpieczeństwa Netii, zmniejsza ryzyko, że padnie ona ofiarą udanego ataku zero-day. W swojej ofercie Netia ma także zaawansowane rozwiązania klasy EDR/XDR. Te narzędzia w sposób automatyczny izolują stację roboczą, na której wykryte zostało nietypowe zachowanie lub zatrzymują potencjalnie niebezpieczne procesy, zapobiegając rozprzestrzenianiu się zagrożenia w sieci.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105