Raportti: Attack Landscape H2 2018 – Liikennemäärät nelinkertaistuivat
Tietoverkossa toimivat vastustajamme ovat olleet aktiivisia. Se käy hyvin ilmi tilastosta, jonka olemme koonneet honeypottien eli ns. syöttipalvelimien avulla viime vuoden jälkimmäisellä puoliskolla. Palvelimet osoittivat hyökkäysten ja tiedustelutietojen aiheuttaman verkkoliikenteen pompsahtaneen lähes nelinkertaiseksi.
Havaittu hyökkäysliikenne kohdistui useimmiten Telnet-protokollaan, mikä todennäköisesti johtuu IoT-laitteiden määrän kasvusta. Seuraavaksi yleisimmät kohteet olivat SSH-, SMB- ja SMTP-protokollat. Telnet oli myös yleisin hyökkäysvektori ja kaapatut web-palvelimet toiseksi yleisin. Hyökkäyksen alkuperää IP-osoitteen perusteella tutkittaessa ylivoimaisen tilastokärjen nappaa Yhdysvallat. Tilaston seuraavilla sijoilla olevat Venäjä, Italia ja Iso-Britannia jäävät kauas taakse.
Olemme jo muutaman vuoden ajan julkaisseet puolivuosittaisia raportteja, jotka perustuvat ns. honeypotteihin eli syöttipalvelimiin perustuvaan globaaliin verkostoon. Palvelimet on pystytetty puhtaasti houkuttelemaan hyökkääjiä, jolloin pääsemme seuraamaan heidän puuhastelujaan. Honeypotit matkivat yleisimpiä protokollia, kuten SMB, SSH ja HTTP. Näihin syöttipalvelimiin kohdistuva liikenne on hyvä keino mitata hyökkäysten trendejä.
Erinomainen esimerkki on vuodelta 2017, jolloin WannaCry ja NotPetya aiheuttivat selkeän nousun TCP-porttiin 445 (SMB) kohdistuvassa liikenteessä. Aiemmin kyseinen portti ei ollut osoittautunut kovin mielenkiintoiseksi. (SMB-liikenteen määrä on yhä normaalia runsaampaa.)
Kuka hyökkää ja minne
On aina kiinnostavaa tarkastella, minkä maiden IP-osoiteavaruuksista hyökkäykset tulevat, ja mihin maihin ne kohdistuvat.
Yhdysvaltojen IP-osoiteavaruudesta peräisin oleva liikenne kappaa tällä kertaa suurimman osuuden kaikista hyökkäyksistä. Venäjä seuraa hyvänä kakkosena, mutta kaukana takana. Haluamme kuitenkin muistuttaa, että IP-osoite ei kerro, mistä maasta hyökkäykset ovat oikeasti lähtöisin. Kyberrikolliset osaavat reitittää hyökkäykset proxy-palvelinten läpi peittääkseen niiden alkuperän. Viranomaisia välttääkseen he voivat hyödyntää myös VPN-palvelimia, TOR-verkkoa sekä eri sijainneissa olevia kaapattuja palvelimia ja muita laitteita.
Lisähuomautuksena mainittakoon, että yllä oleva lista valtioista ei osoita, että hyökkäykset liittyisivät millään tavalla kyseisen valtion toimintaan. Useimpien hyökkäysten taustalla on taloudellinen motiivi. Niiden toteuttajat ovat kyberrikollisia, jotka tekevät DDoS-hyökkäyksiä, lähettävät haittasovelluksia jne.
Selkeämpi tilasto osoittaa hyökkäysten kohteet. Seuraavassa hyökkääjiä eniten kiinnostaneet kohdemaat:
Kun mainitsemme kyberrikolliset, voi moni kuvitella huppupäisten hahmojen naputtelevan läppäreitä hyökkäys tavoitteenaan. Todellisuudessa syöttipalvelimemme tunnistavat inhimillistä aktiivisuutta vain 0,1 prosentissa hyökkäyksistä. 99,9 prosenttia hyökkäyksistä on bottien, haittasovellusten tai muiden automaattisten työkalujen generoimia. Toki ihmiset ovat kehittäneet nämä työkalut ja hallinnoivat niitä, mutta kaiken kaikkiaan hyökkäysten huima kokonaismäärä – useita satoja miljoonia – on mahdollista vain automaation avulla.
Hyökkäys voi tulla mistä tahansa verkkoon kytketystä laitteesta. Jopa hyvin heikkotehoinen tietokone, kuten älykello tai IoT-hammasharja, voi olla hyökkäyksen lähde.
Vaikka Iso-Britannia on korkealla hyökkäysten alkuperää tutkittaessa, ei se yllättäen esiinnyt lähdemaana, kun yhdistämme hyökkäysten lähteitä ja kohteita. Kuten aiemmassa raportissa, Iso-Britanniasta peräisin olevat hyökkäykset kohdistuvat hyvin useaan maahan. Ison-Britannian yleisin kohde on Yhdysvallat (noin 85 000 hyökkäystä).
Heinäkuun ja joulukuun 2018 välillä merkittävä enemmistö (83 %) hyökkäysliikenteestä kohdistui TCP-porttiin 23, joka on varattu Telnetille. Teimme jakson alkupuolella muutamia muutoksia Telnetin käyttöön syöttipalvelimissamme, jotta voimme tunnistaa Telnet-hyökkäykset aiempaa paremmin. Räjähdysmäisesti noussut lukumäärä on selkeä todiste siitä, että IoT-laitteet, jotka usein käyttävät oletuksena annetun tunnuksen ja salasanan yhdistelmää, ovat helppo saalis.
Iso osuus Telnetin käytöstä liittyy ns. esinebotteihin (thingbots), nettiin kytkettyihin laitteisiin, jotka on kaapattu osaksi botnettiä. Tunnistimme joulukuun puolivälissä erittäin voimakkaan Telnet-kampanjan, jonka kyberrikolliset olivat ilmeisesti pyrkineet ajoittamaan ajankohtaan, jolloin lähestyvä joulu kiireineen vie ihmisten huomion muualle.
Portin 23 jälkeen yleisin hyökkäyskohde oli SSH:lle varattu portti 22. Kolmanneksi sijoittunut portti 445 (SMB) menetti merkittävästi suosiotaan vuoden alkupuoliskoon verrattuna, sillä tuolloin SMB-porttiin kohdistui 127 miljoonan hyökkäyksen piikki. Ennen WannaCry- ja NotPetya-haittasovellusten ilmaantumista SMB-hyökkäykset eivät mahtuneet edes 20 yleisimmän kohteen listalle.
SMTP, suomeksi sähköpostiliikenne, sijoittui neljänneksi haittasovellusten ja roskapostin vauhdittamina. Viidenneksi sijoittuneen MySQL:n suosio perustuu todennäköisesti tietomurtoyrityksiin, sillä MySQL on suosittu tietokanta muun muassa suosittujen julkaisujärjestelmien, kuten WordPressin, Drupalin tai Joomlan taustalla. Alempana listalla olevaa CWMP-protokollaa (TR-069) käytetään muun muassa modeemien, reitittimien, VOiP-laitteiden ja digiboksien etähallintaan.
Palvelimet ja palvelut
Käyttämällä verkkotopologian kartoitustyökalua (F-Secure Riddler) olemme onnistuneet tunnistamaan, mistä palvelimilta ja palveluista hyökkäyksiä useimmiten tulee. Listan kärjessä ovat Nginx, Apache ja WordPress, jotka kyberrikolliset usein murtavat rikollista käyttöä varten. Murretut verkkopalvelimet ovat IoT-laitteiden jälkeen yksi yleisimmistä hyökkäysvektoreista.
Käytettävät käyttäjätunnukset
Yleisimpien hyökkäyksessä käytettyjen käyttäjätunnusten ja salasanojen lista ei muutu vuosien mittaan merkittävästi. Root ja Admin löytyvät aina listan kärkipäästä. Mielenkiintoisena huomiona todettakoon, että salasanalistan sijoilta 2 ja 6 löytyvät Dahuan valmistaman IoT-kameran ja kiinalaisen H.264 -videotallentimen oletussalasanat.
Kohteena yritykset
Yleisimpien hyökkäyksessä käytettyjen käyttäjätunnusten ja salasanojen lista ei muutu vuosien mittaan merkittävästi. Root ja Admin löytyvät aina listan kärkipäästä. Mielenkiintoisena huomiona todettakoon, että salasanalistan sijoilta 2 ja 6 löytyvät Dahuan valmistaman IoT-kameran ja kiinalaisen H.264 -videotallentimen oletussalasanat.
Kohteena yritykset
Miten yritykset pärjäävät ulkoisten hyökkäysten uhan edessä? Teimme hiljattain tutkimuksen, jossa kysyimme IT-päättäjiltä ja -vaikuttajilta heidän yrityksiinsä kohdistuneista hyökkäyksistä viime vuoden aikana. Kaksi kolmasosaa vastaajista sanoi, että yritys oli tunnistanut vähintään yhden hyökkäyksen. 22 % puolestaan sanoi, ettei yhtäkään hyökkäystä tunnistettu vuoden aikana, ja 12 % joko ei tiennyt tai kieltäytyi vastaamasta.
Hieman alle kolmasosa vastaajista kertoi käyttävänsä havainnointi- ja reagointijärjestelmää hyökkäysten torjuntaan.
Yhteenveto
Mitä enemmän asiat muuttuvat, sitä enemmän ne pysyvät ennallaan. Kyberrikollisten suosima keino voi vaihdella IoT-laitteiden botnet-käytöstä sähköpostitse leviäviin kiristyssovelluksiin, roskapostiin tai verkkopalveluhyökkäyksiin, mutta tavoite heillä on aina sama: he haluavat löytää helpoimman keinon tehdä rahaa.
Paras puolustus on, ja on aina ollut, rakentaa tietoturva kolmen osatekijän varaan: ihmisten, prosessien ja teknologian.
Rajoita hyökkäyspintaa-ala. Rakenna verkosta, ohjelmistoista ja laitteista yksinkertainen paketti. Tunne käytössä olevat järjestelmät ja palvelut, ja ota tarpeettomat pois päältä.
Sitouta ihmiset. Opeta yrityksesi väelle tietoturvan perusperiaatteet ja parhaat käytännöt. Ota käyttöön prosessit ja helposti muistettavat toimenpiteet.
Hyödynnä kerrosteknologiaa. Tietoturva toimii kerroksittain. Hyödynnä tietoturvassa ennustamista, estämistä, tunnistamista ja reagointia yhdisteleviä teknologioita.
Jos haluat tutustua raporttiin tiivistetyssä muodossa, lataa sen pohjalta laadittu infografiikka.
Lataa infografiikkaKategoriat