Siirry sisältöön

Ajankohtaisia teemoja

Raportti: Attack Landscape H2 2018 – Liikennemäärät nelinkertaistuivat

F-Secure Finland

14.03.19 5 min. lukuaika

Tietoverkossa toimivat vastustajamme ovat olleet aktiivisia. Se käy hyvin ilmi tilastosta, jonka olemme koonneet honeypottien eli ns. syöttipalvelimien avulla viime vuoden jälkimmäisellä puoliskolla. Palvelimet osoittivat hyökkäysten ja tiedustelutietojen aiheuttaman verkkoliikenteen pompsahtaneen lähes nelinkertaiseksi.

Havaittu hyökkäysliikenne kohdistui useimmiten Telnet-protokollaan, mikä todennäköisesti johtuu IoT-laitteiden määrän kasvusta. Seuraavaksi yleisimmät kohteet olivat SSH-, SMB- ja SMTP-protokollat. Telnet oli myös yleisin hyökkäysvektori ja kaapatut web-palvelimet toiseksi yleisin. Hyökkäyksen alkuperää IP-osoitteen perusteella tutkittaessa ylivoimaisen tilastokärjen nappaa Yhdysvallat. Tilaston seuraavilla sijoilla olevat Venäjä, Italia ja Iso-Britannia jäävät kauas taakse.

Total honeypot attacks per period

Olemme jo muutaman vuoden ajan julkaisseet puolivuosittaisia raportteja, jotka perustuvat ns. honeypotteihin eli syöttipalvelimiin perustuvaan globaaliin verkostoon. Palvelimet on pystytetty puhtaasti houkuttelemaan hyökkääjiä, jolloin pääsemme seuraamaan heidän puuhastelujaan. Honeypotit matkivat yleisimpiä protokollia, kuten SMB, SSH ja HTTP. Näihin syöttipalvelimiin kohdistuva liikenne on hyvä keino mitata hyökkäysten trendejä.

Erinomainen esimerkki on vuodelta 2017, jolloin WannaCry ja NotPetya aiheuttivat selkeän nousun TCP-porttiin 445 (SMB) kohdistuvassa liikenteessä. Aiemmin kyseinen portti ei ollut osoittautunut kovin mielenkiintoiseksi. (SMB-liikenteen määrä on yhä normaalia runsaampaa.)

Kuka hyökkää ja minne

On aina kiinnostavaa tarkastella, minkä maiden IP-osoiteavaruuksista hyökkäykset tulevat, ja mihin maihin ne kohdistuvat.

Top attack source countries

Yhdysvaltojen IP-osoiteavaruudesta peräisin oleva liikenne kappaa tällä kertaa suurimman osuuden kaikista hyökkäyksistä. Venäjä seuraa hyvänä kakkosena, mutta kaukana takana. Haluamme kuitenkin muistuttaa, että IP-osoite ei kerro, mistä maasta hyökkäykset ovat oikeasti lähtöisin. Kyberrikolliset osaavat reitittää hyökkäykset proxy-palvelinten läpi peittääkseen niiden alkuperän. Viranomaisia välttääkseen he voivat hyödyntää myös VPN-palvelimia, TOR-verkkoa sekä eri sijainneissa olevia kaapattuja palvelimia ja muita laitteita.

Lisähuomautuksena mainittakoon, että yllä oleva lista valtioista ei osoita, että hyökkäykset liittyisivät millään tavalla kyseisen valtion toimintaan. Useimpien hyökkäysten taustalla on taloudellinen motiivi. Niiden toteuttajat ovat kyberrikollisia, jotka tekevät DDoS-hyökkäyksiä, lähettävät haittasovelluksia jne.

Selkeämpi tilasto osoittaa hyökkäysten kohteet. Seuraavassa hyökkääjiä eniten kiinnostaneet kohdemaat:

Top attack destination countries

Kun mainitsemme kyberrikolliset, voi moni kuvitella huppupäisten hahmojen naputtelevan läppäreitä hyökkäys tavoitteenaan. Todellisuudessa syöttipalvelimemme tunnistavat inhimillistä aktiivisuutta vain 0,1 prosentissa hyökkäyksistä. 99,9 prosenttia hyökkäyksistä on bottien, haittasovellusten tai muiden automaattisten työkalujen generoimia. Toki ihmiset ovat kehittäneet nämä työkalut ja hallinnoivat niitä, mutta kaiken kaikkiaan hyökkäysten huima kokonaismäärä – useita satoja miljoonia – on mahdollista vain automaation avulla.

Hyökkäys voi tulla mistä tahansa verkkoon kytketystä laitteesta. Jopa hyvin heikkotehoinen tietokone, kuten älykello tai IoT-hammasharja, voi olla hyökkäyksen lähde.

Top attack source-to-destination relationships

Vaikka Iso-Britannia on korkealla hyökkäysten alkuperää tutkittaessa, ei se yllättäen esiinnyt lähdemaana, kun yhdistämme hyökkäysten lähteitä ja kohteita. Kuten aiemmassa raportissa, Iso-Britanniasta peräisin olevat hyökkäykset kohdistuvat hyvin useaan maahan. Ison-Britannian yleisin kohde on Yhdysvallat (noin 85 000 hyökkäystä).

Top TCP ports targeted

Heinäkuun ja joulukuun 2018 välillä merkittävä enemmistö (83 %) hyökkäysliikenteestä kohdistui TCP-porttiin 23, joka on varattu Telnetille. Teimme jakson alkupuolella muutamia muutoksia Telnetin käyttöön syöttipalvelimissamme, jotta voimme tunnistaa Telnet-hyökkäykset aiempaa paremmin. Räjähdysmäisesti noussut lukumäärä on selkeä todiste siitä, että IoT-laitteet, jotka usein käyttävät oletuksena annetun tunnuksen ja salasanan yhdistelmää, ovat helppo saalis.

Iso osuus Telnetin käytöstä liittyy ns. esinebotteihin (thingbots), nettiin kytkettyihin laitteisiin, jotka on kaapattu osaksi botnettiä. Tunnistimme joulukuun puolivälissä erittäin voimakkaan Telnet-kampanjan, jonka kyberrikolliset olivat ilmeisesti pyrkineet ajoittamaan ajankohtaan, jolloin lähestyvä joulu kiireineen vie ihmisten huomion muualle.

Portin 23 jälkeen yleisin hyökkäyskohde oli SSH:lle varattu portti 22. Kolmanneksi sijoittunut portti 445 (SMB) menetti merkittävästi suosiotaan vuoden alkupuoliskoon verrattuna, sillä tuolloin SMB-porttiin kohdistui 127 miljoonan hyökkäyksen piikki. Ennen WannaCry- ja NotPetya-haittasovellusten ilmaantumista SMB-hyökkäykset eivät mahtuneet edes 20 yleisimmän kohteen listalle.

SMB activity through the years

SMTP, suomeksi sähköpostiliikenne, sijoittui neljänneksi haittasovellusten ja roskapostin vauhdittamina. Viidenneksi sijoittuneen MySQL:n suosio perustuu todennäköisesti tietomurtoyrityksiin, sillä MySQL on suosittu tietokanta muun muassa suosittujen julkaisujärjestelmien, kuten WordPressin, Drupalin tai Joomlan taustalla. Alempana listalla olevaa CWMP-protokollaa (TR-069) käytetään muun muassa modeemien, reitittimien, VOiP-laitteiden ja digiboksien etähallintaan.

Palvelimet ja palvelut

Käyttämällä verkkotopologian kartoitustyökalua (F-Secure Riddler) olemme onnistuneet tunnistamaan, mistä palvelimilta ja palveluista hyökkäyksiä useimmiten tulee. Listan kärjessä ovat Nginx, Apache ja WordPress, jotka kyberrikolliset usein murtavat rikollista käyttöä varten. Murretut verkkopalvelimet ovat IoT-laitteiden jälkeen yksi yleisimmistä hyökkäysvektoreista.

    

Servers and services used for attacks

Käytettävät käyttäjätunnukset

Yleisimpien hyökkäyksessä käytettyjen käyttäjätunnusten ja salasanojen lista ei muutu vuosien mittaan merkittävästi. Root ja Admin löytyvät aina listan kärkipäästä. Mielenkiintoisena huomiona todettakoon, että salasanalistan sijoilta 2 ja 6 löytyvät Dahuan valmistaman IoT-kameran ja kiinalaisen H.264 -videotallentimen oletussalasanat.

Top usernames and passwords attempted

Kohteena yritykset

Yleisimpien hyökkäyksessä käytettyjen käyttäjätunnusten ja salasanojen lista ei muutu vuosien mittaan merkittävästi. Root ja Admin löytyvät aina listan kärkipäästä. Mielenkiintoisena huomiona todettakoon, että salasanalistan sijoilta 2 ja 6 löytyvät Dahuan valmistaman IoT-kameran ja kiinalaisen H.264 -videotallentimen oletussalasanat.

Companies detecting attacks over past year

Kohteena yritykset

Miten yritykset pärjäävät ulkoisten hyökkäysten uhan edessä? Teimme hiljattain tutkimuksen, jossa kysyimme IT-päättäjiltä ja -vaikuttajilta heidän yrityksiinsä kohdistuneista hyökkäyksistä viime vuoden aikana. Kaksi kolmasosaa vastaajista sanoi, että yritys oli tunnistanut vähintään yhden hyökkäyksen. 22 % puolestaan sanoi, ettei yhtäkään hyökkäystä tunnistettu vuoden aikana, ja 12 % joko ei tiennyt tai kieltäytyi vastaamasta.

Companies detecting attacks, by country

Hieman alle kolmasosa vastaajista kertoi käyttävänsä havainnointi- ja reagointijärjestelmää hyökkäysten torjuntaan.

Yhteenveto

Mitä enemmän asiat muuttuvat, sitä enemmän ne pysyvät ennallaan. Kyberrikollisten suosima keino voi vaihdella IoT-laitteiden botnet-käytöstä sähköpostitse leviäviin kiristyssovelluksiin, roskapostiin tai verkkopalveluhyökkäyksiin, mutta tavoite heillä on aina sama: he haluavat löytää helpoimman keinon tehdä rahaa.

Paras puolustus on, ja on aina ollut, rakentaa tietoturva kolmen osatekijän varaan: ihmisten, prosessien ja teknologian.

Rajoita hyökkäyspintaa-ala. Rakenna verkosta, ohjelmistoista ja laitteista yksinkertainen paketti. Tunne käytössä olevat järjestelmät ja palvelut, ja ota tarpeettomat pois päältä.

Sitouta ihmiset. Opeta yrityksesi väelle tietoturvan perusperiaatteet ja parhaat käytännöt. Ota käyttöön prosessit ja helposti muistettavat toimenpiteet.

Hyödynnä kerrosteknologiaa. Tietoturva toimii kerroksittain. Hyödynnä tietoturvassa ennustamista, estämistä, tunnistamista ja reagointia yhdisteleviä teknologioita.

Jos haluat tutustua raporttiin tiivistetyssä muodossa, lataa sen pohjalta laadittu infografiikka.

Lataa infografiikka
F-Secure Finland

14.03.19 5 min. lukuaika

Kategoriat

Kommentoi

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Korostettu artikkeli

5 tapaa suojautua identiteettivarkaudelta

Tuomas Rantalainen

13.05.19

3 min. lukuaika

Aiheeseen liittyvät julkaisut

Newsletter modal

Kiitos kiinnostuksestasi uutiskirjettämme kohtaan. Saat piakkoin sähköpostin, jotta voit vahvistaa uutiskirjeen tilauksesi.

Gated Content modal

Onneksi olkoon – voit nyt tutustua sisältöön klikkaamalla alla olevaa painiketta.