Śledzenie internautów używających różnych przeglądarek. Za ataki na polskie banki odpowiedzialna jest grupa Lazarus. Przegląd cybersecurity, 14.02.2017

W 2017 roku polskim sektorem finansowym wstrząsnęła seria wyrafinowanych ataków, za którymi stała owiana złą sławą grupa Lazarus. To wydarzenie, choć odległe w czasie, stanowi doskonały punkt wyjścia do analizy metod śledzenia internautów i zrozumienia, jak zaawansowane techniki mogą być wykorzystane do precyzyjnych uderzeń. Nawet dziś, w dobie rosnącej świadomości cyfrowej, mechanizmy te pozostają niezwykle skuteczne, a lekcje z przeszłości są bardziej aktualne niż kiedykolwiek.

Anatomia ataku: Jak działali hakerzy z grupy Lazarus?

Atak na polskie banki był klasycznym przykładem operacji typu watering hole (wodopój). Zamiast bezpośrednio atakować silnie chronione systemy bankowe, hakerzy obrali za cel słabsze ogniwo – infrastrukturę zewnętrzną, z której korzystali pracownicy banków. W tym przypadku skompromitowana została strona internetowa Komisji Nadzoru Finansowego. Przestępcy umieścili na niej złośliwy kod, który infekował komputery osób odwiedzających witrynę. Było to uderzenie o chirurgicznej precyzji, wymierzone w konkretną, starannie wyselekcjonowaną grupę docelową.

Technika "wodopoju" w praktyce

Wyobraź sobie drapieżnika, który nie goni swojej ofiary po całej sawannie, lecz czai się przy jedynym źródle wody, wiedząc, że prędzej czy później ofiara sama do niego przyjdzie. Tak właśnie działa ta metoda. Hakerzy analizują zwyczaje i zainteresowania swoich celów, identyfikują strony, które regularnie odwiedzają, a następnie infekują te witryny. Użytkownik, wchodząc na zaufaną stronę, nieświadomie pobiera złośliwe oprogramowanie. To pokazuje, że nawet najbardziej ostrożne osoby mogą paść ofiarą ataku, jeśli zaufane przez nie źródło zostanie naruszone.

Śledzenie użytkownika to nie tylko pliki cookie

Aby atak typu "watering hole" był skuteczny, przestępcy często muszą najpierw zebrać szczegółowe informacje o swoich celach. Współczesne śledzenie w internecie wykracza daleko poza proste pliki cookie. Jedną z najpotężniejszych technik jest fingerprinting, czyli tworzenie unikalnego "cyfrowego odcisku palca" przeglądarki.

Co składa się na cyfrowy odcisk palca?

Twój cyfrowy ślad jest kombinacją dziesiątek, a nawet setek parametrów technicznych Twojego urządzenia i przeglądarki. Należą do nich między innymi:

• Wersja i typ przeglądarki
• Zainstalowane wtyczki i rozszerzenia
• Używane czcionki systemowe
• Rozdzielczość ekranu i głębia kolorów
• System operacyjny i jego wersja
• Ustawienia języka i strefy czasowej

Kombinacja tych wszystkich danych jest na tyle unikalna, że pozwala na precyzyjne zidentyfikowanie i śledzenie konkretnego użytkownika w sieci, nawet jeśli regularnie czyści on pliki cookie lub korzysta z trybu incognito. To właśnie takie dane pozwalają hakerom dopasować złośliwy kod do konkretnej konfiguracji systemu, zwiększając szanse na powodzenie infekcji.

Kim jest grupa Lazarus?

Grupa Lazarus to jedna z najbardziej znanych i niebezpiecznych grup cyberszpiegowskich na świecie, powszechnie kojarzona z reżimem Korei Północnej. Ich działalność charakteryzuje się wysokim stopniem zaawansowania technicznego oraz szerokim spektrum celów – od szpiegostwa przemysłowego, przez ataki na instytucje finansowe w celu kradzieży pieniędzy, po operacje o charakterze destrukcyjnym. Ciekawostką jest, że to właśnie Lazarus odpowiada za niesławny atak na Sony Pictures w 2014 roku oraz był silnie powiązany z globalną epidemią oprogramowania ransomware WannaCry w 2017 roku.

Jak chronić się przed zaawansowanymi zagrożeniami?

Chociaż ataki przeprowadzane przez grupy takie jak Lazarus są niezwykle wyrafinowane, istnieją uniwersalne zasady, które znacząco podnoszą poziom bezpieczeństwa każdego użytkownika i organizacji.

1. Regularne aktualizacje: To absolutna podstawa. Upewnij się, że Twoja przeglądarka, system operacyjny i wszystkie aplikacje są zawsze zaktualizowane do najnowszej wersji. Aktualizacje często zawierają poprawki krytycznych luk bezpieczeństwa.
2. Zasada ograniczonego zaufania: Podchodź z rezerwą do wszystkich linków i załączników, nawet jeśli pochodzą z pozornie zaufanego źródła. Zawsze lepiej jest zweryfikować autentyczność wiadomości innym kanałem.
3. Używanie rozszerzeń blokujących śledzenie: Narzędzia takie jak bloquejące skrypty śledzące mogą znacznie ograniczyć możliwość tworzenia Twojego cyfrowego odcisku palca, utrudniając profilowanie przez potencjalnych agresorów.
4. Edukacja i świadomość: Najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Regularne szkolenia i budowanie świadomości na temat aktualnych zagrożeń to najlepsza inwestycja w cyberbezpieczeństwo.

Historia ataku na polskie banki to mrożące krew w żyłach przypomnienie, że w cyfrowym świecie nikt nie jest w stu procentach bezpieczny. Zagrożenia ewoluują, a napastnicy stają się coraz bardziej kreatywni. Dlatego kluczem do bezpieczeństwa nie jest jednorazowe działanie, ale ciągły proces nauki, adaptacji i zachowania zdrowego sceptycyzmu w sieci.