Bezpečnostní projekt Turris zveřejnil bezpečnostní zprávu, která shrnuje nejpodstatnější události za duben 2023 a ukazuje trendy v kybernetických útocích na infrastrukturu. Celou zprávu je možné stáhnout na webu projektu [PDF].
Během dubna bylo v rámci greylistů zachyceno více než deset tisíc nových unikátních útočníků. Nově lze v reportu vyčíst další zajímavý údaj – celkový počet incidentů. Dále jsme přidali koláčový graf pro tyto kategorie – zdroje pastí, použité akce připojení a jejich kombinace. Většina útočníků soustředí svoji aktivitu na SMTP servery,
vysvětluje Michal Hrušecký, vedoucí hardwarového týmu sdružení CZ.NIC. Akce pro přihlášení (login) a pokus o připojení (connect) jsou tak časté, že zastiňují ostatní data. Plánujeme se s tímto nešvarem v budoucích reportech vypořádat.
Čísla pro protokol Telnet jsou výrazně nižší, ale stále jde o druhou nejvíce napadanou službu. Jak jsme již v předchozích reportech podotkli, je to zřejmě proto, že tento ne úplně zabezpečený protokol používají buď nějaká stará zařízení, nebo zařízení, jejichž autoři si nelámou hlavu s bezpečností. Proto jsou snadným cílem.
S přechodem uživatelů na redakční systémy pro správu obsahu webů je jasné, že pro útočníky není protokol FTP už tak zajímavým cílem.
Autoři dat se snaží přiřazovat jednotlivým TCP a UDP portům názvy konkrétních služeb, k čemuž využívají informace z Wikipedie. Přesto nemáme stále u některých portů úplně jasno, které služby je využívají,
vysvětluje Hrušecký. Jedná se například o port 37183, který poskočil meziměsíčně o více než 300 tisíc %. Podle definic patří do třídy portů dynamických/privátních, takže může být využíván doslova v jakékoliv aplikaci.
Z příslušné tabulky lze oproti minulému měsíci vyčíst pokles o 28 % na portu 27032. Tento port je využíván ve službě Steam. Kromě toho vidíme i veliký pokles skenování portů pro bittorrentové klienty a mírný pokles u služby sdílení složek ve Windows. Nicméně i přes tyto skutečnosti nabádáme k ostražitosti a doporučujeme nezpřístupňovat sdílené složky na internetu.
Oproti minulým měsícům klesl počet íránských útoků s přihlašováním pomocí hesla na minimum. Místo toho však začal jeden velice aktivní útočník útočit 1. dubna spoustou náhodných hesel. Jejich distribuce byla velice rovnoměrná – za tři dny bylo zaznamenáno přibližně 14 tisíc pokusů na heslo. Podle našich zjištění patří IP adresa poskytovateli hostingu.
Útok běžel jen krátce a poté náhle ustal. Je více než pravděpodobné, že poskytovatel hostingu zaregoval promptně na hlášení o zneužívání,
uzavírá Hrušecký.
ČLÁNKY DO MAILU