Każdy rok ma swoją własną mieszankę klęsk związanych z bezpieczeństwem cyfrowym, od absurdalnych po złowrogie, ale rok 2024 upłynął szczególnie pod znakiem szaleństw hakerskich, podczas których cyberprzestępcy i wspierane przez państwo grupy szpiegowskie wielokrotnie wykorzystywały tę samą słabość lub typ celu, aby podsycić swój szał. W przypadku atakujących jest to podejście bezwzględnie skuteczne, ale w przypadku skompromitowanych instytucji — i osób, którym służą — złośliwe ataki miały bardzo realne konsekwencje dla prywatności i bezpieczeństwa ludzi.
W miarę nasilania się zawirowań politycznych i niepokojów społecznych na całym świecie rok 2025 będzie skomplikowanym – i potencjalnie wybuchowym – rokiem w cyberprzestrzeni. Ale najpierw oto spojrzenie wstecz WIRED na temat najgorszych w tym roku naruszeń, wycieków, sponsorowanych przez państwo kampanii hakerskich, ataków z użyciem oprogramowania ransomware i przypadków wymuszenia cyfrowego. Zachowaj czujność i bądź bezpieczny na zewnątrz.
Operacje szpiegowskie są faktem, a bezlitosne chińskie kampanie od lat są stałym elementem cyberprzestrzeni. Jednak powiązana z Chinami grupa szpiegowska Salt Typhoon przeprowadziła w tym roku szczególnie godną uwagi operację, infiltrując przez miesiące mnóstwo amerykańskich firm telekomunikacyjnych, w tym Verizon i AT&T (oraz inne na całym świecie). Na początku tego miesiąca urzędnicy amerykańscy powiedzieli reporterom, że wiele firm będących ofiarami ataków nadal aktywnie próbuje usunąć hakerów ze swoich sieci.
Napastnicy inwigilowali niewielką grupę osób – według obecnych szacunków mniej niż 150 – ale wśród nich znalazły się osoby, które już podlegały amerykańskim nakazom podsłuchiwania, a także urzędnicy Departamentu Stanu oraz członkowie kampanii prezydenckich Trumpa i Harrisa. Ponadto SMS-y i rozmowy telefoniczne od innych osób, które miały kontakt z celami Salt Typhoon, również były nieodłącznie związane z planem szpiegowskim.
Przez całe lato napastnicy nie mieli sobie równych, włamując się do znanych firm i organizacji, z których wszystkie były klientami firmy Snowflake zajmującej się przechowywaniem danych w chmurze. Tego szaleństwa ledwo można zakwalifikować jako włamanie, ponieważ cyberprzestępcy po prostu używali skradzionych haseł do logowania się na konta Snowflake, które nie miały włączonego uwierzytelniania dwuskładnikowego. Efektem końcowym była jednak niezwykła ilość danych skradzionych ofiarom, w tym Ticketmaster, Santander Bank i Neiman Marcus. Inna znacząca ofiara, gigant telekomunikacyjny AT&T, powiedziała w lipcu, że „prawie wszystkie” zapisy dotyczące rozmów i SMS-ów jego klientów z okresu siedmiu miesięcy w 2022 r. zostały skradzione w wyniku włamania związanego z płatkiem śniegu. Firma ochroniarska Mandiant, której właścicielem jest Google, powiedział w czerwcu że szał dotknął około 165 ofiar.
W lipcu Snowflake dodał funkcję, dzięki której administratorzy kont mogli wprowadzić obowiązek uwierzytelniania dwuskładnikowego dla wszystkich swoich użytkowników. W listopadzie podejrzany Alexander „Connor” Moucka został aresztowany przez kanadyjskie organy ścigania za rzekome kierowanie szałem hakerskim. Został oskarżony przez Departament Sprawiedliwości Stanów Zjednoczonych o rozdarcie płatka śniegu i grozi mu ekstradycja do USA. John Erin Binns, który został aresztowany w Turcji pod zarzutem oskarżenia związanego z naruszeniem zasad telekomunikacyjnych T-Mobile w 2021 r., również został oskarżony o zarzuty związane z naruszeniami klientów Snowflake.
Pod koniec lutego firma Change Healthcare zajmująca się rozliczeniami medycznymi i ubezpieczeniami została dotknięta atakiem oprogramowania typu ransomware, który spowodował zakłócenia w szpitalach, gabinetach lekarskich, aptekach i innych placówkach opieki zdrowotnej w całych Stanach Zjednoczonych. Atak ten jest jednym z największych w historii naruszeń danych medycznych i dotknął ponad 100 milionów osób. Firma, której właścicielem jest UnitedHealth, jest dominującym podmiotem przetwarzającym rozliczenia medyczne w USA. Kilka dni po rozpoczęciu ataku stwierdzono, że za atakiem stoi ALPHV/BlackCat, cieszący się złą sławą rosyjskojęzyczny gang zajmujący się oprogramowaniem ransomware.
Dane osobowe skradzione podczas ataku obejmowały numery telefonów pacjentów, adresy, dane bankowe i inne informacje finansowe, a także dokumentację medyczną, w tym diagnozy, recepty i szczegóły leczenia. Próbując zapanować nad sytuacją, firma zapłaciła ALPHV/BlackCat okup w wysokości 22 milionów dolarów na początku marca. Płatność najwyraźniej ośmieliła napastników, aby uderzali w cele związane z opieką zdrowotną z jeszcze większą szybkością niż zwykle. W związku z ciągłymi powiadomieniami skierowanymi do ponad 100 milionów ofiar – a wciąż odkrywane są kolejne – nasilają się procesy sądowe i inne negatywne skutki. W tym miesiącu na przykład stan Nebraska pozwała Change Healthcaretwierdząc, że „niewdrożenie podstawowych zabezpieczeń” spowodowało, że atak był znacznie poważniejszy, niż powinien.
Microsoftu powiedział w styczniu, że został on naruszony przez rosyjskich hakerów „Midnight Blizzard” w wyniku incydentu, w wyniku którego naruszono konta e-mail kadry kierowniczej firmy. Grupa jest powiązana z kremlowską agencją wywiadu zagranicznego SVR, a szczególnie z należącą do SVR jednostką APT 29, znaną również jako Cozy Bear. Po pierwszym włamaniu w listopadzie 2023 r. napastnicy obrali za cel historyczne konta testowe systemów Microsoft i złamali je, co umożliwiło im dostęp do „bardzo małego odsetka firmowych kont e-mail Microsoft, w tym członków naszego kierownictwa wyższego szczebla i pracowników działu nasze funkcje cyberbezpieczeństwa, prawne i inne.” Stamtąd grupa eksfiltrowała „niektóre e-maile i załączone dokumenty”. Microsoft stwierdził, że napastnicy najwyraźniej szukali informacji na temat tego, co firma o nich wiedziała — innymi słowy, Midnight Blizzard przeprowadzał rekonesans w zakresie badań Microsoftu na temat tej grupy. W styczniu firma Hewlett-Packard Enterprise (HPE) poinformowała również, że doświadczyła naruszenia bezpieczeństwa poczty korporacyjnej przypisywanego firmie Midnight Blizzard.
W grudniu 2023 r. firma National Public Data zajmująca się sprawdzaniem przeszłości doświadczyła naruszenia, a dane pochodzące z tego incydentu zaczęły pojawiać się w sprzedaży na forach cyberprzestępczych w kwietniu 2024 r. Latem wielokrotnie pojawiały się różne konfiguracje danych, których kulminacją było publiczne potwierdzenie naruszenie przez spółkę w sierpniu. Skradzione dane obejmowały nazwiska, numery ubezpieczenia społecznego, numery telefonów, adresy i daty urodzenia. Ponieważ Krajowe Dane Publiczne potwierdziły naruszenie dopiero w sierpniu, spekulacje na temat sytuacji rosły miesiącami i obejmowały teorie, że dane obejmowały dziesiątki, a nawet setki milionów numerów ubezpieczenia społecznego. Chociaż naruszenie było znaczące, prawdziwa liczba osób, których to dotyczy, wydaje się, na szczęście, znacznie niższa. Firma zgłoszone w zgłoszeniu urzędnikom w Maine, że naruszenie dotknęło 1,3 miliona osób. W październiku spółka matka National Public Data, Jerico Pictures, złożył wniosek o ogłoszenie upadłości na podstawie rozdziału 11 reorganizację w południowym dystrykcie Florydy, powołując się na stanowe i federalne dochodzenie w sprawie naruszenia, a także szereg procesów sądowych, przed którymi stoi firma w związku z tym incydentem.
Wyróżnienie: Kradzież kryptowalut w Korei Północnej
Wiele osób kradnie co roku duże ilości kryptowalut, w tym północnokoreańscy cyberprzestępcy, których zadaniem jest pomoc w finansowaniu królestwa pustelników. A raport opublikowane w tym miesiącu przez firmę Chainalytic firmy śledzącej kryptowaluty podkreślają, jak agresywni stali się hakerzy wspierani przez Pjongjang. Badacze odkryli, że w 2023 r. hakerzy powiązani z Koreą Północną w ramach 20 ataków ukradli ponad 660 milionów dolarów. W tym roku w 47 incydentach ukradli około 1,34 miliarda dolarów. Dane za 2024 r. reprezentują 20 procent wszystkich incydentów odnotowanych w tym roku przez analizę Chainalytic i aż 61 procent całkowitych środków skradzionych przez wszystkie podmioty.
Sama dominacja robi wrażenie, ale badacze podkreślają powagę zbrodni. „Urzędnicy amerykańscy i międzynarodowi ocenili, że Pjongjang wykorzystuje kradzione kryptowaluty do finansowania programów związanych z bronią masowego rażenia i rakietami balistycznymi, zagrażając bezpieczeństwu międzynarodowemu” – napisał Chainalytic.
