Jak wynika z najnowszej analizy zagrożeń przeprowadzonej przez F5 Labs [1], Europa jest celem większej liczby ataków przeprowadzanych z jej własnego terenu niż jakikolwiek inny region świata. Większość ataków jest inicjowana z adresów IP zlokalizowanych w Holandii, a w dalszej kolejności, z tych znajdujących się w Stanach Zjednoczonych, Chinach, Rosji i Francji.
Europejskie systemy są atakowane z adresów IP z całego świata. Krajem, z którego pochodziło najwięcej ataków, okazała się Holandia. Na kolejnych miejscach pierwszej dziesiątki znalazły się: Stany Zjednoczone, Chiny, Rosja, Francja, Iran, Wietnam, Kanada, Indie i Indonezja. Warto zauważyć, że z Holandii pochodziło 1,5-krotnie więcej ataków na systemy europejskie niż ze Stanów Zjednoczonych i Chin łącznie, a także 6-krotnie więcej niż z Indonezji.
Najczęściej wykorzystywane w atakach sieci (ASN) i dostawcy usług internetowych
Trzy sieci, z których wykryto najwięcej ataków (holenderska sieć HostPalace Web Solutions, francuska – Online SAS i NForce Entertainement z Holandii) to dostawcy usług hostingowych, którzy regularnie pojawiają się na sporządzanych przez F5 Labs listach sieci najczęściej używanych przez cyberprzestępców [2].
72% wszystkich zarejestrowanych w raporcie numerów ASN [3] reprezentuje dostawców usług internetowych, pozostałe 28% to dostawcy usług hostingowych. W ramach przeprowadzonych badań analitycy F5 Labs wskazali też 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie. [4] Z tą listą powinni zapoznać się przedsiębiorcy i sprawdzić dzienniki swoich sieci pod kątem połączeń z wyszczególnionymi w niej adresami IP. Ze względów bezpieczeństwa adresom tym powinni się również przyjrzeć właściciele sieci.
Najczęściej atakowane porty
Dzięki analizie najczęściej atakowanych portów, ekspertom z F5 Labs udało się określić typ systemów, które znajdują się na celowniku cyberprzestępców. Najczęściej atakowany port w Europie (port 5060) wykorzystywany jest w telefonii internetowej do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Jak wynika z analiz ruchu związanego z atakami ukierunkowanymi na określoną lokalizację, port ten regularnie jest celem intensywnych ataków w trakcie globalnych konferencji dyplomatycznych, takich jak niedawne ważne szczyty Donalda Trumpa z Kim Dzong Unem [5] i Władimirem Putinem [6].
Skuteczne zabezpieczenie
Według ekspertów F5 firmy powinny nieustannie skanować swoje systemy i porty pod kątem zewnętrznych luk w zabezpieczeniach, a każdy system narażony na zewnętrzne ataki na porty najczęściej wybierane przez przestępców, powinien być traktowany priorytetowo przy konfiguracji zapory lub zarządzaniu lukami w zabezpieczeniach.
„Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki. W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług internetowych, aby mogli oni wyłączyć systemy przestępców” — mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs.
Kłopotliwe może być prowadzenie dużych czarnych list, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy usług internetowych. Mogą one bowiem zapewniać dostęp do Internetu w miejscach zamieszkania klientów atakowanej firmy. „W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia” – dodaje Sara Boddy.
Zablokowanie ruchu z całej sieci o konkretnym numerze ASN lub od określonego dostawcy usług internetowych mogłoby uniemożliwić współpracę użytkowników z daną firmą. W takim przypadku lepszym rozwiązaniem będzie zablokowanie wyłącznie dostawcy usług internetowych obsługującego kraj, z którym dane przedsiębiorstwo nie współpracuje w oparciu o geolokalizację na poziomie kraju.
50 najczęściej atakujących sieci (numerów ASN) od największej do najmniejszej liczby ataków.
ASN | ASN Organization | Country | Industry |
133229 | HostPalace Web Solution PVT LTD | Netherlands | Hosting |
12876 | Online S.a.s. | France | Hosting |
43350 | NForce Entertainment B.V. | Netherlands | ISP |
16276 | OVH SAS | France | Hosting |
36352 | ColoCrossing | United States | ISP |
4134 | Chinanet | China | ISP |
50113 | MediaServicePlus LLC | Russia | ISP |
56005 | Henan Telcom Union Technology Co., LTD | China | Hosting |
45899 | VNPT Corp | Vietnam | ISP |
17974 | PT Telekomunikasi Indonesia | Indonesia | ISP |
4837 | CNCGROUP China169 Backbone | China | ISP |
44244 | Iran Cell Service and Communication Company | Iran | ISP |
3462 | Data Communication Business Group | Taiwan | ISP |
7552 | Viettel Corporation | Vietnam | ISP |
197207 | Mobile Communication Company of Iran PLC | Iran | ISP |
58271 | FOP Gubina Lubov Petrivna | Ukraine | Hosting |
8048 | CANTV Servicios | Venuzuela | ISP |
4766 | Korea Telecom | South Korea | ISP |
12880 | Information Technology Company (ITC) | Iran | ISP |
18403 | The Corporation for Financing & Promoting Tech… | Vietnam | ISP |
6739 | Vodafone Ono, S.A. | Spain | ISP |
45090 | Shenzhen Tencent Computer Systems Company Limited | China | ISP |
9121 | Turk Telekom | Turkey | ISP |
206792 | IP Khnykin Vitaliy Yakovlevich | Russia | ISP |
23650 | CHINANET jiangsu province backbone | China | ISP |
9829 | National Internet Backbone | India | ISP |
31549 | Aria Shatel Company Ltd | Iran | ISP |
8151 | Uninet S.A. de C.V. | Mexico | ISP |
49877 | RM Engineering LLC | Russia | Hosting |
12389 | PJSC Rostelecom | Russia | ISP |
9299 | Philippine Long Distance Telephone Company | Philippines | ISP |
4812 | China Telecom (Group) | China | ISP |
4808 | China Unicom Beijing Province Network | China | ISP |
8452 | TE Data | Norway | ISP |
16125 | UAB Cherry Servers | Lithuania | Hosting |
29073 | Quasi Networks LTD. | Netherlands | Hosting |
60999 | Libatech SAL | Lebanon | ISP |
31034 | Aruba S.p.A. | Italy | Hosting |
9498 | BHARTI Airtel Ltd. | India | ISP |
7922 | Comcast Cable Communications, LLC | United States | ISP |
44050 | Petersburg Internet Network ltd. | Russia | ISP |
60781 | LeaseWeb Netherlands B.V. | Netherlands | Hosting |
42590 | Telemost LLC | Ukraine | Hosting |
393406 | Digital Ocean, Inc. | United States | Hosting |
43754 | Asiatech Data Transfer Inc PLC | Iran | Hosting |
23969 | TOT Public Company Limited | Thailand | ISP |
18881 | TELEFÔNICA BRASIL S.A | Brazil | ISP |
16509 | Amazon.com, Inc. | United States | Hosting |
55577 | Atria Convergence Technologies pvt ltd | India | ISP |
4230 | CLARO S.A. | Brazil | ISP |
Note: The Quasi Networks (a known bulletproof hosting provider that did not respond to abuse complaints), ASN 29073 has been “unassigned” as of March 24th, 2019.
Organizations should check their network logs for connections from these IP addresses, and the owning networks should investigate these IP addresses for abuse. The networks of these IPs show up in the top attacking ASN’s list, but these top attacking IP’s are unique to Europe except for 2: 62.210.83.136 and 46.166.151.117.
Source IP | ASN Organization | ASN | ISP | Country |
23.249.175.100 | ColoCrossing | 36352 | Net3 | United States |
42.51.231.67 | Henan Telcom Union Technology Co., LTD | 56005 | CNISP-Union Technology (Beijing) Co. | China |
194.63.142.249 | MediaServicePlus LLC | 50113 | MediaServicePlus LLC | Russia |
37.49.231.160 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
37.49.231.132 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
62.210.84.142 | Online S.a.s. | 12876 | Free SAS | France |
185.53.88.46 | Vitox Telecom | 209299 | Estonia | |
185.254.122.17 | UGB Hosting OU | 206485 | Russia | |
37.49.231.188 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
167.114.1.144 | OVH SAS | 16276 | OVH Hosting | Canada |
185.40.4.42 | MediaServicePlus LLC | 50113 | MediaServicePlus LLC | Russia |
62.210.83.56 | Online S.a.s. | 12876 | Free SAS | France |
167.114.208.173 | OVH SAS | 16276 | OVH Hosting | Canada |
37.49.231.187 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
62.210.86.106 | Online S.a.s. | 12876 | Free SAS | France |
62.210.86.117 | Online S.a.s. | 12876 | Free SAS | France |
62.210.88.58 | Online S.a.s. | 12876 | Free SAS | France |
62.210.83.104 | Online S.a.s. | 12876 | Free SAS | France |
37.49.231.236 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
37.49.231.122 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
62.210.83.136 | Online S.a.s. | 12876 | Free SAS | France |
176.119.7.170 | FOP Gubina Lubov Petrivna | 58271 | FOP Gubina Lubov Petrivna | Ukraine |
216.170.120.176 | ColoCrossing | 36352 | Net3 | United States |
185.107.83.129 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
185.107.80.62 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
185.107.80.153 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
46.166.142.35 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
192.227.220.213 | ColoCrossing | 36352 | ColoCrossing | United States |
46.166.187.179 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
185.107.80.31 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
46.166.187.2 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
210.124.164.133 | Korea Telecom | 4766 | LG DACOM Corporation | Republic of Korea |
46.166.139.6 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
167.114.174.232 | OVH SAS | 16276 | OVH Hosting | Canada |
46.166.187.4 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
185.53.88.71 | Vitox Telecom | 209299 | Estonia | |
62.210.84.176 | Online S.a.s. | 12876 | Free SAS | France |
46.166.148.3 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
149.56.45.214 | OVH SAS | 16276 | OVH Hosting | Canada |
62.210.86.103 | Online S.a.s. | 12876 | Free SAS | France |
37.49.231.77 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
46.166.142.27 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
46.166.187.177 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
137.74.180.145 | OVH SAS | 16276 | OVH SAS | France |
178.215.173.22 | Telemost LLC | 42590 | Telemost LLC | Ukraine |
37.49.231.159 | HostPalace Web Solution PVT LTD | 133229 | Estro Web Services Private Limited | Netherlands |
62.210.142.89 | Online S.a.s. | 12876 | Free SAS | France |
62.210.84.136 | Online S.a.s. | 12876 | Free SAS | France |
46.166.151.117 | NForce Entertainment B.V. | 43350 | NFOrce Entertainment B.V. | Netherlands |
62.210.84.153 | Online S.a.s. | 12876 | Free SAS | France |
Top 20 attacked ports and services
[1] Analitycy F5 Labs we współpracy z firmą Baffin Bay Networks zajmującą się analizą zagrożeń podjęli się zbadania globalnego środowiska ataków, aby lepiej zrozumieć zagrożenia w poszczególnych regionach, wyodrębnić wspólne cechy przestępców i powtarzające się atakowane porty oraz wskazać elementy unikalne. W serii przeprowadzonych badań przeanalizowano ataki, które miały miejsce w tym samym 90-dniowym okresie w Europie, Stanach Zjednoczonych, Kanadzie i Australii. Wnioski z badania F5 Labs zostały wyciągnięte na podstawie analizy ruchu związanego z atakami ukierunkowanymi na europejskie adresy IP w okresie od 1 grudnia 2018 r. do 1 marca 2019 r.
[2] https://www.f5.com/labs/search._hunt_for_IoT
[3] Autonomous System – zbiór adresów IP pod wspólną administracyjną kontrolą, ze spójną routing policy
[4] https://www.f5.com/labs/articles/threat-intelligence/regional-threat-perspectives–europe
[5] https://www.f5.com/labs/articles/threat-intelligence/russian-attacks-against-singapore-spike-during-trump-kim-summit
[6] https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting