ICANN, organizacja kluczowa dla funkcjonowania internetu, została zaatakowana przez sprawców, którzy posłużyli się metodą spear phishingu. Udało im się uzyskać dostęp do niektórych systemów organizacji.

ICANN sama ogłosiła, że była celem ataku z użyciem metody spear phishing. Taki atak polega na wysyłaniu do przedstawicieli danej organizacji oszukańczych e-maili, które nakłaniają ich do podania swoich danych logowania na jakiejś stronie. Cechą szczególną spear phishingu jest to, że e-maile są bardzo dobrze przygotowane i zazwyczaj wyglądają na wiadomości wewnętrzne danej organizacji. Nierzadko atakujący starają się zrobić na ofierze wrażenie, że e-mail pochodzi od osoby im znanej.

ICANN dezaktywuje hasła i ostrzega


ICANN wykryła atak, który rozpoczął się w listopadzie. Sprawcom udało się pozyskać dane uwierzytelniające do kont e-mail kilku pracowników. W grudniu te dane zostały wykorzystane, aby uzyskać dostęp do kilku systemów ICANN.

Najbardziej istotne było uzyskanie przez sprawców dostępu administracyjnego do plików w systemie CZDS (Centralized Zone Data System). Najbardziej wrażliwymi informacjami wydają się dane wprowadzone przez użytkowników. Są to nazwiska, adresy, adresy e-mail, numery faksów i telefonów, nazwy użytkowników i hasła.

Hasła były zahaszowane, ale ICANN i tak postanowiła je zdezaktywować. Użytkownicy CZDS mogą poprosić o nowe hasło. Użytkownicy, których dane mogły być ujawnione, dostaną od ICANN dodatkowe wskazówki. Można sądzić, że teraz właśnie te podmioty są narażone na kolejne ataki.

Sprawcy uzyskali też dostęp do strony rządowego komitetu dorardczego, bloga ICANN oraz portalu informacyjnego ICANN WHOIS. Z dotychczasowych ustaleń wynika, że nie doszło do ataków na inne systemy, a w szczególności na systemy związane z IANA.

Mogło być gorzej?


Choć ten atak nie był zagrożeniem dla całego internetu, błędem byłoby marginalizowanie go. Przede wszystkim był to atak na bardzo ważną organizację, dla której utrzymanie wysokiego poziomu bezpieczeństwa powinno być szczególnie istotne.

Poza tym trudno ocenić do czego ten atak mógł prowadzić, bo spear phishing może służyć bardzo wyrafinowanym działaniom. Na początku tego miesiąca Dziennik Internautów pisał o phisherach z Wall Street. Ci ludzie spenetrowali ponad 100 firm, z czego zdecydowaną większość stanowiły spółki związane z przemysłem farmaceutycznym i ochroną zdrowia. Mając wewnętrzne informacje firm, przestępcy mogli inwestować na giełdzie mając nieuczciwą "przewagę informacyjną".

Również ostatni wyciek informacji z firmy Sony pokazuje, jak wrażliwe mogą być treści zawarte tylko w e-mailach. Mogą być one źródłem wstydliwych wycieków, albo dotyczą różnych podmiotów, bardziej lub mniej związanych z celem wycieku. Trzeba przy tym mieć na uwadze, że obecnie na świecie i w USA wciąż toczy się dyskusja o zarządzaniu internetem. Oczywiście nie ma powodów by od razu łączyć to z atakiem, ale teraz każde naruszenie bezpieczeństwa ICANN może mieć szczególne znaczenie. W tej sytuacji ICANN robi jedną bardzo właściwą rzecz - stara się przejrzyście informować o tym, że zagrożenie było.

[Marcin Maj]