Pacovi, botovi i phishing putem reverznog proxyja: zašto su kibernetički kriminalci usmjerili pozornost na dostavu

Kibernetički rizik mnogi smatraju činjenicom života, no dugo je vrijeme relativna izolacija brodskog prijevoza od prijetnji bila njegova najveća prednost. Mali obujam prometa s malom propusnošću značio je da je brodski prijevoz predstavljao pokretnu metu relativno male vrijednosti.

Pojava LEO usluga visokog protoka i niske latencije, zajedno s VSAT i 4/5G povezivošću, dovela je pomorski promet u glavni tok digitalizacije. Razina prijetnje je u skladu s tim porasla, kao i potreba za regulativom koja će u određenoj mjeri pomoći u upravljanju rizikom.

Takva su pravila dosad bila šitonski pristup, no sve su više usklađena jer se zakonskim smjernicama, dobrovoljni sustavi i industrijski standardi nadopunjuju propisima Europske unije koji prijete kaznenim novčanim iznosima za nepoštivanje.

Jačanje regulatora je pravodobno, jer prijetnje kibernetičkih kriminalaca nastavljaju rasti, povećavajući se u opsegu i sofisticiranosti.

Najnovije globalno izvješće o pomorskim kibernetičkim prijetnjama koje je izradio Marlinkov Centar za sigurnosne operacije (SOC) pokazuje promjenjive taktike kibernetičkih kriminalaca, koji sve više pokušavaju zaobići prethodno učinkovite sigurnosne kontrole koristeći nove alate.

Marlinkov jedinstveni pomorski SOC aktivno je nadzirao više od 1800 plovila u prvoj polovici 2024. godine, a podaci pokazuju da se zlonamjerna aktivnost u tom razdoblju znatno povećala u usporedbi s prethodnom godinom.

Analitičari su zabilježili nastavak rasta uobičajenih prijetnji, kao što su napadi zapovijedanja i kontrole (C&C), zajedno s evolucijom botnet napada, koji se povećavaju u broju i složenosti.

Phishing i dalje ostaje vodeća taktika koju napadači koriste za pristup korporativnim mrežama, iako je SOC također zabilježio porast zlonamjernog prometa s crne liste. To naglašava važnost održavanja ažurnih izvora obavještajnih podataka o prijetnjama i primjene strogih sigurnosnih pravila kako bi se spriječile neovlaštene veze s lokacijama visokog rizika.

Povećana vidljivost događaja iz rješenja za zaštitu krajnjih točaka (EDR), vatrozida i sigurnosti e-pošte, zajedno s kontekstom koji pružaju obavještajne sposobnosti, omogućila je SOC analitičarima da steknu dublji uvid u evoluirajući krajolik prijetnji.

Zlonamjerne strane razvijaju svoje obrasce napada i pokreću prijevarne kampanje koje zaobilaze prethodno učinkovite sigurnosne kontrole, kao što je dvostruka provjera autentičnosti, prisiljavajući obranitelje da reagiraju i podignu razinu sigurnosti kako bi osigurali zaštitu poslovanja.

Tijekom prve polovice 2024. godine, značajan dio prijetnji koje je SOC neutralizirao nastavio je slijediti najčešći vektor napada viđen od 2022. godine: phishing. Međutim, u tom je razdoblju zabilježen značajan porast naprednijeg oblika poznatog kao "reverse proxy phishing".

Phishing je klasična metoda kibernetičkog napada u kojoj napadači glume legitimne subjekte (poput banaka ili pružatelja usluga) kako bi prevarili korisnike da unesu osjetljive informacije, kao što su vjerodajnice za prijavu ili financijski podaci. Tradicionalni phishing često se oslanja na lažne web-stranice ili prijevarne e-poruke kako bi prikupio podatke korisnika.

S druge strane, 'reverse proxy phishing' je sofisticiranija verzija. Umjesto da jednostavno stvori lažnu web stranicu, napadač postavlja 'proxy' koji se nalazi između legitimne web stranice i žrtve. Taj proxy prikuplja korisničke vjerodajnice i u stvarnom vremenu prosljeđuje ih na pravu stranicu, dajući žrtvi dojam da je sve normalno. Opasnost ove metode leži u činjenici da može zaobići višefaktorsku autentifikaciju (MFA), koja se često koristi za zaštitu osjetljivih sustava.

Phishing putem obrnutog proxyja otvara vrata ozbiljnim kibernetičkim prijetnjama kao što su C&C sustavi, botneti i trojanci za daljinski pristup (RAT-ovi). Jednom kada napadači dobiju pristup mreži, mogu implementirati C&C infrastrukturu za daljinsku kontrolu kompromitiranih sustava. To bi moglo omogućiti stvaranje botneta – velikih mreža zaraženih uređaja koji se koriste za zlonamjerne aktivnosti poput distribuiranih napada uskraćivanja usluge (DDoS napadi).

Podaci iz Marlink SOC-a ukazuju na sve veću sofisticiranost kibernetičkih prijetnji usmjerenih na plovidbu, koje pomiču granice postojećih sigurnosnih mjera i zahtijevaju proaktivan pristup od pomorskih tvrtki.

Za pomorski sektor ovi napadi mogu značajno utjecati na poslovanje, od poremećaja u pomorskoj logistici do manipulacije osjetljivim komunikacijskim sustavima. Kašnjenja, gubitak reputacije i skupe sanacije samo su neki od mogućih ishoda.

Kao odgovor na to, Marlink SOC nastoji poboljšati svoje mogućnosti nadzora većom upotrebom detekcije prijetnji u stvarnom vremenu, analize ponašanja temeljene na umjetnoj inteligenciji, obavještajnih podataka o prijetnjama i jačih rješenja za višestruku provjeru autentičnosti (MFA).

Evolucija sigurnosnog okruženja u prvih šest mjeseci 2024. godine nastavila je iznenađivati. Jasno je da čak i operateri plovila koji su se prethodno suprotstavljali kibernetičkim prijetnjama moraju ovo smatrati kontinuiranim procesom. Usredotočujući se na kombinaciju ljudi, procedura i mjera opreza, ove se tvrtke mogu bolje zaštititi i zaštititi svoje dionike, osiguravajući sigurnije i otpornije poslovanje.