אירופה היא אויב הסייבר הגדול ביותר של עצמה - רוב המתקפות באות מתוכה
מאת: מערכת Telecom News, 26.5.19, 13:52

זוהו רשתות אוטונומיות (ASNs) וספקי שירותי אינטרנט (ISPs) המובילים כמקורות לשיגור התקפות. על מנהלי רשתות ומהנדסי אבטחת מידע לסרוק את הלוגים של הרשת כדי למצוא קישורים לכתובות ה-IP התוקפות. הרשימות להלן.
 
אירופה סופגת יותר התקפות סייבר מתוך גבולותיה לעומת התקפות מכל מקום אחר בעולם. כך, על פי אנליזה, שבוצעה ע"י F5 Labs. הגילוי עלה לאחר למידה של תעבורת התקפות, שמוקדו בכתובות IP אירופיות החל מה- 1.12.18 ועד מרץ 2019, תוך השוואת המגמות עם ארה"ב, קנדה ואוסטרליה.

המדינות התוקפות
המערכות, שיושמו באירופה, מהוות מטרה לתקיפה ע"י כתובות IP סביב העולם. ע"י לימוד המפה העולמית של ההתקפות גילתה החברה את מדינות המקור של ההתקפות האירופיות. הולנד הייתה המדינה התוקפת המובילה בהתקפות בתוך אירופה ולאחריה, בעשיריה הפותחת, ארה"ב, סין, רוסיה, צרפת, אירן, וייטנאם, קנדה, הודו ואינדונזיה. הולנד שיגרה פי 1.5 יותר התקפות כנגד מערכות אירופיות לעומת ארה"ב וסין יחדיו ופי 6 יותר לעומת אינדונזיה.

תוקפים מובילים – רשתות אוטונומיות (ASNs) וספקי שירותי אינטרנט (ISPs)
הרשת ההולנדית של HostPlace Web Solutions (ASN 133229) שיגרה את המספר הרב ביותר של התקפות, ולאחריה Online SAS  (ASN 12876) הצרפתית. לאחריהן NForce Entertainment (ASN43350), גם היא מהולנד. כל 3 החברות הן ספקי אחסון אתרים (web hosting), שהרשתות שלהן מופיעות באופן רוטיני ברשימת החברה של שחקניות האיומים המובילות מקרב הרשתות.

72% מכל רשתות ה-ASN שנרשמו הן ספקי שירותי אינטרנט. 28% הן ספקי אחסון אתרים. כחלק מהניתוח שלה זיהתה החברה את 50 כתובות ה-IP המובילות בתקיפת מטרות באירופה. כתוצאה מכך מומלץ, שארגונים יבדקו את הלוגים של הרשת שלהם לקישורים מאותן כתובות IP. באופן דומה, אלה שבבעלותם רשתות, צריכים לחקור את כתובות ה-IP שיכולות להיות מנוצלות.

פורטים המהווים מטרה לתקיפה
במבט על הפורטים הנמצאים בראש רשימת המטרות לתקיפה, החברה קיבלה מושג לגבי סוג המערכות הנמצאות בכוונת של התוקפים.

באירופה, הפורט המותקף ביותר היה 5060, שנמצא בשימוש ע"י שירותי Session Initiation Protocol (SIP) לקישוריות Voice over IP (VoIP) לטלפונים ומערכות לשיחות ועידה באמצעות וידאו. זהו פורט הנמצא תחת התקפות רוטיניות אגרסיביות כאשר מנתחים את תעבורת ההתקפה כנגד מיקום ספציפי במהלך אירועים מכובדים, דוגמת הוועידות המתוקשרות של טראמפ עם קים ג'ונג און ועם ולדימיר פוטין.

המותקפים ביותר לאחר מכן הם פורט 445 של Microsoft Server Massage Block (SMB) ולאחריו פורט 2222, שנמצא בשימוש נרחב כפורט של Secure Shell (SSH) לא סטנדרטי.

להישאר בטוחים
בהתבסס על המחקר, החברה ממליצה לארגונים להריץ סריקות חיצוניות לפגיעויות באופן מתמיד כדי לגלות אילו מערכות נחשפו ציבורית ובאילו פורטים ספציפיים.

כל המערכות, שנחשפות ציבורית לפתיחת הפורטים המותקפים ביותר, צריכות להיות בראש סדר העדיפות לכיבוי הפיירוול (דוגמת פורט 445 של Microsoft Samba או פורטים 3306 ו-1433 של SQL) או לניהול פגיעויות.

בנוסף, יישומי web, שלוקחים טראפיק בפורט 80, צריכים להיות מוגנים עם WAF, להיות תחת סריקה מתמדת לפגיעויות ולהיות בראש סדר העדיפות לניהול הפגיעויות, כולל תיקוני באגים וטלאי אבטחה.

החברה גם מציינת, שרבות מההתקפות בפורטים התומכים בשירותי גישה כמו SSH הן מסוג brute force (כוח גס). כך, שלכל דף login חייבת להיות הגנה מפני brute force.

שרה בודי, (בתמונה משמאל), מנהלת מחקר האיומים ב-F5 Labs: "מנהלי רשתות ומהנדסי אבטחת מידע צריכים לסרוק את הלוגים של הרשת כדי למצוא קישורים לכתובות ה-IP התוקפות. אם אתם נמצאים תחת מתקפות מכל אחת מכתובות ה-IP המובילות הללו, אתם צריכים להגיש תלונות לבעלי רשתות ה-ASN וספקי שירותי האינטרנט על ניצול, כדי שהם יכבו את המערכות התוקפות.

כשמדובר בחסימת IP, זה יכול להיות מסובך וכך גם לחסום כתובות IP, שמציעות שירותי אינטרנט למשתמשים, שיכולים להיות לקוחות. במקרים אלה, המערכת התוקפת עלולה להיות התקן IoT שהודבק, שהמשתמשים לא יודעים שהודבק, והוא כנראה לא יוכלו להתנקות.

חסימת תעבורה מכל רשתות ה-ASNs או כלל ספקי שירותי האינטרנט יכולה להיות בעייתית מאותה סיבה -חסימת כלל הרשת תעצור את הלקוחות שלהם מביצוע עסקים אתכם. זאת, אלא אם כן מדובר בספק שירותי אינטרנט התומך במדינה, שאינכם עושים איתה עסקים. במקרה זה, חסימה גיאוגרפית ברמת המדינה יכולה להיות אפקטיבית כדי לחתוך חלק נכבד מתעבורת ההתקפות ולשמור על המערכות שלכם. מסיבה זאת, הכי טוב להוריד תעבורה בהתבסס על דפוסי התקפה ברשת שלכם ו-WAF".
 

ASN	ASN Organization	Country	Industry
133229	HostPalace Web Solution PVT LTD	Netherlands	Hosting
12876	Online S.a.s.	France	Hosting
43350	NForce Entertainment B.V.	Netherlands	ISP
16276	OVH SAS	France	Hosting
36352	ColoCrossing	United States	ISP
4134	Chinanet	China	ISP
50113	MediaServicePlus LLC	Russia	ISP
56005	Henan Telcom Union Technology Co., LTD	China	Hosting
45899	VNPT Corp	Vietnam	ISP
17974	PT Telekomunikasi Indonesia	Indonesia	ISP
4837	CNCGROUP China169 Backbone	China	ISP
44244	Iran Cell Service and Communication Company	Iran	ISP
3462	Data Communication Business Group	Taiwan	ISPO
7552	Viettel Corporation	Vietnam	ISP
197207	Mobile Communication Company of Iran PLC	Iran	ISP
58271	FOP Gubina Lubov Petrivna	Ukraine	Hosting
8048	CANTV Servicios	Venuzuela	ISP
4766	Korea Telecom	South Korea	ISP
12880	Information Technology Company (ITC)	Iran	ISP
18403	The Corporation for Financing & Promoting Tech...	Vietnam	ISP
6739	Vodafone Ono, S.A.	Spain	ISP
45090	Shenzhen Tencent Computer Systems Company Limited	China	ISP
9121	Turk Telekom	Turkey	ISP
206792	IP Khnykin Vitaliy Yakovlevich	Russia	ISP
23650	CHINANET jiangsu province backbone	China	ISP
9829	National Internet Backbone	India	ISP
31549	Aria Shatel Company Ltd	Iran	ISP
8151	Uninet S.A. de C.V.	Mexico	ISP
49877	RM Engineering LLC	Russia	Hosting
12389	PJSC Rostelecom	Russia	ISP
9299	Philippine Long Distance Telephone Company	Philippines	ISP
4812	China Telecom (Group)	China	ISP
4808	China Unicom Beijing Province Network	China	ISP
8452	TE Data	Norway	ISP
16125	UAB Cherry Servers	Lithuania	Hosting
29073	Quasi Networks LTD.	Netherlands	Hosting
60999	Libatech SAL	Lebanon	ISP
31034	Aruba S.p.A.	Italy	Hosting
9498	BHARTI Airtel Ltd.	India	ISP
7922	Comcast Cable Communications, LLC	United States	ISP
44050	Petersburg Internet Network ltd.	Russia	ISP
60781	LeaseWeb Netherlands B.V.	Netherlands	Hosting
42590	Telemost LLC	Ukraine	Hosting
393406	Digital Ocean, Inc.	United States	Hosting
43754	Asiatech Data Transfer Inc PLC	Iran	Hosting
23969	TOT Public Company Limited	Thailand	ISP
18881	TELEFÔNICA BRASIL S.A	Brazil	ISP
16509	Amazon.com, Inc.	United States	Hosting
55577	Atria Convergence Technologies pvt ltd	India	ISP
4230	CLARO S.A.	Brazil	ISP

 
   

Source IP	ASN Organization	ASN	ISP	Country
23.249.175.100	ColoCrossing	36352	Net3	United States
42.51.231.67	Henan Telcom Union Technology Co., LTD	56005	CNISP-Union Technology (Beijing) Co.	China
194.63.142.249	MediaServicePlus LLC	50113	MediaServicePlus LLC	Russia
37.49.231.160	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
37.49.231.132	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
62.210.84.142	Online S.a.s.	12876	Free SAS	France
185.53.88.46	Vitox Telecom	209299		Estonia
185.254.122.17	UGB Hosting OU	206485		Russia
37.49.231.188	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
167.114.1.144	OVH SAS	16276	OVH Hosting	Canada
185.40.4.42	MediaServicePlus LLC	50113	MediaServicePlus LLC	Russia
62.210.83.56	Online S.a.s.	12876	Free SAS	France
167.114.208.173	OVH SAS	16276	OVH Hosting	Canada
37.49.231.187	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
62.210.86.106	Online S.a.s.	12876	Free SAS	France
62.210.86.117	Online S.a.s.	12876	Free SAS	France
62.210.88.58	Online S.a.s.	12876	Free SAS	France
62.210.83.104	Online S.a.s.	12876	Free SAS	France
37.49.231.236	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
37.49.231.122	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
62.210.83.136	Online S.a.s.	12876	Free SAS	France
176.119.7.170	FOP Gubina Lubov Petrivna	58271	FOP Gubina Lubov Petrivna	Ukraine
216.170.120.176	ColoCrossing	36352	Net3	United States
185.107.83.129	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
185.107.80.62	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
185.107.80.153	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
46.166.142.35	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
192.227.220.213	ColoCrossing	36352	ColoCrossing	United States
46.166.187.179	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
185.107.80.31	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
46.166.187.2	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
210.124.164.133	Korea Telecom	4766	LG DACOM Corporation	Republic of Korea
46.166.139.6	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
167.114.174.232	OVH SAS	16276	OVH Hosting	Canada
46.166.187.4	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
185.53.88.71	Vitox Telecom	209299		Estonia
62.210.84.176	Online S.a.s.	12876	Free SAS	France
46.166.148.3	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
149.56.45.214	OVH SAS	16276	OVH Hosting	Canada
62.210.86.103	Online S.a.s.	12876	Free SAS	France
37.49.231.77	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
46.166.142.27	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
46.166.187.177	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
137.74.180.145	OVH SAS	16276	OVH SAS	France
178.215.173.22	Telemost LLC	42590	Telemost LLC	Ukraine
37.49.231.159	HostPalace Web Solution PVT LTD	133229	Estro Web Services Private Limited	Netherlands
62.210.142.89	Online S.a.s.	12876	Free SAS	France
62.210.84.136	Online S.a.s.	12876	Free SAS	France
46.166.151.117	NForce Entertainment B.V.	43350	NFOrce Entertainment B.V.	Netherlands
62.210.84.153	Online S.a.s.	12876	Free SAS	France