Novákoviny

stránky publicisty Jana A. Nováka

Hackeři v časech pandemie

virhack1Hackerské útoky na nemocnice v časech pandemie ukázaly, že problém kyberbezpečnosti je ještě naléhavější, než se doteď mohlo zdát: útočníci nemají zábrany, jediným cílem je napáchat co největší škody. Znepokojující je i to, že některé útoky jsou natolik sofistikované, že za nimi možná stojí organizované skupiny, nebo dokonce některé státy.

Analytické oddělení společnosti Google Threat Analysis Group (TAG) koncem dubna zveřejnilo studii, v níž tvrdí, že nejméně 12 organizací, za nimiž skrytě stojí nebo je financují vlády, využily pandemii COVID 19 jako příležitost ke kybernetickým útokům a krádežím dat.
"Hackeři často krize přímo vyhlížejí, protože je to pro ně dobrá příležitost, a současná pandemie není výjimkou," uvedl v této souvislosti šéf TAG Shane Huntley.

 

Pandemie s počítačovým virem v zádech

Ve studii TAG se uvádí, že během pandemie její analytici denně zaznamenávali okolo 18 milionů pokusů o rozeslání pishingových zpráv - emailů s přílohami, po jejichž otevření počítač nebo síť infikuje škodlivý program. Ten se pak buď snaží hledat a odesílat citlivá data, nebo síť vyřadit z provozu. Během pandemie mířily tyto zprávy a další kybernetické údoky především na zaměstnance státních institucí a zdravotnických organizací.
virhack2Například v dubnu přinesla agentura Reuters zprávu o útoku na počítače Světové zdravotnické organizace (WHO), v němž analytici rozpoznali rukopis hackerských skupin, za nimiž skrytě stojí vláda Íránu. Ta sice obvinění odmítla, ovšem Reuters v této souvislosti citoval "osobu blízkou zpravodajským kruhům" podle níž zpravodajské centrály o aktivitách Íránu vědí a jejich zvýšení v čase krizí už se stalo téměř pravidlem.
Útoky se vyznačují svébytným rukopisem, podle něhož analytikové usuzují na konkrétní hackerské skupiny. Uvádějí například hackerské uskupení, kterému říkají Dark Hotel (již dříve útočící na americké akademické kruhy), nebo Phosphorus (někdy označované jako APT 35, nebo Charming Kitten), které bylo aktivní i v období amerických prezidentských voleb. Společnost Google ve své zprávě uvádí, že během pandemie zaznamenala více než 250 milionů podezřelých mailů s tématem koronavirus, z nichž značnou část zablokovala.
Pishing je zdánlivě primitivní metoda útoku, proti níž existuje jednoduchá obrana: neotvírat přílohy zpráv od neznámých subjektů. Analytici Google ale upozorňují, že odesílatelé se snaží využít strachu z viru SARS-CoV-2. Maily se proto tváří jako zprávy o epidemii, o obraně proti viru, o příznacích nemoci, o dopadech krize a podobně.
Ve skutečnosti jsou organizovaní útočníci poslední dobou ještě rafinovanější. Maily už leckdy nerozesílají ve velkém na slepo, ale cíleně: pomocí sociálních sítí a dalších zdrojů si vytvoří psychologický portrét vytipovaných adresátů. Někdy s ním dokonce začnou korespondovat pod falešnou identitou, aby získali jeho důvěru - asi byste neřekli, že ten hodný důchodce, který se (dejme tomu) stejně jako vy zajímá o historii Habsburků a píše o nich tak zasvěcené věci, je ve skutečnosti někdo úplně jiný. A že přílohy jeho mailů umí mnohem víc, než jen předvést animaci bitvy u Hradce Králové...
Původ útoků je téměř nemožné odhalit, protože probíhají přes zahraniční neregistrované servery nebo/a přes prostředníky. Uvádí se, že neodhalených útočníků zůstává ve více než 95 procentech případů. Určitou indicií při masivním útoku může být zvýšený tok dat v některých prvcích internetové sítě - ale i s tím už si umí nejvyspělejší hackeři poradit.

 

Pod falešnou vlajkou

I když v souvislosti s útoky během pandemie je zmiňován Írán, už loni Andy Greensberg, který pro server Wired píše o kyberbezpečnosti, upozornil, že ne všechno, co vypadá jako íránské, opravdu íránské je. Uvedl, že podle zpráv americká Národní bezpečnostní agentury (NSA) a britské bezpečnostní organizace GCHQ ruská hackerská skupina známá jako Turla nebo Waterbug převzala servery íránské hackerské skupiny OilRig, aby je mohla využívat pro ruské cíle.
Šéf britského Národního centra pro kybernetickou bezpečnost (NCSC) se tehdy pochválil slovy: "Vysíláme jasnou zprávu, že i když se pachatelé maskují za něco jiného, stejně jsme schopni je vystopovat." Jiní odborníci ale upozorňují, že tento způsob útoků vnáší do bojů v kyberprostoru další prvek nejistoty a dělá odhalení pachatelů ještě obtížnější.
"Případ Turla ukazuje, jak rychle se vývoj kybernetických útoků posouvá vpřed," říká Andy Greensberg. "Ještě před několika málo lety měli jen nemotorné masky, dneska na sebe mohou vzít identitu jakékoliv jiné skupiny a nosit ji stejně pohodlně jako vlastní kůži."
virhack3Ruští hackeři jsou považováni za špičku v oboru. V operacích pod falešnou vlajkou vynikají zejména ti, kteří jsou napojeni na vojenskou zpravodajskou službu GRU a zpravodajskou službu FSB. Už roku 2014 například skupina hackerů, kteří si říkali Cyber Berkut během ukrajinských voleb napadla počítače volební komise. Později bylo odhaleno jejich spojení s ruskou hackerskou skupinou Fancy Bear pracující pro GRU. Skupina se zaměřuje na krádeže dat, útoky proti prominentním novinářům, politickým, církevním a sportovním organizacím, státním úřadům a podobně. Obzvlášť spadeno má na volby do nejvyšších orgánů. V dlouhém výčtu jejích odhalených akcí figuruje mimo jiné průnik do mailové korespondence pracovníků Ministerstva zahraničních věcí ČR roku 2016. Pověstným se stal jejich útok proti zimním olympijským hrám roku 2018 v Jižní Koreji, který dostal přezdívku Olympijský torpédoborec (Olympic Destroyer).
"Svoji hru stále vylepšují," konstatoval James Andrew Lewis z Centra strategických mezinárodních studií (CSIS). "Když jsou jejich triky odhaleny, okamžitě pracují na nových. Konečným cílem Ruska je vnášení zmatků a ovzduší všeobecné nedůvěry, ale také vytvoření atmosféry, kdy mohou zpochybnit závěry vyšetřování jejich akcí a znedůvěryhodnit instituce, které je provádějí."
Podle serveru ZD Net stáli ruští hackeři i za útokem na počítače mezinárodního letiště v San Franciscu letos v březnu. Mělo jít o ruskou skupinu známou jako Energetic Bear (někdy také DragonFly), o níž se odborníci rovněž domnívají, že má vazby na ruské tajné služby. Útok byl zaměřený na weby pracovníků letiště a jeho dodavatelů, přičemž cílem bylo získat přihlašovací hesla. Ta by pak bylo možné využívat nejen ke krádežím dat a sledování pohybu osob i provozu letiště, ale v případě potřeby také k sabotážím. Po odhalení útoku bylo letiště bylo nuceno změnit všechna přístupová hesla - ale protože přes ně komunikovalo i s dalšími subjekty, jeho problémy tím neskončily.
Ve světle tohoto renomé ani nepřekvapí, že se o ruských hackerech mluvilo i v souvislosti s kybernetickými útoky na české nemocnice. Diplomatickou zápletku mezinárodního rozsahu z nich udělalo, když na ně světovou veřejnost upozornil americký ministr zahraničí Michael Pompeo a vyzval pachatele, aby se jich zdrželi. Nikoho sice konkrétně nejmenoval, ale některá česká média citovala odborníky mluvící o "digitálních stopách" mířích ruským nebo/a čínským směrem. Například ČTK zveřejnila vyjádření představitelů antivirové firmy ESET, podle nichž byl nástroj MBR Locker využívaný pro útok, napsaný v ruském jazyce, a instrukce k jeho použití jsou k nalezení na ruských hackerských fórech. Moskva svou roli v napadení českých nemocnic vzápětí rezolutně odmítla.
V Rusku také pracuje řada renomovaných firem produkujících antivirové programy - ale nejslavnější z nich, Kaspersky Lab už několik let čelí nařčením, že je ve spojení s FSB a že její spoftware umí fungovat i jako spyware.

 

Hračky v roli špiónů

Rusové jsou sice dobří, za jedničku v oboru je ale považována Čína. Na rozdíl od ruského zaměření na rozklad a destrukci spočívá těžiště činnosti hackerů říše středu spíš v získávání informací, především v průmyslové špionáži. Jde o součást širšího tažení, které má i další formy, jako například získávání osob, které pro ně shromažďují informace a ovlivňují dění ve prospěch Číny.
"Čína představuje hrozbu nejen pro vládu, ale v konečném důsledku i pro celou naši společnost," uvedl už roku 2018 na slyšení v americkém Senátu šéf FBI Christopher Wray. Netýká se to ovšem jen Spojených států; v popředí tohoto druhu čínských zájmů jsou i vyspělé evropské země.
Čínští hackeři většinou neútočí v ruském stylu, který spočívá ve spektakulárních akcích s efektním dopadem, ale pracují tiše s orientální jemností a vychytralostí. Už přišli na to, že vlamovat se do stále lépe chráněných sítí vládních institucí je obtížné - ale i zbytečné; stačí se zaměřit na jejich dodavatele ze soukromého sektoru a spolupracující univerzity. Včetně těch, které pro ně zajišťují kybernetickou bezpečnost.
virhack4Čína také zjistila, že technologická a jiná tajemství nemusí pracně dobývat prolamováním fire-wallů, když si je může jednoduše koupit - i s jejich dosavadním vlastníkem. Ukázkovým příkladem byla koupě kalifornské firmy ATop Tech společností Avatar Integrated Systems. ATop se zabývala vývojem pokročilých čipových technologií pro zbraňové systémy, přesto vládním orgánům nějak uniklo, že za Avatarem stojí čínský kapitál. Čínské investice do koupě technologických firem (včetně start-upů) se ročně pohybují v řádu miliard dolarů.
Republikánský senátor za Texas John Cornyn to komentoval slovy: "Vysávají naše průmyslové schopnosti prostřednictvím soukromých společností. Jejich cílem je obrátit naše technologie proti nám."
Jak konkrétně takové obracení vypadá, demonstruje podezření, že čínský výrobce smartphonů a dodavatel technologií pro sítě 5G spolupracuje s čínskými bezpečnostními orgány a zpravodajskými službami. Existuje podezření, že jejich technologie dodávané do celého světa mají být trojským koněm otevírajícím bránu pro hackery a špióny. Huawei to samozřejmě odmítá.
Stejné podezření padá dokonce i na čínské výrobce hraček. Roku 2017 zakázala US Army svým jednotkám používání na trhu běžně dostupných dronů čínské firmy DJI kvůli blíže nespecifikovaným bezpečnostním rizikům. Skutečností je, že drony DJI létají podle GPS, zaznamenávají zeměpisné souřadnice, pořizují obrazové a zvukové záznamy. Nejnovější modely dokonce nevzlétnou, pokud se nacházejí v oblasti, kde je podle databáze DJI létání zakázáno. Firma tedy tyto informace má - a jak s nimi nakládá, o tom se lze jen dohadovat.
V časech míru se musí hackeři přece jen držet v určitých mezích - ale Izrael, který žije v trvalém ohrožení, si čas od času takové servítky nebere. Jak by vypadal kyberútok v časech otevřeného nepřátelství, roku 2010 trochu naznačilo vyřazení íránských centrifug obohacující uran pro jaderné zbraně, kdy se podařilo ohrozit zařízení tajného a mimořádně dobře střeženého objektu. Experti proto nepochybují o tom, že každá velká válka budoucnosti začne masivním kybernetickým útokem - a že mezi prvními příznaky a totálním zhroucením infrastruktury může uplynout jen několik desítek minut.

Jan A. Novák

You have no rights to post comments

 
Joomla Templates: by JoomlaShack