24. července 2020 vypukne v Tokiu v pořadí už 32. letní olympiáda, takže japonský organizační tým postupně finišuje s výstavbou a přípravou ostře sledovaného sportovního svátku. Není však zdaleka jediný, na hry se totiž chystají i státní hackeři.
Řeč přitom není o soudruzích z KLDR, kteří to mají vlastně jen kousek, ale o skupině, pro kterou se vžila celá hromada přezdívek. Říká se jim Strontium, Fancy Bear, Tsar Team nebo třeba APT28 a v posledních pěti letech útočili jak na počítačové systémy německého parlamentu, tak nejspíše i na e-maily americké Demokratické strany a ukrajinskou armádu.
Stopy vedou na východ
Vzhledem k vybraným cílům – ve skutečnosti jich bylo ještě mnohem více – je zřejmé, že se nejspíše nebude jednat ani o znuděné studenty ČVUT z kolejí Strahov. Stopy naopak míří daleko na severovýchod, bezpečnostní experti i zasažené státy se totiž domnívají, že se jedná o operace hackerů útočících s požehnáním a příkazem ruské Glavnoje razvedivatěl'noje upravlenije, tedy Hlavní rozvědkové správy GRU.
Nutno však podotknout, že se v těchto případech zpravidla jedná pouze o nepřímé důkazy, neboť skutečného aktéra prakticky není možné vysledovat. Obecně se tedy k této problematice přistupuje optikou cui bono, tedy komu by byl podobný útok při jeho zjevných finančních nákladech vlastně prospěšný (i hackeři potřebují dostatek pizzy).
Zároveň platí, že aby skutečný aktér zakryl svoji identitu ještě více, může jeho útok napodobovat zdokumentované rysy nějaké starší operace, o které si odborná veřejnost myslí, že směřovala skrze prostředníky právě z Pekingu, anebo Moskvy, ačkoliv skutečným viníkem může být ještě někdo třetí.
Microsoft nedělá pouze Defender
Jelikož útoky často cílily na podnikové zákazníky Microsoftu, mnohé z nich dokázali rozšifrovat právě inženýři z Redmondu a jeho oddělení MSRC – Microsoft Security Response Center. Microsoft totiž nevyvíjí pouze svůj antivirus Defender, který je dnes integrální součástí Windows 10, ale i pokročilejší síťové analytické systémy.
Jeden z nich, Advanced Threat Analytics (ATA), nedávno pomohl odhalit i pokus o špionáž v českém Avastu, když se do jeho intranetu skrze kompromitované VPN spojení dostal jakýsi dobrodruh ze zahraničí. Avast naštěstí dostál svému jménu, záškodníka zavčas odhalil a ve spolupráci s Bezpečnostní informační službou se jej snažil dále sledovat.
Blíží se letní olympiáda, a tak začala GRU opět útočit
Redmondské analytické systémy nedávno zachytily další podezřelou aktivitu, ze které opět viní skupinu Fancy Bear/APT28. Právě tito hackeři měli útočit na jeho klienty, a to ne tak ledajaké, jedná se totiž o antidopingové organizace z celého světa.
Doping a Rusko jsou po zkušenostech z minulých let už téměř synonyma, takže asi nebude náhodou, že se vlna útoků přehnala internetem krátce poté, co Světová antidopingová agentura WADA pohrozila Rusku, že jej nevpustí na žádnou mezinárodní sportovní soutěž. Hlavním důvodem přitom měla být absence jakékoliv reflexe minulých průšvihů ruských sportovců a pokračující a státem posvěcený dopingový program, který mají potvrzovat nesrovnalosti v databázích tamních antidopingových organizací.
Hackeři útočili na 16 antidopingových organizací
Podle Microsoftu hackeři zaútočili přinejmenším na šestnáct národních i mezinárodních sportovních a antidopingových institucí, přičemž v některých případech byli úspěšní a mohli se dostat ke strategickým interním informacím.
A jaké postupy vlastně útočníci použili? Pokud nás čtete pravidelně, jistě vám neunikla jarní reportáž, v rámci které jsme si popovídali s etickými hackery z tzv. red týmu společnosti Unicorn.
Firma je nabízí jako komerční službu pro banky a další citlivé instituce, které si chtějí ověřit kvalitu svého zabezpečení. Počítačoví a datoví experti, o kterých ví ve firmě třeba jen nejužší vedení, pak budou mít několik týdnů na to, aby se pokusili dostat do její intranetové sítě nebo do zabezpečené budovy, kde rozmístí štěnice. Nakonec objednavateli zpracují závěrečnou zprávu, ve které shrnou všechny slabiny, na které přišli.
Jedním z útoků, který přitom používají, se jmenuje spear phishing.
Cílený phishing, který zmate i IT oddělení
Právě ten podle Microsoftu úspěšně použili také hackeři ze skupiny Fancy Bear/APT28. Spear phinshing je cílený phishing na míru. To znamená, že vám nedorazí jeho masová a povětšinou naprosto pitomá a průhledná podoba, kterou si pamatujete třeba z vlny e-mailů drahoušek zákazník, ale podvodný e-mail, který je určený přímo vám a obsahuje hromadu důvěryhodných informací, protože útočník dobře ví, že vůbec existujete.
Sofistikovaný hacking v terénu, aneb čtečka čipových karet skrytá ve falešné zlomenině ruky. I toto při svých operacích zkoušejí hackeři červených týmů.
Může se tak jednat třeba o e-mail, který na letmý pohled vypadá jako interní sdělení pro zaměstnance s odkazem. Když na něj klepnete, snadno pominete mnohé základní bezpečnostní poučky, protože se nejedná o žádnou špatně komolenou češtinu ze strojového překladače, ale o text, který by přece klidně mohla napsat ta Jitka z personálního.
Experti z Unicornu nám potvrdili, že se tímto způsobem občas nachytají i správci sítě a další seniorní zaměstnanci IT oddělení, kteří by jinak odpřisáhli, že přece na žádný nigérijský e-mail neskočí. Ale skočí, jen stačí, aby nebyl z Nigérie.
Když hacker začne sprejovat hesla napříč internetem
Společně se spear phishingem útočníci podle Microsoftu použili i další techniky, třeba password spraying. Pokud máte doma veřejnou IP adresu a otevřené nějaké ty TCP porty, s tímto útokem se váš router setkává prakticky každý den. Je to prosté, útočník se pokouší pomocí typických párů login/heslo, třeba admin/12345678, přihlásit třeba k SSH, pokud uvidí jeho otevřený TCP port číslo 22.
Útoky umí zaznamenávat třeba český router Turris, který umožňuje spuštění falešného SSH serveru, který ve skutečnosti běží mimo vaši síť. Jelikož byl pro tyto účely na routeru otevřený z vnějšího internetu port 22, mohl jsme se podívat, kdo se skrze něj pokoušel přihlásit,
Kouzlo spočívá v tom, že namísto toho, aby se věnoval jen vám a formou brute-force takových párů login/heslo vyzkoušel třeba tisíc (čehož by si už měl všimnout firewall a odstřihnout jej), primitivní kombinaci vyzkouší na tisících a tisících veřejných IP adres. Dělá to softwarový robot, takže jen stačí spustit příkaz.
Díky velkému množství cílů pak roste i pravděpodobnost, že má někdo na svém starším domácím routeru skutečně primitivní nebo dokonce i výchozí heslo od výroby a do vnějšího internetu exponovanou webovou administraci.
Útočníci se pokoušeli prolomit i do síťových krabiček
Vedle cíleného phishingu z ranku sociálního inženýringu a vlastně docela primitivního hádání hesel nakonec útočníci zkoušeli i zneužít zranitelnosti v síťových počítačích svých obětí a že se nejednalo o žádné zelenáče, dokládá i skutečnost, že vedle konfekčních a hotových open-source nástrojů, kterými je vyzbrojená třeba specializovaná linuxová distribuce Kali, při svých útocích použili i vlastní postupy a vlastní malware, čímž lze jednoznačně vyloučit i script-kiddies a obecně nadšené zelenáče, kteří na YouTube zkoukli několik videí typu „Hackujeme NASA snadno a rychle.“
Letní olympiáda se blíží, podobných útoků tedy nejspíše bude nadále přibývat. Ostatním nezbývá než doufat, že i když jsou útočníci už z principu vždy krok napřed, počítačoví experti je dokážou zpětně vystopovat a sjednat nápravu. Microsoft to učinil i v tomto případě a obětem doporučil, jak vylepšit své chatrně zabezpečené systémy.
