Kyberútoky na Ukrajinu sme videli už v predvečer vojny. Rozšíriť sa môžu aj do iných krajín, hovorí odborník

V rozhovore sa dočítate aj o tom:

• aké útoky má na svedomí skupina Sandworm, ktorú americké úrady pripísali ruskej rozviedke;
• ako sa útok, ktorý mal ochromiť Ukrajinu, rozšíril do celého sveta a spôsobil najväčšie škody v histórii;
• ako vážne treba brať vyhrážky ransomvérového gangu Conti, ktorý ma potenciálne prepojenie na Rusko;
• čo sú najväčšie prehrešky voči kybernetickej bezpečnosti v roku 2022.

Tento článok si môžete prečítať vďaka ESET Science Award – oceneniu, ktoré podporuje výnimočnú vedu na Slovensku. 

Objavili ste škodlivý kód – malvér –, ktorý napadol Ukrajinu takmer zároveň s ruskou armádou. Čo bolo jeho úlohou?

Kód Hermetic Wiper, ktorý sme objavili, bol deštrukčným typom škodlivého kódu. To znamená, že na počítači, ktorý napadne, dokáže zmazať kritické miesta na disku a nebude ho už možné naštartovať. Prvý Hermetic Wiper sme zachytili iba pár hodín pred ruskou inváziou a následne sme zachytili ďalšie časti útoku, ktoré tento malvér vedeli šíriť po počítačovej sieti ďalej.

Dá sa určiť, kto je za týmito útokmi?

Kybernetické útoky sa snažíme sledovať a pripísať nejakej zo známych skupín útočníkov. Ale takéto útoky nevieme pripísať konkrétnemu štátu. To je práca bezpečnostných zložiek a spravodajských služieb. Jedna z najznámejších skupín, ktoré sledujeme, je Sandworm. Americké ministerstvo spravodlivosti ju pripísalo ruskej rozviedke GRU.

Pri poslednom útoku sa nám škodlivý kód nepodobá na žiadnu skupinu, ktorú sme doposiaľ sledovali. Ale je veľmi nepravdepodobné, že by vzhľadom na cielenie a načasovanie nesúvisel s vojenským útokom na Ukrajinu.

Na koho tento kód cieli?

Hermetic Wiper sme zachytili v minimálne piatich veľkých inštitúciách na Ukrajine. Ďalší malvér sme zachytili vo vládnych sieťach, takže útočníci cielia na odstavenie takýchto systémov. V minulosti sme videli aj útoky na Ukrajine, ktoré boli zamerané viac na súkromný sektor a znefunkčňovali služby.

Prečítajte si

„Hekli sme ťa, videli sme, ako pozeráš porno. Pošli peniaze, lebo to zverejníme.“ Etický heker radí, ako reagovať na kyberútoky

Ako sa takýto škodlivý malvér dostane do zariadení a šíri ďalej?

Je viacero ciest, akými sa škodlivý kód dostane či už na konkrétny počítač, alebo do počítačovej siete. V prípade Hermetic Wipera ju zatiaľ nepoznáme. Jednou z najbežnejších ciest, ktoré sme videli pri útokoch na Ukrajinu v minulosti, je škodlivý e-mail, ktorý útočník pošle niekomu v cielenej organizácii. Nazýva sa to spear fishing (v preklade rybárčenie oštepom – pozn. red.).

Kým klasické phishingové maily sú rozposielané vo veľkom a ich hlavným cieľom je kyberzločin, spear phishing cieli na konkrétnu organizáciu alebo zamestnanca. V texte e-mailu je nejaká konkrétna téma a útočníci si dajú záležať na tom, aby bol hodnoverný. Napríklad ak útočia na diplomatické ciele, tak použijú adekvátny jazyk, ak ide o vojenský cieľ, použijú vojenskú tematiku. Tým zvyšujú pravdepodobnosť, že im konkrétna obeť naletí.

Čiže je to sofistikovanejšie, ako keď niekomu píše nigérijský princ so zlým skloňovaním. Stačí takýto e-mail otvoriť, alebo to závisí od konkrétneho malvéru?

Je to od prípadu k prípadu. Existujú pokročilejšie metódy, ktoré využívajú technické zraniteľnosti počítača. Napríklad keď niekto ide na infikovanú stránku a nemá aktualizovaný prehliadač. Ten web môže mať útočný kód, ktorý sa vie spustiť aj bez manuálneho kliknutia.

Útočníci na to však často idú cez sociálne inžinierstvo a spoliehajú sa na to, že obeť si škodlivý kód manuálne spustí. Tu hrá veľmi dôležitú rolu zvedavosť. Napríklad wordové dokumenty, ktoré obsahujú škodlivý kód, počítač automaticky zablokuje, no v dokumente sa objaví nápis, ktorý povedzme hovorí: „Máte starú verziu programu, kliknite sem, aby sa tento obsah spustil.“ Útočníci sa tak snažia presvedčiť majiteľa, aby tieto bezpečnostné mechanizmy obišiel a manuálne odblokoval spustenie škodlivého kódu.

To, že ste škodlivý malvér Hermetic Wiper objavili, znamená, že už nie je problémom a máme sa pripraviť na iné útoky, alebo stále cirkuluje?

Obidve tvrdenia sú pravdivé. My a naše bezpečnostné mechanizmy pred týmto škodlivým kódom chránime a zdieľame tieto vedomosti s ďalšími bezpečnostnými firmami. Ale, samozrejme, očakávame, že takéto útoky budú pribúdať.

Čo všetko môže takýto útok na Ukrajine ochromiť?

Veľmi to závisí od inštitúcie, ktorá bola postihnutá. Dobrým príkladom je malvér NotPetya, ktorý útočil v roku 2017. Tento útok pripisujeme už spomínanej skupine Sandworm. Aj tu šlo o deštrukčný kód, ktorý znefunkčňoval počítače, ale technická stránka bola iná. Hermetic Wiper veci zmaže a počítač jednoducho nespustíte, zatiaľ čo NotPetya to robila trochu sofistikovanejšie. Zobrazila hlášku, že súbory na disku sú zašifrované, a pýtala si výkupné. To však bola iba zásterka, vďaka ktorej sa naoko tvárila ako ransomvér.

Čiže ransomvér je „terorista“, ktorý zamkne užívateľovi dáta a požaduje od neho výkupné, aby mu ich späť odomkol?

Áno. Takýto malvér je posledné roky veľmi rozšírený a cieľmi tohto kyberzločinu sú všetci, od bežných ľudí po veľké organizácie či štátne inštitúcie. V prípade NotPetya sa útočníci na Ukrajinu tvárili ako ransomvérová kriminálna skupina. Pri hlbšej analýze kódu sme však odhalili, že ich motivácia nebola finančná. Na rozdiel od bežných ransomvérových kódov, ktoré sme analyzovali, v sebe nemal mechanizmy, ktoré dáta odšifrujú, keď obeť zaplatí. Cieľ bol čisto sabotážny.

Čo tento útok spôsobil?

Hovorí sa, že to bol kyberútok, ktorý spôsobil najväčšie škody v histórii. Odhadujú sa na desať miliárd dolárov. Vplyv kódu bol znásobený tým, že sa vedel veľmi rýchlo rozšíriť po celej krajine, keďže šíriaci mechanizmus bol nastavený cez legitímny softvér na podávanie daňových priznaní. Prostredníctvom neho sa to rozšírilo najprv na počítače v rámci firiem po celej Ukrajine a z nich sa to prelialo ďalej. Dôsledkom bolo, že celá krajina bola nejaký čas úplne ochromená, ľudia si nevedeli natankovať na pumpe či zaplatiť kartou v supermarkete. Jednoducho čokoľvek, čo bolo zosieťované a pripojené na internet, vedelo byť kompromitované.

Rozšíreniu do celého sveta „pomohlo“ to, že veľa zahraničných firiem malo sieťové pripojenia cez VPN na Ukrajinu, keďže tam mali svoje pobočky. V súčasnosti je vďaka pandémii a práci z domu používanie VPN ešte rozšírenejšie.

Ako sa dá brániť proti malvéru Hermetic Wiper?

Sú to bežné opatrenia počítačovej hygieny. Netechnické spôsoby sú, že sa človek vzdeláva a je ostražitý. Technickou cestou je mať dobré bezpečnostné mechanizmy. Teraz je správny čas prehodnotiť, či mám funkčné zálohy, z ktorých by som si v prípade útoku vedel obnoviť dáta. Veľa ľudí to podceňuje a nemá ich.

Takisto ak niekto odďaľoval zapnutie si viacfaktorovej autentizácie, tak silno odporúčam zapnúť si to ihneď všade, kde je to možné. Je to pomerne jednoduchý mechanizmus, ktorý významne sťažuje útočníkom prácu.

Ransomvérový gang Conti, ktorý má potenciálne prepojenia na ruské spravodajské agentúry, sa vyhráža, že použije „všetky možné zdroje, aby zasiahol kritickú infraštruktúru“ národov, ktoré „hekujú Rusko“. Sú to iba vyhrážky, alebo majú na to reálnu silu?

Takéto správy netreba podceňovať. Ransomvérové gangy majú veľkú silu, vedia robiť nebezpečné kampane a neštítia sa naozaj ničoho. Videli sme to ostatné roky, keď boli tieto gangy čoraz agresívnejšie. Napríklad na začiatku pandémie ohlásili, že nebudú útočiť na nemocnice, čo neskôr porušili. To prekračovalo všetky hranice a boli sme svedkami aj toho, ako v nemocnici odstavili počítačové systémy. Pacientka preto musela byť prevezená do inej nemocnice a presun neprežila.

Ransomvér nie je žiadna novinka, ale pred takými desiatimi rokmi boli útoky väčšinou cielené na jednotlivcov. Kód im zašifroval súbory, vypýtal si výkupné povedzme tristo dolárov, niekto zaplatil, niekto nie. Lenže časom gangy prišli na to, že viac sa oplatí útočiť na veľké inštitúcie, ktoré majú peniaze, a tak si pýtajú sumy v miliónoch. Minulý rok sme videli vyplatené historicky najväčšie výkupné, čo bolo 40 miliónov dolárov.

Dá sa odhadnúť, do akej miery má takéto gangy Rusko podchytené?

Neviem. Ako som spomínal na začiatku, je problematické prisudzovať konkrétne gangy konkrétnej krajine. Ale ramsomvérových gangov sú desiatky a treba si ich predstaviť ako firmy. Je napríklad bežné, že keď po niektorých idú bezpečnostné zložky ako Interpol či FBI, tak sa stiahnu alebo začnú vystupovať pod iným názvom. Je to proste ilegálny biznis.

Rozprávali sme hlavne o zdravotníctve, aké ďalšie sektory sú citlivé na kyberútoky?

Všetky, ktoré si viete predstaviť, a aj tie, ktoré nie. Najčastejšími sú diplomatické ciele, ministerstvá, ambasády, vládne organizácie. To, čo nazývame kritická infraštruktúra. Asi najlepším príkladom z histórie je opäť skupina Sandworm, ktorá má na konte najviditeľnejšie útoky na Ukrajine. V decembri 2015 zaútočili na ukrajinskú distribučnú elektrickú sieť a spôsobili niekoľkohodinový výpadok prúdu vo vzdialených regiónoch Ukrajiny. Bol to koordinovaný útok, ktorý sa dotkol státisícov Ukrajincov. O rok nato spôsobila táto skupina výpadok prúdu na severe Kyjeva.

Majú útočníci aj iné ciele ako znefunkčnenie či výkupné?

Vzhľadom na aktuálny kontext, keď sa rozprávame hlavne o pokročilých a často štátnych aktéroch, býva dlhodobým cieľom špionáž. Rozličné motivácie sa dajú aj kombinovať. Útočník vie v počítačovej sieti kradnúť citlivé údaje, špehovať a získavať informácie o danej inštitúcii aj niekoľko mesiacov. Potom to môže zakončiť sabotážou a systémy úplne odstaviť.

Ako človek alebo inštitúcia zistí, že má v počítači špióna?

Veľmi ťažko, lebo na rozdiel od sabotážnych útokov sa o dobre pripravenom špionážnom útoku nemusíte nikdy dozvedieť. Počítač sa nespráva podozrivo, nie je pomalší a pre bežného používateľa nie je viditeľný. Odhaliť sa dá práve dobrými bezpečnostnými riešeniami sietí aj jednotlivých počítačov.

Hrozí aj pri hekoch ako pri iných častiach vojny, že zasiahnu nesprávny cieľ?

Áno. Aj v prípade NotPetya predpokladáme, že jej rozšírenie do celého sveta nebolo cieľom útočníkov. Všeobecný konsenzus medzi kolegami je taký, že sa snažili ochromiť Ukrajinu, ale nie veľké zahraničné spoločnosti ako logistickú spoločnosť Maersk, ktorá stratila milióny dolárov.

Niektorí odborníci varujú, že Rusi by sa mohli zamerať na štáty NATO s menej rozvinutou kybernetickou ochranou. Patrí sem aj Slovensko?

Otázka kybernetickej ochrany je komplexná téma, ktorá sa mi ťažko hodnotí ako celok, nakoľko zahŕňa aj oblasti mimo našej pôsobnosti. Z našich skúseností sa Slovensko aj iné krajiny za posledné roky v miere svojho zabezpečenia určite zlepšili. Ale vždy sa dá spraviť viac a momentálne je to aj na mieste.

Rusku sa často pripisujú kyberútoky, ale ako je na tom krajina s vlastnou kyberbezpečnosťou?

Opäť sa to ťažko hodnotí. Ale aj ruské ciele a organizácie sú zasahované kyberútokmi.

Od začiatku vojny útočili rôzne hecktivické skupiny na ruské vládne stránky, kde premietali ukrajinskú hymnu či informácie o vojne, ktoré sú v krajine inak cenzurované. Majú takéto „partizánčiny“ šancu zmeniť priebeh vojny?

Takéto útoky sú viditeľné, ale ťažko odhadnúť, aký dokážu mať reálny vplyv.

Anonymous oznámili, že získali dáta z bieloruských trollích fariem, ktoré obsahujú aj zoznamy ľudí pracujúcich pre ruskú propagandu. Čo by sa s takýmito informáciami dalo robiť?

Ťažko povedať, či môžu byť títo ľudia nejako trestnoprávne stíhateľní, pokiaľ by sa odhalila ich identita. Závisí to od konkrétnych jurisdikcií a od toho, ako by tie dáta vyzerali.

Má Európa nejakú jednotku, ktorá by vedela útok v kyberpriestore opätovať?

V európskej spoločnosti sa držíme právnych noriem a zákonov a ofenzívne aktivity sú často za ich hranou. V súvislosti s aktuálnou situáciou na Ukrajine boli medializované výzvy na podobné aktivity, ale nemyslím si, že by sa do nich európske inštitúcie zapájali. Na národných a európskych úrovniach sú inštitúcie vyvinuté najmä na obranu. S mnohými spolupracujeme a toto je ich hlavný cieľ.

Čo považujete za najväčší prehrešok voči kybernetickej bezpečnosti jednotlivca či inštitúcie v roku 2022?

Zlé alebo neexistujúce zálohy a zlé heslá. Opakujeme to neustále dookola a pritom sú to jednoduché a lacné cesty, akými jednotlivci i inštitúcie útočníkom výrazne sťažia prácu. Oproti situácii povedzme spred desiatich rokov nás to nestojí ani komfort. Dnes máme ľahko používateľných manažérov hesiel, ktoré ich vedia automaticky generovať aj vypĺňať. Takže si nemusíte pamätať nekonečno hesiel a písať si ich na papieriky. Aj viacfaktorová autentizácia je jednoduchou ochranou. Keď sa prihlasujete z počítača do nejakého konta, na mobile vám často iba vyskočí notifikácia, tú stačí potvrdiť a ste prihlásený. Je to jednoduché, efektívne a nič to nestojí, takže najväčším prehreškom je tieto veci nepoužívať.