Hekeri a kyberbezpečnosťRuskí špióniVojna na Ukrajine

Denník NSlovensku hrozia počas volieb hekerské útoky proruských skupín, varuje NBÚ (ako sa nenechať nachytať)

Mirek TódaMirek Tóda
Zdieľať
Hekeri z ruskej rozviedky GRU sa ukázali ako fanúšikovia seriálu Mr. Robot. Pri útokoch použili obrázok masky fsociety - fiktívnej anarchistickej hekerskej skupiny. Foto - americké ministerstvo spravodlivosti
Hekeri z ruskej rozviedky GRU sa ukázali ako fanúšikovia seriálu Mr. Robot. Pri útokoch použili obrázok masky fsociety – fiktívnej anarchistickej hekerskej skupiny. Foto – americké ministerstvo spravodlivosti

Phishingové útoky radikálne ovplyvnili americké voľby a čoraz častejšie im čelí aj slovenská diplomacia. Podľa NBÚ hrozia politickým aktérom aj DDoS útoky a dezinformačné kampane.

Prečítajte si viac o počúvaní Denníka N.

Inzerát, ktorý dostali do emailovej schránky diplomati v Kyjive, vyzeral pre tých, čo zháňali jazdené auto za výhodnú cenu, na prvý pohľad lákavo.

Poľský kolega im ponúkal na predaj BMW série 5 v dobrom stave a s nízkou spotrebou za 7500 eur. Ak ste chceli vidieť fotografie auta v lepšom rozlíšení, museli ste kliknúť na link. V prípade, že ste to urobili, spustili ste škodlivý kód, ktorý do vašej emailovej schránky pustil hekerov ruskej tajnej služby.

Ako zistila Unit 24 spoločnosti Palo Alto Networks, taký email dostalo až 22 veľvyslanectiev – okrem americkej či kanadskej aj slovenská ambasáda. Išlo o ukážkový príklad cieleného phishingu (spearphishing), ktorý sa v tomto prípade zameral na západné diplomatické ciele.

Phishing ako účinná zbraň. Dostali tak aj slovenských diplomatov

Inzerát bol pritom autentický. Ruskí hekeri z notoricky známej skupiny Cozy Bear (APT29) zrejme zachytili komunikáciu poľského diplomata a využili jeho inzerát na svoj hekerský útok.

Ide o jednu z najpoužívanejších metód, ako sa útočníci snažia dostať do počítačových systémov a získať dôverné informácie.

Bol to práve phishing, ktorým bolo pred niekoľkými rokmi veľmi vážne heknuté aj slovenské ministerstvo zahraničných vecí. Podľa informácií Denníka N zamestnanci slovenskej diplomacie klikli na infikovaný email a pustili hekerov do citlivej komunikácie ministerstva.

Situáciu za vlády Petra Pellegriniho museli riešiť slovenské tajné služby. Vtedajší premiér hovoril o potrebe investovať do kyberbezpečnosti. O tom, kto stál za útokom, sa nezmienil.

Zdroj z prostredia slovenskej diplomacie Denníku N potvrdil, že útočníci mohli po phishingovej kampani čítať dlhé obdobie súkromné emaily slovenských diplomatov. Za útokom stála jedna z veľmocí, ktorej hekeri použili identický malvér aj v ďalšej spojeneckej krajine NATO a EÚ.

Idú voľby, hekeri sa vynárajú

Západné krajiny čelia vážnym útokom najmä zo strany ruských hekerov. Svoje o tom vie francúzsky prezident Emmanuel Macron alebo neúspešná kandidátka na americkú prezidentku Hillary Clintonová. Ich kampane zasiahli kyberútoky tesne pred voľbami.

Hekerský útok na americkú Demokratickú stranu v roku 2016 výrazne ovplyvnil priebeh predvolebnej kampane v prospech kandidáta republikánov Donalda Trumpa, ktorý voľby následne vyhral. Do útoku boli zapojení hekeri dvoch ruských tajných služieb.

Takéto útoky sa zvyčajne pomerne ťažko prisudzujú konkrétnym páchateľom a môžu vážne zasiahnuť do demokratického volebného procesu. Pre krajiny ako Čína, Rusko, Severná Kórea alebo Irán sú preto ideálnou hybridnou zbraňou najmä v predvolebnom čase.

V prípade útoku na americké voľby sa však vďaka viacerým chybám hekerov podarilo identifikovať páchateľov a spojiť ich s ruskou vojenskou tajnou službou GRU. Jej členovia sa dokonca dostali na americké sankčné zoznamy a ich mená sa dajú ľahko vyhľadať. Zaujímavosťou je, že v blízkosti ich moskovského sídla nedávno útočil ukrajinský dron.

„V tomto prípade sa úradom podarilo pripísať útoky konkrétnym hekerským skupinám Cozy a Fancy Bear spájaným s ruskou vládou. Ich hekeri sa spearphishingovými emailmi dostali do internej komunikácie Clintonovej predvolebného štábu a ukradli desaťtisíce emailových správ vrátane internej komunikácie, ktoré následne zverejnili cez WikiLeaks,“ hovorí špecialista Esetu na internetovú bezpečnosť Ondrej Kubovič, s ktorým sme sa rozprávali o hrozbe hekerských útokov na slovenské voľby.

NBÚ varuje: hekeri môžu napadnúť slovenské voľby

Posledné roky ukazujú, že fenomén hybridných útokov na volebnú kampaň sa môže týkať ktorejkoľvek krajiny, a výnimkou nie je ani Slovensko. Skúsenosti s nimi má napríklad aj susedné Česko. Riziko, že by hekeri najatí znepriateleným štátom mohli napadnúť Slovensko počas predvolebnej kampane, je vážne aj podľa Národného bezpečnostného úradu.

Najdôležitejšia slovenská inštitúcia v oblasti kyberbezpečnosti tento týždeň varovala pred „zvýšeným rizikom kybernetických bezpečnostných incidentov a iných škodlivých aktivít v kybernetickom priestore v súvislosti s voľbami do Národnej rady Slovenskej republiky, ktoré budú 30. septembra 2023“.

Všetkým subjektom, ktoré sa zapájajú do volebného procesu (vrátane politických strán), preto NBÚ odporúča, aby zaviedli bezpečnostné opatrenia na zabezpečenie svojich účtov, stránok a informačných systémov. V súvislosti s volebným procesom NBÚ očakáva viacero foriem hybridných operácií: od phishingových útokov pomocou emailov alebo SMS cez DDoS útoky až po dezinformačné kampane.

Škody môžu byť zásadné.

Stačí si predstaviť, že by sa hekeri dostali k straníckej alebo súkromnej komunikácii kľúčového kandidáta a jej časť by využili na jeho kompromitáciu v upravenej podobne, ako to zažila Demokratická strana v USA alebo Emmanuel Macron počas volebného moratória.

NBÚ sa obáva, že by mohlo dôjsť ku kybernetickým útokom „prorusky orientovaných hekerských skupín na slovenské ciele vo vzťahu k zabezpečeniu sietí a informačných systémov prevádzkovateľov základných služieb vrátane prvkov kritickej infraštruktúry a osobitne vo volebnej infraštruktúre ako súčasť hybridného pôsobenia Ruskej federácie s cieľom ovplyvňovať volebný proces“.

Okrem phishingu a DDoS útokov si proruskí aktéri vyskúšali v roku 2016 v americkej kampani aj masívne nasadenie falošných účtov, ktorými sa snažili na sociálnych sieťach ovplyvniť verejnú mienku. Cieľom bolo zneistiť voliča a vyvolať v spoločnosti čo najväčší konflikt.

Od Česka po Japonsko

„Len nedávno sa hekerské útoky vyskytli pri prezidentských voľbách v Českej republike, kde deklarovaná hacktivistická skupina NoName057(16), tiež spájaná s Ruskom, zaútočila na weby aktuálneho prezidenta ČR Petra Pavla. V tomto prípade však nešlo o sofistikované útoky ako v prípade Clintonovej, ale o DDoS útok, ktorý na nejaký čas vyradil z prevádzky kampaňové webové stránky Petra Pavla,“ rozpráva Kubovič.

Podobné útoky však nie sú doménou iba hekerov spájaných s Ruskom. Vlani výskumníci spoločnosti ESET odhalili spearphishingovú kampaň, ktorá sa začala niekoľko týždňov pred júlovými voľbami do hornej komory japonského parlamentu. Útok mala na svedomí APT skupina, ktorú ESET nazýva MirrorFace.

„Kampaň bola zameraná na členov jednej z japonských politických strán. Útočníci rozposlali obetiam email, v ktorom sa vydávali za PR oddelenie strany, pričom od kandidátov žiadali, aby zverejnili priložené videá na svojich sociálnych sieťach,“ opisuje útok Kubovič. V emaile, ktorý bol poslaný v mene vysokopostaveného politika, boli presné inštrukcie k stratégii zverejňovania videí, ktoré mali posilniť postavenie strany a zabezpečiť jej víťazstvo vo voľbách do hornej komory parlamentu.

Ako dodáva Kubovič, všetky spearphishingové emaily obsahovali škodlivú prílohu, ktorá po spustení nainštalovala do zariadenia takzvané zadné dvierka (backdoor). „Tie útočníkom umožnili sledovať svoje obete, kradnúť ich údaje, ale aj inštalovať do ich zariadení ďalšie škodlivé kódy či ukončovať vybrané procesy.“

Masívnym kyberútokom už pred totálnou ruskou inváziou čelila Ukrajina. Bola to práve Ukrajina, kde sa prvý raz v histórii ruským hekerom podarilo odstaviť elektrickú sieť.

„Od začiatku vojny na Ukrajine sa množia aj DDoS útoky skupín napojených na ruskú vládu. Najčastejšie sa k nim hlási KillNet a už spomínaný NoName057(16) – útokmi reagujú na podporu Ukrajiny zo strany západných krajín, prípadne sankcie alebo iné opatrenia s následkami pre Rusko. Útoky zažili napríklad aj pobaltské štáty, ale i ďalšie krajiny v rámci EÚ a NATO. Útočníci pritom cielia na weby štátnych inštitúcií, parlamentov, ozbrojených zložiek, ale aj médií,“ hovorí Kubovič.

Tieto príklady podľa Kuboviča ukazujú zvýšenú aktivitu útočníkov a naznačujú možné scenáre aj pre parlamentné voľby na Slovensku. „Hoci Slovensko nepatrí k veľmociam, je členom NATO, EÚ a aktívne podporuje Ukrajinu vo vojne proti Rusku. Je preto legitímnym terčom pre útočníkov a je možné, že podobné útoky, aké sme videli napríklad v pobaltských krajinách, Českej republike či Poľsku, uvidíme aj na Slovensku,“ hovorí Kubovič.

Varovaním, že tento problém sa týka aj Slovenska, je infikovaný email so spomínaným inzerátom na BMW, ktorý dostala aj slovenská ambasáda v Kyjive, či hekerský útok na ministerstvo zahraničných vecí.

Kubovič ďalej pripomína, ako v roku 2014 došlo k DDoS útoku na denník SME počas volebnej noci pri prezidentských voľbách. A objavili sa už aj útoky na štatistický úrad (v rokoch 20142016).

Dramatický nárast útokov

Eset na Slovensku zaznamenal celkovo dramatický nárast a kvalitu phishingových útokov, ktorých cieľom je najmä pripraviť obete o finančné prostriedky či citlivé údaje.

Hlavnou motiváciou je podľa Kuboviča vidina finančného zisku. „Najčastejšie pritom vidíme scenáre, kde sa útočník vydáva za cloudové služby Microsoftu (snaha vylákať prístupové údaje do Officeu 365, Outlooku, SharePointu), Slovenskú poštu (zber údajov a snaha vymámiť podvodom z obete platbu), prípadne sa obeti vyhráža zverejnením neexistujúcej nahrávky (sextortion),“ rozpráva Kubovič.

Zo štatistík sa síce podľa neho nedá určiť priama korelácia, no tento trend môže súvisieť aj s nástupom generatívnej umelej inteligencie (ChatGPT), ktorá výrazne zjednodušuje tvorbu phishingových správ a zlepšuje ich jazykovú úroveň. „To umožňuje zahraničným útočníkom pripraviť podobné útoky aj na Slovensku,“ dodáva Kubovič.

V poslednom čase sa stále častejšie hovorí o hrozbách deepfaku; s jeho pomocou môže umelá inteligencia šíriť dezinformácie. „Môže dôjsť navonok k vernému napodobneniu výzoru a hlasu verejne známej osoby, ktorá však sprostredkuje falošný odkaz vytvorený útočníkom,“ varuje NBÚ.

Čo odporúča NBÚ v prípade deepfaku:

  • Neverte automaticky všetkému, čo vidíte a počujete v online priestore; venujte pozornosť dôveryhodnosti zdroja, snažte sa overovať si informácie z iných zdrojov – najmä z tých oficiálnych.
  • Motiváciou tvorcov deepfake videí je často vyvolať emotívnu reakciu; zamerajte sa preto na obsah videa. Škandalózne, ťažko uveriteľné, protipólne alebo inak neočakávané vyhlásenia môžu nasvedčovať tomu, že ide o deepfake.
  • Na rozlíšenie pravosti videa môže poslúžiť, aj keď si budete všímať nasledovné znaky:
    • nezvyčajné pohyby tela a nezvyčajná mimika: najmä neprirodzené pohyby očí, žmurkanie, otváranie úst; prejavené emócie na tvári človeka nezodpovedajú hovorenému obsahu;
    • neprirodzený robotický hlas, zvláštna výslovnosť, nesúlad pohybu pier s vyslovovaním slov;
    • neprirodzená poloha jednotlivých častí tela a tváre, nepomer veľkosti hlavy k telu;
    • nezvyčajný farebný odtieň pokožky, nesúlad sfarbenia tváre a tela osoby;
    • neprirodzené osvetlenie na videu, vrhanie tieňov nezodpovedá polohe a smeru osvetlenia a pod.

Zdroj: NBÚ

V nevýhode sú najmä notoricky známi kandidáti. Na prípravu podvodného videa pomocou tejto techniky je totiž podľa Kuboviča potrebný dostatok materiálu na nácvik, na ktorom sa umelá inteligencia naučí simulovať danú osobu.

„Pre exponovaných predstaviteľov štátu ho môže byť dosť, pre nových kandidátov bez výraznejšej prítomnosti v médiách však nie a takto zle vycvičený model vygeneruje len ľahko identifikovateľný fake,“ vysvetľuje Kubovič.

Ako sa brániť? A čo robiť, keď ste možno dostali phishingový email?

Vzhľadom na zvýšené riziko hekerských útokov by mali štátne inštitúcie podľa Kuboviča dbať na to, aby mali svoje systémy aktualizované a chránené spoľahlivými bezpečnostnými riešeniami. Dôležitý je aj intenzívny monitoring prípadných anomálií vo svojich systémoch, ktoré by mohli byť prejavmi prebiehajúceho útoku.

„Politické strany a ich predstavitelia, ako hlavní aktéri nadchádzajúcich volieb, by rovnako mali dbať na dobré zabezpečenie svojej komunikácie a zariadení. Často obsahujú nielen informácie o stratégii predvolebného boja, ale aj citlivé súkromné informácie a vyjadrenia, ktoré môžu byť zneužité na zníženie ich dôveryhodnosti v prípade, že dôjde k ich úniku,“ hovorí Kubovič.

Rovnako dôležité je podľa neho aj zabezpečenie oficiálnych a súkromných profilov na sociálnych sieťach, ktoré môžu byť v hľadáčiku útočníkov. A podobne ako NBÚ radí Kubovič aj to, aby si používatelia internetu vždy – a v tomto období to platí ešte viac – overovali fakty a zdroje informácií, z ktorých čerpajú.

A čo robiť, keď dostanete email s podozrivým obsahom? Ako radí NBÚ, hlavne na nič neklikajte a kontaktujte administrátora siete, email vymažte alebo označte za spam. Všímajte si najmä gramatické chyby a preklepy. Pozorne si prečítajte aj adresu odosielateľa.

Podozrivé sú takisto emaily so súťažami alebo s textom, ktorý navodzuje dojem, že musíte naliehavo previesť financie alebo si zmeniť heslo. Presne takto sa šéfovi kampane americkej Demokratickej strany „podarilo“ dostať ruských hekerov do systému.

„Najlepšou ochranou pred phishingom je ostražitosť a neustále zvyšovanie bezpečnostného povedomia,“ radí NBÚ.

Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na [email protected].