Hackeři, kteří stojí za víkendovým útokem na stovky firem a organizací nejen ve Spojených státech, požadují od obětí útoku v přepočtu 1,5 miliardy korun. Útok zasáhl firmy, ale také školy nebo cestovní kanceláře v desítce zemí. Postiženým nabídla pomoc i americká vláda. Pro Radiožurnál přiblížil okolnosti útoku o Odborník na kybernetickou bezpečnost z Cevro institutu a také prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla.

Praha 16:54 5. července 2021 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Podle dosavadních zpráv hackeři v tomto konkrétním případě neútočili na jednotlivé firmy nebo školy, ale napadli nástroj, který slouží odborníkům IT ke správě serverů počítačových sítí nebo tiskáren. Je tohle nový trend nebo nová taktika hackerů?
On to úplně nový trend není. Spíše se zvětšilo měřítko, ve kterém se tyto útoky vyskytují. Ten dodavatelský řetězec, kterého se útok týkal, je ideální nástroj pro šíření ransomwaru. Vy napadnete nějakou aplikaci, tady se jedná o aplikaci „VSA“, kterou používá velké množství klientů, a ten virus se začne šířit velice rychle a pokryje obrovskou plochu.

Je zajímavé, že firma, která ten software pro pracovníky IT vyvinula a prodává, byla varována holandskou neziskovou organizací pro odhalování zranitelnosti, že mají mezeru v bezpečnosti, skrze kterou do jejich aplikace mohou hackeři proniknout. Bohužel, v procesu, kdy firma svou aplikaci zabezpečovala a záplatovala, ti kybergangsteři, jak já hackerům říkám, na ni zaútočili a ten útok se jim povedl a ten ransomware do té aplikace dostali.

USA a další země zasáhl masivní kybernetický útok. Hackeři žádají 70 milionů dolarů

Číst článek

Má v takovém případě koncová oběť vůbec nějakou šanci, aby se útoku ubránila?
Ta šance moc velká není. Ti lidé důvěřují nástroji, který si koupili od firmy, které také důvěřují. Věří, že ten výrobce a vydavatel si dostatečně pojistí zabezpečení, takže k žádnému kyberútoku nedojde. Obecně je v rámci zabezpečení dobré si udělat analýzu rizik a dobře si nastavit svou vlastní počítačovou síť, rozumně ji rozdělit na důležitější části a na ty méně důležité, a podle toho si nastavit i nástroje pro správu těch sítí.

Když už se tedy někdo, nějaká firma nebo třeba škola, stane obětí takového typu útoku, má nějakou šanci uniknout, aniž by těm kybergangsterům, jak je označujete, museli zaplatit výkupné?
Ty šance tam jsou, ale jsou nízké. Je to o tom, jak dobře je ta technologie, kterou kybergangsteři při útoku použili, známá a jestli už vývojáři vyvinuli tzv. dekryptor. Tito konkrétní hackeři ze skupiny REvil na darkwebu (část internetu, kam se lze dostat jen skrze specifický software) zveřejnili informaci, že napadli více než milion systémů a jsou ochotní po zaplacení výkupného ve výši sedmdesát milion dolarů ten dekryptor, tedy dešifrovač poskytnout tak, že oběti jejich útoku budou do hodiny zpátky v normálním provozu.

Paradoxně se šance na vyhnutí se zaplacení výkupného zvětšují tím, že se z tohoto typu útoků stal obrovský byznys. REvil dělá něco, co se nazývá „útok jako služba“. To znamená, že si je může najmout i laik, který o kyberútocích nic neví, a oni za něj za úplatu napadnou například jeho konkurenci. To dělá z tohohle byznysu nebezpečnou záležitost.

Vojenští zpravodajci mohou nově aktivně bránit kybernetickému útoku. ‚Ještě to nebylo potřeba,‘ říká Žid

Číst článek

Vyjadřoval se na Darkwebu REvil nějak? Jsou na někoho napojení?
Na Darkwebu uveřejnili inzerát, že hledají partnery, kteří by jim za peníze pomohli šířit ten ransomware a vydírat ty oběti. Zajímavý byl požadavek, že zájemci nesmí mít aktivity v Rusku a ve Společenství nezávislých států, což jsou post-sovětské republiky. To by ukazovalo opravdu na to, že tato skupina kybergangsterů pochází z Ruska.

Do jaké míry jsou vazby skupiny REvil na Rusko prokázané?
Vyloženě prokázané vazby této skupiny na Rusko nejsou. Muselo by se prokázat, že spolupracují s klasickými zpravodajskými službami, jako to třeba dělají hackerské skupiny ATP 28 a ATP 29. U těch se ví, že jsou navázány na vojenskou a civilní zpravodajskou službu. Tomuto typu spolupráce kybergangsterů s vládními institucemi se pak říká „státem sponzorovaní hráči“.

Zatím se mluví o stovkách napadených subjektů v deseti zemích. Je možné a pravděpodobné, že mezi oběťmi by mohly být i firmy z Česka?
Co mám zatím informace z důvěryhodných zdrojů, tak firmy v České republice nebyly zasaženy, ale víte, jak to je. Jsou svátky, tak na to někteří možná ještě zkrátka nepřišli.

Používá se ten napadený nástroj i v České republice pro správu serverů, počítačů a sítí?
Nevím o tom, že by byl napadený software v ČR masivně rozšířen.

‚Byla to správná věc pro USA.‘ Šéf Colonial Pipeline přiznal, že firma zaplatila hackerům výkupné

Číst článek

Měli by na tento útok nějak reagovat organizace typu Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)? Dojde případně na nějaké úpravy zákonů nebo nějaké právní předpisy ohledně kybernetické bezpečnosti?
Tyto organizace, a především pak právní předpisy, by se měly zaměřit na výrazně se zvyšující aktivitu a záběr kyberútoků. REvil zaútočil na největšího výrobce hovězího masa. Tímhle počinem došlo k tomu, že teď už není odvětví, které by nebylo kyberútoky zasaženo. Na tyto útoky reaguje návrh revize evropské směrnice o bezpečnosti sítí a informací, kde se, oproti současné legislativě, která se primárně zaměřuje na současnou kritickou infrastrukturu, bere v potaz záběr kybernetické bezpečnosti na mnohem více odvětví, jako jsou výrobci aut nebo farmaceutických prostředků, kteří pod tou legislativou kybernetické bezpečnosti zatím nejsou.

Tato směrnice, která bude regulovat pravidla používání prvků kybernetické bezpečnosti, obrovsky rozšíří okruh chráněných odvětví a s tím i bezpečnost kyberprostoru. To ovšem povede k velkému tlaku na trh s odborníky na kybernetickou bezpečnost jak u zmiňovaných odvětví, tak i u organizací jako je NÚKIB.

Tomáš Pancíř, Český rozhlas Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít