Společnosti zabývající se kybernetickou bezpečností varují před sofistikovanějšími hackerskými typy útoků. Nový razantně nastupující trend spočívá v hacknutí dodavatele – nejčastěji hardwarového či softwarového vývojáře – čímž se otevírá možnost napadnout řádově větší množství firem.
Hackerské techniky se vyvíjejí. Odhaduje se, že kybernetické gangy svými útoky vydělávají desítky milionů dolarů ročně. Zatímco předchozím letům dominovaly útoky na různé síťové protokoly a objevené zranitelné chyby, dnes je v popředí ransomware. „Ransomwarové gangy se stále častěji zaměřují na větší organizace. Je to logické, protože u nich očekávají, že se jim podaří získat ‚výkupné‘ z vydírání a navíc, že bude tučnější,“ poodkrývá praktiky Martin Lohnert, bezpečnostní odborník společnosti Soitron. Ze statistik společnosti Sophos přitom vyplývá, že nějakou formou ransomwaru je napadena více než polovina všech firem. Zajímavostí je, že jen zlomek z nich nakonec za odšifrování dat zaplatí. Podle firmy Kaspersky to v minulém roce v Česku bylo dokonce jen kolem 6 % z nich. Jde o relativně nízké číslo, na druhou stranu v počtu globálně napadených firem a požadovaném výkupném nejde o zanedbatelné částky, nicméně útočníkům to nestačí, a tak se nyní soustředí na efektivitu.
O slovo se hlásí spící typ útoků
I přestože jsou hackerské skupiny dobře organizované, tak je stále tvoří lidé. A ti jsou, jak je známo líní. Proto hledají cesty, jak útoky znásobit a vytěžit z nich mnohem více za méně úsilí. „Útoky prostřednictvím ransomware jsou využívány řadu let a budou i nadále. Co se změnilo, to je informovanost a lepší ochrana. Firmy lépe, a hlavně kontinuálně svá data zálohují, takže pokud dojde k prolomení ochrany, dokážou data poměrně rychle obnovit a byznys tak zotavit. Tím pádem dochází k poklesu zdařile dokončených ransomware útoků, končící výplatou bitcoinů hackerům,“ komentuje situaci Martin Lohnert. Proto hackeři hledají nové techniky. Ne zcela novou, ale aktuálně velmi silně nastupující technikou je supply chain attack. Ta spočívá ve specifickém typu útoku na dodavatelský řetězec, při které se využívají slabiny v propojených systémech životního cyklu produktu.
Hackeři se nezaměří na běžnou firmu, ale dodavatelskou, vyvíjející nebo poskytující určitý hardware nebo software. Pokud se hacknutí podaří, vpašují do produktu svůj vlastní programový kód, díky čemuž si otevřou zadní vrátka, kterými zařízení či software mohou mít pod kontrolou, vzdáleně ovládat nebo skrz něj odcizit různá data. Útočníci mohou daný systém napadnout v jakoukoliv chvíli – od vývoje produktu až po jeho proces aktualizací.
Posledně jmenovaným byla v loňském roce postižena společnost SolarWinds. Kyberzločinci do produktů této firmy umístili backdoor a při následném updatu softwaru jej SolarWinds distribuoval, a to dlouhé měsíce na tisíce cílů do mnohých organizací a firem, včetně federálních amerických agentur či technologických společností. Útočníci potom čekali na vhodnou dobu, kdy backdoor aktivují.
Zaměstnanec, co podcenil bezpečnost
Další příklad se odehrál nedávno. Na začátku letošního roku společnost Ubiquiti vydala prohlášení, ve kterém se přiznala, že došlo k napadení jejích systémů u poskytovatele cloudových služeb. Jak se později ukázalo, útok byl veden přes zneužití přístupů u služby Amazon Web Services. Jeden ze zaměstnanců Ubiquiti si vedl v aplikaci LastPass evidenci privilegovaných účtů. Jejich odcizením útočníci získali vzdálený přístup k nespočtu Ubiquiti zařízení po celém světě. Protože společnost Ubiquiti vyrobila už více než 85 milionů zařízení, která hrají klíčovou roli v síťové infrastruktuře ve více než 200 zemích po celém světě a používají je jak firmy, tak koncoví uživatelé, může to znamenat velký problém. Ubiquiti následně muselo řešit „vydírání“ ze strany útočníků, kteří požadovali 50 bitcoinů (tedy cca 2,8 milionů USD) výměnou za příslib, že o narušení budou mlčet.
Velmi zajímavý případ supply chain attack potkal koncem března také programovací jazyk PHP. Hackeři se pokusili o jeho kompromitaci, a přitom na to šli velmi jednoduše. Pod jmény známých vývojářů prolomili ochranu oficiálního softwarového repozitáře GitHub (odkud je PHP distribuováno) a vložili do zdrojových souborů nenápadný, ale napadený kód. Pokud by si ho nikdo nevšiml, udělal by velkou škodu na webech využívající PHP. Prostřednictvím tzv. hlavičky by totiž mohli distribuovat kód, který by napadnul čtyři pětiny světových webů.
Jeden útok, mnoho obětí
Tyto příklady jsou důkazy toho, že hackerské techniky se mění. Samotný ransomware se od svého vzniku před desítkami let významně vyvinul. A zatímco zločinci dříve operovali sami nebo v malých týmech a náhodně cílili na jednotlivé uživatele internetu pomocí webových stránek a e-mailů, v posledních několika letech se útoky staly sofistikovanějšími, organizovanějšími a ambicióznějšími.
Jak ukázaly tyto tři případy, dnes jsou firmy napadány v tichosti skrze hardware a software, a nemají o tom ani tušení. Dodavatelé prodávají, nebo aktualizují zdánlivě čistý programový kód, který však obsahuje zadní vrátka a skrze ně se kyberzločinci dostávají do milionů společností, ale i ke koncovým uživatelům. Vydírány mohou být potom jak dodavatelé, tak firmy užívající produkty a služby. Stačí vybrat vyděračskou metodu (například v podobě zašifrování dat, jejich krádeže apod.) a čekat na výkupné.
Lze se nějak bránit?
Základním doporučením je dodržovat běžné kybernetické bezpečnostní zásady. Stejně jako v případě jiných rizik brát možné útoky vážně, používat firewally, segmentovat síť, zálohovat, používat silná hesla atd. Pro sofistikovanější hrozby, jakou je právě supply chain attacks je vhodné v reálném čase sledovat, co se v infrastruktuře děje a umět detekovat podezřelé činnosti dříve, než dojde k velkým škodám. „Zároveň je vhodné připravit se na scénář, že k takovémuto útoku přece jen může dojít, a tak pouvažovat nad tím, jak velké škody by mohl způsobit a mít připravený plán, jak reagovat. Ten potom stačí pouze vytáhnout ze ‚šuplíku‘ a postupovat podle něj, protože pokud krizová situace nastane, zcela určitě nebude čas ho vymýšlet,“ dodává závěrem Martin Lohnert.
