10.11.21

Kybernetická bezpečnost: Sedm fází kybernetického útoku

Kybernetická bezpečnost: Sedm fází kybernetického útoku

Z kybernetické kriminality se stal byznys a kybernetičtí zločinci jsou opravdový nepřítel. Pro boj s nepřítelem, je třeba jej znát. A byť je dnešní kybernetická bezpečnost technicky oblastí velmi složitou, základní chápání motivací, cílů a modu vivendi hackerů a jejich zaměstnavatelů, stejně jako porozumění principům strategií a taktik obrany by měly patřit k všeobecnému vzdělání nejenom manažerů, ale i zaměstnanců.

Netušené obzory kybernetické zločinnosti

Moderní informační technologie, především jejich masová dostupnost a vznik internetu otevřely všem, poctivým i nepoctivým, úžasnou éru komunikace bez hranic. Leč dlouhodobý nezájem médií i veřejnosti o počítačovou bezpečnost, masová neznalost či ignorování alespoň základních principů chování na internetu, lhostejnost k rizikům, přezírání často očividných faktů, lehkovážnost a pocit falešného bezpečí dovedly nakonec společnost do stavu, kdy se globální kybernetická zločinnost stala celosvětovou hrozbou. Stačí nahlédnout do novin.

Neznalost neomlouvá, ale ani neochrání

Povědomí o počítačové bezpečnosti se rozvíjelo doslova hlemýždím tempem. Teprve koncem 90. let si lidé konečně zvykli používat antivirové programy, alespoň ty bezplatné. Ty sice chrání osobní počítače, za jejich hranice ale už moc nejdou. Rozvoj komunikace, stále těsnější provázanost firem s internetem, elektronická pošta a sociální sítě přitom vytvářejí ideální prostředí pro šíření všemožných nákaz, diverzí a útoků nejen na počítače jako takové, ale na celou firemní IT infrastrukturu. Velké firmy a korporace, většinou poučeny masívními útoky virů jako byl třeba Conficker, Stuxnet nebo Code Red, který na počátku milénia způsobil škodu 2 mld. USD, postupně začaly kybernetickou bezpečnost brát vážně. Ve středních a zejména v malých firmách však situace byla, a dosud mnohde je, velice tristní. Mizivá obeznámenost majitelů a manažerů firem s problematikou, nedostatek hodnověrných informací v médiích, prakticky nulová osvěta a z toho plynoucí nedůvěra, benevolentní a až laxní přístup, pocit, že „mně se to stát nemůže“ a neochota „zbytečně“ investovat tak dnes přinášejí své otrávené plody.


Dlouhá léta ignorance

Již počátkem 70. let minulého století, kdy počítačové sítě propojovaly jen sálové počítače a společnost Intel se teprve snažila udat první mikroprocesory, Robert Metcalfe, jeden z tvůrců dnes pravděpodobně nejrozšířenější síťové technologie Ethernet, varoval pracovní skupinu ARPANET, že napadnout počítačovou síť a k ní připojené počítače není nijak složité. Varování zůstalo bez odezvy. Na nepochopení vědců a odpor i ze strany americké Národní bezpečnostní agentury narazil i pozdější návrh vestavět šifrování přímo do protokolové sady TCP/IP. Teprve prudký nárůst útoků na počítače a komunikující systémy v 80. letech, způsobovaných především počítačovými viry a červy, přiměl úřady změnit názor. Do značné míry na nátlak médií, pro něž byly počítače a sítě něčím novým, neotřelým, a tudíž pro čtenáře přitažlivým, přijímá americký kongres zákon Computer Fraud and Abuse Act. Poprvé stanovuje právní rámec krádežím dat, zneužitím počítačových sítí a další formám počítačové kriminality.


Palba na cíl nebo střelba do hejna kachen

Kybernetické útoky lze v zásadě rozdělit do dvou skupin: cílené a plošné. Terčem cílených útoků je většinou jedna konkrétní oběť nebo na malá skupina podobně zaměřených obětí, např. nemocnice. Cíle mohou být různé, od prostého zkompromitování oběti přes zpomalení nebo znemožnění činnosti či sabotáž až po krádež dat, informací a průmyslovou špionáž. Plošné útoky zase připomínají střelbu brokovnicí do hejna kachen. Cílem je zasáhnout co největší počet obětí. Pozadí všech útoků je skoro vždycky ekonomické.

Sedmero krkavců

Drtivá většina kybernetických útoků je pečlivě připravena, přípravy nezřídka trvají i několik měsíců. Kybernetický útok lze s jistou dávkou imaginace připodobnit k vojenskému útoku, kdy na lépe či hůře opevněný hrad nebo město útočí ozbrojený nepřítel. Stejně jako vojenský, tvoří i kybernetický útok několik na sebe navazujících kroků. Podle typu a cílů útoku mohou samozřejmě některé chybět.

Krok první: průzkum

Stejně jako obránci potřebují znát svého nepřítele, potřebuje i útočník znát oběť. Cílem průzkumu, který vůbec nemusí mít vlastnosti kybernetického útoku, je najít potenciální cesty, jak k oběti proniknout. Kdo jsou důležité osoby a komu poslat podvodné maily, jaké technologie a kybernetickou obranu oběť používá a kde jsou jejich slabá místa, s kým oběť komunikuje a obchoduje. Využívá k tomu metod tzv. sociálního inženýrství, třeba zdánlivě „nevinných“ telefonických dotazů. Pomáhá i monitoring chování zaměstnanců na internetu anebo jejich soukromé elektronické korespondence. Často hackeři využívají i tzv. „prohrabávání popelnic“, tedy zjišťování nejrůznějších i méně věrohodných informací. Užitečná může být každá maličkost.

Krok druhý: vyzbrojování

Na základě informací, které získali v průběhu průzkumu, hackeři nyní připravují zbraně, které použijí k průniku: důvěryhodně vyhlížející podvodné maily, které pošlou vytipovaným osobám, podvodné webové stránky imitující stránky dodavatelů nebo dokonce i weby bank. Hlavním cílem je získat co největší množství uživatelských přihlašovacích údajů a dalších informací, které jim v budoucnu umožní nebo usnadní průnik do firemní sítě.

Krok třetí: útok

Jakmile útočníci získají dostatečné množství „výzbroje“, zahájí útok. Rozešlou podvodné maily s přílohami obsahujícími nejvhodnější nástroje pro překonání obrany oběti, případně zaútočí na dříve objevené zranitelnosti infrastruktury a vyčkávají, až některý ze škodlivých kódů pronikne dovnitř a „zavolá domů“, že dveře do systémů oběti jsou otevřené.

Krok čtvrtý: využití kořistí

Teď teprve začíná pro útočníky ta pravá „zábava“. Jsou uvnitř a snaží se z toho co nejnápadněji vytěžit maximum. Testují, jak fungují a jaké poskytují možnosti získané přihlašovací údaje, jaké systémové funkce mohou ovládat, zda lze získat vzdálený přístup přes firemní VPN, zkoušejí infikovat a ovládnout další počítače. Začínají monitorovat provoz v síti oběti a zjišťovat, co je do sítě připojeno a jak by se to dalo případně využít.

Krok pátý: usazení

V této fázi již útočník ovládá síť oběti na dálku. Má instalována spolehlivá „zadní vrátka“, vytvořeny administrátorské a další potřebné účty, dokáže vyřadit antiviry a dokonce i firewall a někdy i ovládat servery a další zařízení na dálku.

Krok šestý: ovládání a správa

Nyní má útočník IT oběti plně pod kontrolou a všechny nezbytné nástroje, které potřebuje k provedení plánované akce, jsou mu k dispozici. Může se chovat jako správce, dívat se na co chce a měnit, co potřebuje. Může zřizovat nové uživatelské účty, blokovat existující, ba dokonce poslat třeba jménem ředitele mail všem zaměstnancům. A když bude chtít, zastaví celý systém.

Krok sedmý: akce

Účelem prakticky každého kybernetického útoku je nějaká akce. Nyní, když má útočník vše potřebné po ruce, může ji konečně uskutečnit. Může krást data, informace o zaměstnancích nebo klientech, může špiónit nebo sabotovat. Může se mstít nebo prostě jen škodit. V rámci jakýchsi pochybných haktivistických ideálů se může pokoušet „páchat dobro“. Může vyhrožovat a žádat výkupné. Může se v síti usalašit a používat ji jako základnu pro další trestnou činnost, třeba jako součást botnetu. Zkuste se sami zamyslet na tím, co všechno by mohl provádět útočník, který by měl plnou kontrolu nad vaším IT.

Krok osmý (nepovinný): zahlazování stop

Nezřídka hackeři nebo jejich klienti chtějí, aby útok zůstal nezpozorován. Důvodů je více, jedním z hlavních je skutečnost, že odhalení vede k důkladné analýze postupů průniku, které jsou součástí interního know-how hackerů, a globálnímu vylepšování obrany. Nicméně i po důkladném odstranění všech známek svých aktivit mnozí hackeři v systému zanechají dobře utajená, nenápadná zadní vrátka pro případ, že by se sem někdy potřebovali vrátit.

České Radiokomunikace a kybernetická bezpečnost

Každý kybernetický útok může způsobit nemalé ztráty. Proto je lepší vsadit na prevenci. Začít se dá například bezpečnostním auditem, který odhalí, na jaké oblasti kybernetické bezpečnosti je potřeba se zaměřit. Tým CRA pro kybernetickou bezpečnost (CSIRT tým) je součástí řady pracovních skupin zaměřených na rozvoj a udržení kybernetické bezpečnosti v České republice. CRA nabízí kompletní portfolio služeb pro ochranu zákaznické infrastruktury. A o své nejlepší zkušenosti a know-how jsou CRA připraveny se podělit i s českými komerčními subjekty.
Zajímá vás tato problematika? Sledujte CRA TechTalks, kde naleznete naše semináře a webináře, které se tématem bezpečnosti, ale i cloudových, telco a IoT služeb zabývají.


Zavřít vodu v celé zemi

Představme si kybernetický útok, jehož cílem bylo nejméně na několik zastavit hodin dodávku vody z veřejné vodovodní sítě prakticky v celé zemi. Nestalo se to u nás a nešlo ani o vodu, ale principy útoku vycházejí ze skutečnosti. Načasování na silvestrovský večer navíc nasvědčuje tomu, že účelem nebyly jen materiální újmy. Útok měl především zapůsobit na veřejné mínění a zpochybnit důvěru občanů ve státní a veřejnou správu. Řada kybernetických útoků je totiž součástí toho, čemu říkáme kybernetická válka, která v současné době doslova běsní v kybernetickém prostoru.
Před hackery stál nelehký úkol. Důkladný průzkum ukázal, že vodárenská společnost je velice dobře zabezpečená a průnik do jejích systémů nebude snadný. Z informací, které hackerům poskytl, vyplynuly mimo jiné dvě skutečnosti. První byla, že všechny pobočky vodárenské společnosti používají účetnický program od jedné menší softwarové firmy, nazvěme ji třeba EkonoSoft. Ta navíc o prázdninách plánuje plošnou aktualizaci programu. Druhou, neméně důležitou informací bylo, že nedávno z vodáren odešel jeden z právníků.
Kdyby se podařilo infikovat plánovanou aktualizaci účetnického programu, bylo by možné vcelku nepozorovaně propašovat škodlivý kód do celé vodárenské společnosti. Rovněž proniknout do menšího softwarového domu, i když byl poměrně dobře zabezpečený, bylo jednodušší. Hackeři při tom využili známé, ale neopravené zranitelnosti doménového serveru EkonoSoft. Do sítě pak instalovali naprosto neškodně se tvářící malware, který postupně po malinkých kouscích, aby unikl pozornosti antivirů, stahoval a skládal dohromady vlastní kód. Ten útočníci později vložili do rozesílané aktualizace.
Koncem prázdnin byly aktualizace instalovány a zákeřný kód nepozorovaně umístěn ve většině počítačů vodáren. Nenápadně začal zkoumat systém a shromažďovat potřebné informace. Kvůli utajení a také z technických důvodů ale nebyl schopen navázat spojení s útočníky a předávat jim informace. To umožnil až malware, zaslaný v podvodném mailu.
Jednoho dne přišel ve vodárnách již nepracujícímu právníkovi e-mail od firmy, kterou míval v referátu. E-mailový server ji automaticky přeposlal jeho nástupci. Mail byl jakoby od známé firmy, nevypadal nijak podezřele, adresován byl jeho předchůdci, a tak nic netušící právník klikl na přílohu, aby se podíval, o co běží. A dopustil se osudové chyby. Mail nebyl od domnělé firmy, nýbrž od hackerů. Firmu pečlivě vybrali, aby podvodný mail nevyvolal žádné podezření. Právník kliknutím na přílohu do sítě pustil virus, který následně otevřel vrátka pro komunikaci s útočníky. A ti zanedlouho získali také přístup k ovládání celého systému distribuce vody. A nejenom.
Neštěstí odvrátila náhoda. Jednou v neděli v jedné z poboček spadl server. Nebylo by to zase nic tak neobvyklého, servery občas padají, leč svědomitý správce, který navíc bydlel nedaleko, se nespokojil s restartem na dálku, ale jel se na místo podívat. Server běžel, ale intuice zkušenému ajťákovi říkala, že něco není tak, jak má být. Důkladně prověřil síť, server, počítače i systémové záznamy a jeho pátrání bylo úspěšné. Zkrátka náhoda přeje jen duchům připraveným. Odvrátil blížící se katastrofu a lidé v zemi tak mohli na Silvestra pít i vodu.