Ačkoliv lidé během pandemie začali ve zvýšené míře používat informační technologie, útočníci nijak zvlášť své metody nezměnili. Pořád se uchylují primárně k odesílání podvodných e-mailů a dalším osvědčeným postupům. Loni pak došlo k několika útokům na české politické strany a státní instituce, kde situaci zhoršuje fakt, že elektronická korespondence českých úředníků často obsahuje citlivá data. Vyplývá to z výroční zprávy Bezpečnostní informační služby (BIS) za rok 2020.
Podle BIS byl loni drtivě nejpoužívanější útočnou metodou spear-phishing, tedy odesílání e-mailů se škodlivou přílohou. Útočníkům se opakovaně povedlo kompromitované e-maily zneužít, a to jak u českých občanů, tak státních institucí. Zvlášť infiltraci schránek úředníků hodnotí kontrarozvědka jako problém, protože státní zaměstnanci přes ně odesílají mnoho citlivých údajů.
V e-mailech nechybí například kopie dokladů nebo přístupy do sítí, které když se dostanou do nepovolených rukou, může to ohrozit nejen celou instituci, ale potenciálně i zájmy Česka. BIS připomíná, že takové přístupy mohou být pro útočníky cennější než třeba interní dokumenty úřadu.
„V případě kompromitace sítě státní instituce nebo e-mailové schránky vysokého státního představitele či zaměstnance může dojít k tzv. hack and leak scénáři, tj. postupnému selektovanému uvolňování exfiltrovaných informací a jejich využití v předpřipravené dezinformační kampani, která může být zacílena na diskreditaci kompromitované instituce, konkrétního státního představitele/zaměstnance či ČR jako takovou,“ vysvětluje kontrarozvědka.
Tento útok může mít ještě další stupeň, útočníci podle BIS mohou do případné dezinformační kampaně mezi zveřejněné dokumenty přidat falešnou informaci a tou pak úředníka, jiného státního představitele nebo instituci zdiskreditovat takovým stylem, že bude trvale poškozena jejich důvěryhodnost.
Zprávy bezpečnostních firem někdy spíš škodí
Nepomáhá, že původci těchto útoků se složitě odhalují. BIS popisuje, že hledání zločinců začíná u analýzy jejich nástrojů, ale to je stále komplikovanější. „Všeobecně lze konstatovat, že lze v poslední době pozorovat určitý posun útočníků od užívání jejich vlastních nástrojů (např. malware) směrem k nástrojům, které jsou volně dostupné a používané (např. Mimikatz, PowerShell, Cobalt Strike),“ konstatuje úřad.
Útočníci také stále méně využívají vlastní infrastrukturu, raději si ji pronajímají – buď využívají komerční VPN nebo si pronajmou VPS u velkých poskytovatelů na krátkou dobu. „Tyto skutečnosti značně ztěžují a ovlivňují jednoznačnost atribuce prováděných útoků,“ upozorňuje BIS.
Úřad rovněž podotýká, že mu odhalování viníků komplikují veřejné zprávy bezpečnostních společností, které často obsahují tak podrobný popis útoků, včetně těch, které proběhly pod státních vlajkou, že pro aktéry není problém metody použít nebo napodobit. Mohou pak provádět útoky „pod cizí vlajkou“.
Útočili i na politické strany
Když se vrátíme k nejpoužívanějším technikám za loni, po odesílání e-mailů se škodlivou přílohou to byly aktivní snahy vyhledávat zranitelnosti v sítích či systémových provozech. Trojici uzavírají klasické útoky hrubou silou ve snaze získat přihlašovací údaje. „Aktéři útoků většinou těží ze skutečnosti, že jejich cíle často nepoužívají vícefaktorové ověřování (MFA) při přihlašování do internetových služeb,“ upozorňuje BIS.
Těmto technikám byly během loňského roku vystaveny nejen státní instituce – z jedné se skutečně podařilo ukrást významné množství dokumentů a jiných souborů – ale i české politické strany. K těmto útokům ale kontrarozvědka podobnější informace nezveřejnila.