Microsoft | Bezpečnost | Hacking | Rusko

Blíží se olympiáda, a tak hackeři začali útočit na antidopingová centra. Stopa vede na východ

  • WADA pohrozila Rusku, že jej vyřadí ze sportovních soutěží
  • Krátce na to kdosi začal útočit na sportovní organizace
  • Vše zachytil Microsoft a pečlivě analyzoval

24. července 2020 vypukne v Tokiu v pořadí už 32. letní olympiáda, takže japonský organizační tým postupně finišuje s výstavbou a přípravou ostře sledovaného sportovního svátku. Není však zdaleka jediný, na hry se totiž chystají i státní hackeři.

Řeč přitom není o soudruzích z KLDR, kteří to mají vlastně jen kousek, ale o skupině, pro kterou se vžila celá hromada přezdívek. Říká se jim Strontium, Fancy Bear, Tsar Team nebo třeba APT28 a v posledních pěti letech útočili jak na počítačové systémy německého parlamentu, tak nejspíše i na e-maily americké Demokratické strany a ukrajinskou armádu.

Stopy vedou na východ

Vzhledem k vybraným cílům – ve skutečnosti jich bylo ještě mnohem více – je zřejmé, že se nejspíše nebude jednat ani o znuděné studenty ČVUT z kolejí Strahov. Stopy naopak míří daleko na severovýchod, bezpečnostní experti i zasažené státy se totiž domnívají, že se jedná o operace hackerů útočících s požehnáním a příkazem ruské Glavnoje razvedivatěl'noje upravlenije, tedy Hlavní rozvědkové správy GRU.

Nutno však podotknout, že se v těchto případech zpravidla jedná pouze o nepřímé důkazy, neboť skutečného aktéra prakticky není možné vysledovat. Obecně se tedy k této problematice přistupuje optikou cui bono, tedy komu by byl podobný útok při jeho zjevných finančních nákladech vlastně prospěšný (i hackeři potřebují dostatek pizzy).

Zároveň platí, že aby skutečný aktér zakryl svoji identitu ještě více, může jeho útok napodobovat zdokumentované rysy nějaké starší operace, o které si odborná veřejnost myslí, že směřovala skrze prostředníky právě z Pekingu, anebo Moskvy, ačkoliv skutečným viníkem může být ještě někdo třetí.

Microsoft nedělá pouze Defender

Jelikož útoky často cílily na podnikové zákazníky Microsoftu, mnohé z nich dokázali rozšifrovat právě inženýři z Redmondu a jeho oddělení MSRC – Microsoft Security Response Center. Microsoft totiž nevyvíjí pouze svůj antivirus Defender, který je dnes integrální součástí Windows 10, ale i pokročilejší síťové analytické systémy.

Jeden z nich, Advanced Threat Analytics (ATA), nedávno pomohl odhalit i pokus o špionáž v českém Avastu, když se do jeho intranetu skrze kompromitované VPN spojení dostal jakýsi dobrodruh ze zahraničí. Avast naštěstí dostál svému jménu, záškodníka zavčas odhalil a ve spolupráci s Bezpečnostní informační službou se jej snažil dále sledovat.

Blíží se letní olympiáda, a tak začala GRU opět útočit

Redmondské analytické systémy nedávno zachytily další podezřelou aktivitu, ze které opět viní skupinu Fancy Bear/APT28. Právě tito hackeři měli útočit na jeho klienty, a to ne tak ledajaké, jedná se totiž o antidopingové organizace z celého světa.

Doping a Rusko jsou po zkušenostech z minulých let už téměř synonyma, takže asi nebude náhodou, že se vlna útoků přehnala internetem krátce poté, co Světová antidopingová agentura WADA pohrozila Rusku, že jej nevpustí na žádnou mezinárodní sportovní soutěž. Hlavním důvodem přitom měla být absence jakékoliv reflexe minulých průšvihů ruských sportovců a pokračující a státem posvěcený dopingový program, který mají potvrzovat nesrovnalosti v databázích tamních antidopingových organizací.

Hackeři útočili na 16 antidopingových organizací

Podle Microsoftu hackeři zaútočili přinejmenším na šestnáct národních i mezinárodních sportovních a antidopingových institucí, přičemž v některých případech byli úspěšní a mohli se dostat ke strategickým interním informacím.

A jaké postupy vlastně útočníci použili? Pokud nás čtete pravidelně, jistě vám neunikla jarní reportáž, v rámci které jsme si popovídali s etickými hackery z tzv. red týmu společnosti Unicorn.

Firma je nabízí jako komerční službu pro banky a další citlivé instituce, které si chtějí ověřit kvalitu svého zabezpečení. Počítačoví a datoví experti, o kterých ví ve firmě třeba jen nejužší vedení, pak budou mít několik týdnů na to, aby se pokusili dostat do její intranetové sítě nebo do zabezpečené budovy, kde rozmístí štěnice. Nakonec objednavateli zpracují závěrečnou zprávu, ve které shrnou všechny slabiny, na které přišli.

Jedním z útoků, který přitom používají, se jmenuje spear phishing.

Cílený phishing, který zmate i IT oddělení

Právě ten podle Microsoftu úspěšně použili také hackeři ze skupiny Fancy Bear/APT28. Spear phinshing je cílený phishing na míru. To znamená, že vám nedorazí jeho masová a povětšinou naprosto pitomá a průhledná podoba, kterou si pamatujete třeba z vlny e-mailů drahoušek zákazník, ale podvodný e-mail, který je určený přímo vám a obsahuje hromadu důvěryhodných informací, protože útočník dobře ví, že vůbec existujete.

Klepněte pro větší obrázek
Sofistikovaný hacking v terénu, aneb čtečka čipových karet skrytá ve falešné zlomenině ruky. I toto při svých operacích zkoušejí hackeři červených týmů.

Může se tak jednat třeba o e-mail, který na letmý pohled vypadá jako interní sdělení pro zaměstnance s odkazem. Když na něj klepnete, snadno pominete mnohé základní bezpečnostní poučky, protože se nejedná o žádnou špatně komolenou češtinu ze strojového překladače, ale o text, který by přece klidně mohla napsat ta Jitka z personálního.

Experti z Unicornu nám potvrdili, že se tímto způsobem občas nachytají i správci sítě a další seniorní zaměstnanci IT oddělení, kteří by jinak odpřisáhli, že přece na žádný nigérijský e-mail neskočí. Ale skočí, jen stačí, aby nebyl z Nigérie.

Když hacker začne sprejovat hesla napříč internetem

Společně se spear phishingem útočníci podle Microsoftu použili i další techniky, třeba password spraying. Pokud máte doma veřejnou IP adresu a otevřené nějaké ty TCP porty, s tímto útokem se váš router setkává prakticky každý den. Je to prosté, útočník se pokouší pomocí typických párů login/heslo, třeba admin/12345678, přihlásit třeba k SSH, pokud uvidí jeho otevřený TCP port číslo 22.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Útoky umí zaznamenávat třeba český router Turris, který umožňuje spuštění falešného SSH serveru, který ve skutečnosti běží mimo vaši síť. Jelikož byl pro tyto účely na routeru otevřený z vnějšího internetu port 22, mohl jsme se podívat, kdo se skrze něj pokoušel přihlásit, 

Kouzlo spočívá v tom, že namísto toho, aby se věnoval jen vám a formou brute-force takových párů login/heslo vyzkoušel třeba tisíc (čehož by si už měl všimnout firewall a odstřihnout jej), primitivní kombinaci vyzkouší na tisících a tisících veřejných IP adres. Dělá to softwarový robot, takže jen stačí spustit příkaz.

Díky velkému množství cílů pak roste i pravděpodobnost, že má někdo na svém starším domácím routeru skutečně primitivní nebo dokonce i výchozí heslo od výroby a do vnějšího internetu exponovanou webovou administraci.

Útočníci se pokoušeli prolomit i do síťových krabiček

Vedle cíleného phishingu z ranku sociálního inženýringu a vlastně docela primitivního hádání hesel nakonec útočníci zkoušeli i zneužít zranitelnosti v síťových počítačích svých obětí a že se nejednalo o žádné zelenáče, dokládá i skutečnost, že vedle konfekčních a hotových open-source  nástrojů, kterými je vyzbrojená třeba specializovaná linuxová distribuce Kali, při svých útocích použili i vlastní postupy a vlastní malware, čímž lze jednoznačně vyloučit i script-kiddies a obecně nadšené zelenáče, kteří na YouTube zkoukli několik videí typu „Hackujeme NASA snadno a rychle.“

Letní olympiáda se blíží, podobných útoků tedy nejspíše bude nadále přibývat. Ostatním nezbývá než doufat, že i když jsou útočníci už z principu vždy krok napřed, počítačoví experti je dokážou zpětně vystopovat a sjednat nápravu. Microsoft to učinil i v tomto případě a obětem doporučil, jak vylepšit své chatrně zabezpečené systémy.

Diskuze (18) Další článek: TSMC začalo stavět továrnu na 3nm čipy. Bude stát 20 miliard dolarů a začne vyrábět v roce 2023

Témata článku: Microsoft, YouTube, Internet, Bezpečnost, Hacking, Rusko, VPN, Malware, Router, Phishing, E-mail, Avast, Turris, Redmond, Severní Korea, GRU, Tokio, Moskva, Peking, Český router Turris, Fancy Bear, Spear, Demokratická strana, WAD, ANT +



Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Z Androidů se jednoduše stane webkamera. Ani k tomu není potřeba další aplikace

Z Androidů se jednoduše stane webkamera. Ani k tomu není potřeba další aplikace

** Google v Androidu 14 přidá funkci, se kterou přišel jako první Apple ** Androidy využijete jako webkameru k počítači ** Nebudete k tomu potřebovat žádnou externí aplikaci navíc

Martin Chroust
Android 14Záznamová kamera
Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2022 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě