Microsoft | Bezpečnost | Hacking | Rusko

Blíží se olympiáda, a tak hackeři začali útočit na antidopingová centra. Stopa vede na východ

  • WADA pohrozila Rusku, že jej vyřadí ze sportovních soutěží
  • Krátce na to kdosi začal útočit na sportovní organizace
  • Vše zachytil Microsoft a pečlivě analyzoval
Blíží se olympiáda, a tak hackeři začali útočit na antidopingová centra. Stopa vede na východ

24. července 2020 vypukne v Tokiu v pořadí už 32. letní olympiáda, takže japonský organizační tým postupně finišuje s výstavbou a přípravou ostře sledovaného sportovního svátku. Není však zdaleka jediný, na hry se totiž chystají i státní hackeři.

Řeč přitom není o soudruzích z KLDR, kteří to mají vlastně jen kousek, ale o skupině, pro kterou se vžila celá hromada přezdívek. Říká se jim Strontium, Fancy Bear, Tsar Team nebo třeba APT28 a v posledních pěti letech útočili jak na počítačové systémy německého parlamentu, tak nejspíše i na e-maily americké Demokratické strany a ukrajinskou armádu.

Stopy vedou na východ

Vzhledem k vybraným cílům – ve skutečnosti jich bylo ještě mnohem více – je zřejmé, že se nejspíše nebude jednat ani o znuděné studenty ČVUT z kolejí Strahov. Stopy naopak míří daleko na severovýchod, bezpečnostní experti i zasažené státy se totiž domnívají, že se jedná o operace hackerů útočících s požehnáním a příkazem ruské Glavnoje razvedivatěl'noje upravlenije, tedy Hlavní rozvědkové správy GRU.

Nutno však podotknout, že se v těchto případech zpravidla jedná pouze o nepřímé důkazy, neboť skutečného aktéra prakticky není možné vysledovat. Obecně se tedy k této problematice přistupuje optikou cui bono, tedy komu by byl podobný útok při jeho zjevných finančních nákladech vlastně prospěšný (i hackeři potřebují dostatek pizzy).

Zároveň platí, že aby skutečný aktér zakryl svoji identitu ještě více, může jeho útok napodobovat zdokumentované rysy nějaké starší operace, o které si odborná veřejnost myslí, že směřovala skrze prostředníky právě z Pekingu, anebo Moskvy, ačkoliv skutečným viníkem může být ještě někdo třetí.

Microsoft nedělá pouze Defender

Jelikož útoky často cílily na podnikové zákazníky Microsoftu, mnohé z nich dokázali rozšifrovat právě inženýři z Redmondu a jeho oddělení MSRC – Microsoft Security Response Center. Microsoft totiž nevyvíjí pouze svůj antivirus Defender, který je dnes integrální součástí Windows 10, ale i pokročilejší síťové analytické systémy.

Jeden z nich, Advanced Threat Analytics (ATA), nedávno pomohl odhalit i pokus o špionáž v českém Avastu, když se do jeho intranetu skrze kompromitované VPN spojení dostal jakýsi dobrodruh ze zahraničí. Avast naštěstí dostál svému jménu, záškodníka zavčas odhalil a ve spolupráci s Bezpečnostní informační službou se jej snažil dále sledovat.

Blíží se letní olympiáda, a tak začala GRU opět útočit

Redmondské analytické systémy nedávno zachytily další podezřelou aktivitu, ze které opět viní skupinu Fancy Bear/APT28. Právě tito hackeři měli útočit na jeho klienty, a to ne tak ledajaké, jedná se totiž o antidopingové organizace z celého světa.

Doping a Rusko jsou po zkušenostech z minulých let už téměř synonyma, takže asi nebude náhodou, že se vlna útoků přehnala internetem krátce poté, co Světová antidopingová agentura WADA pohrozila Rusku, že jej nevpustí na žádnou mezinárodní sportovní soutěž. Hlavním důvodem přitom měla být absence jakékoliv reflexe minulých průšvihů ruských sportovců a pokračující a státem posvěcený dopingový program, který mají potvrzovat nesrovnalosti v databázích tamních antidopingových organizací.

Hackeři útočili na 16 antidopingových organizací

Podle Microsoftu hackeři zaútočili přinejmenším na šestnáct národních i mezinárodních sportovních a antidopingových institucí, přičemž v některých případech byli úspěšní a mohli se dostat ke strategickým interním informacím.

A jaké postupy vlastně útočníci použili? Pokud nás čtete pravidelně, jistě vám neunikla jarní reportáž, v rámci které jsme si popovídali s etickými hackery z tzv. red týmu společnosti Unicorn.

Firma je nabízí jako komerční službu pro banky a další citlivé instituce, které si chtějí ověřit kvalitu svého zabezpečení. Počítačoví a datoví experti, o kterých ví ve firmě třeba jen nejužší vedení, pak budou mít několik týdnů na to, aby se pokusili dostat do její intranetové sítě nebo do zabezpečené budovy, kde rozmístí štěnice. Nakonec objednavateli zpracují závěrečnou zprávu, ve které shrnou všechny slabiny, na které přišli.

Jedním z útoků, který přitom používají, se jmenuje spear phishing.

Cílený phishing, který zmate i IT oddělení

Právě ten podle Microsoftu úspěšně použili také hackeři ze skupiny Fancy Bear/APT28. Spear phinshing je cílený phishing na míru. To znamená, že vám nedorazí jeho masová a povětšinou naprosto pitomá a průhledná podoba, kterou si pamatujete třeba z vlny e-mailů drahoušek zákazník, ale podvodný e-mail, který je určený přímo vám a obsahuje hromadu důvěryhodných informací, protože útočník dobře ví, že vůbec existujete.

Klepněte pro větší obrázek
Sofistikovaný hacking v terénu, aneb čtečka čipových karet skrytá ve falešné zlomenině ruky. I toto při svých operacích zkoušejí hackeři červených týmů.

Může se tak jednat třeba o e-mail, který na letmý pohled vypadá jako interní sdělení pro zaměstnance s odkazem. Když na něj klepnete, snadno pominete mnohé základní bezpečnostní poučky, protože se nejedná o žádnou špatně komolenou češtinu ze strojového překladače, ale o text, který by přece klidně mohla napsat ta Jitka z personálního.

Experti z Unicornu nám potvrdili, že se tímto způsobem občas nachytají i správci sítě a další seniorní zaměstnanci IT oddělení, kteří by jinak odpřisáhli, že přece na žádný nigérijský e-mail neskočí. Ale skočí, jen stačí, aby nebyl z Nigérie.

Když hacker začne sprejovat hesla napříč internetem

Společně se spear phishingem útočníci podle Microsoftu použili i další techniky, třeba password spraying. Pokud máte doma veřejnou IP adresu a otevřené nějaké ty TCP porty, s tímto útokem se váš router setkává prakticky každý den. Je to prosté, útočník se pokouší pomocí typických párů login/heslo, třeba admin/12345678, přihlásit třeba k SSH, pokud uvidí jeho otevřený TCP port číslo 22.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Útoky umí zaznamenávat třeba český router Turris, který umožňuje spuštění falešného SSH serveru, který ve skutečnosti běží mimo vaši síť. Jelikož byl pro tyto účely na routeru otevřený z vnějšího internetu port 22, mohl jsme se podívat, kdo se skrze něj pokoušel přihlásit, 

Kouzlo spočívá v tom, že namísto toho, aby se věnoval jen vám a formou brute-force takových párů login/heslo vyzkoušel třeba tisíc (čehož by si už měl všimnout firewall a odstřihnout jej), primitivní kombinaci vyzkouší na tisících a tisících veřejných IP adres. Dělá to softwarový robot, takže jen stačí spustit příkaz.

Díky velkému množství cílů pak roste i pravděpodobnost, že má někdo na svém starším domácím routeru skutečně primitivní nebo dokonce i výchozí heslo od výroby a do vnějšího internetu exponovanou webovou administraci.

Útočníci se pokoušeli prolomit i do síťových krabiček

Vedle cíleného phishingu z ranku sociálního inženýringu a vlastně docela primitivního hádání hesel nakonec útočníci zkoušeli i zneužít zranitelnosti v síťových počítačích svých obětí a že se nejednalo o žádné zelenáče, dokládá i skutečnost, že vedle konfekčních a hotových open-source  nástrojů, kterými je vyzbrojená třeba specializovaná linuxová distribuce Kali, při svých útocích použili i vlastní postupy a vlastní malware, čímž lze jednoznačně vyloučit i script-kiddies a obecně nadšené zelenáče, kteří na YouTube zkoukli několik videí typu „Hackujeme NASA snadno a rychle.“

Letní olympiáda se blíží, podobných útoků tedy nejspíše bude nadále přibývat. Ostatním nezbývá než doufat, že i když jsou útočníci už z principu vždy krok napřed, počítačoví experti je dokážou zpětně vystopovat a sjednat nápravu. Microsoft to učinil i v tomto případě a obětem doporučil, jak vylepšit své chatrně zabezpečené systémy.

Diskuze (18) Další článek: TSMC začalo stavět továrnu na 3nm čipy. Bude stát 20 miliard dolarů a začne vyrábět v roce 2023

Témata článku: Microsoft, Internet, Bezpečnost, YouTube, Hacking, Malware, VPN, Avast, Router, Rusko, Phishing, Severní Korea, Redmond, E-mail, Turris, Moskva, Hacker, Defender, Demokratická strana, GRU, Bono, Fancy Bear, Olympiáda, Jitka, Unicorn


Určitě si přečtěte

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 28

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

** Microsoft aktualizuje Windows 10 dvakrát ročně ** Jenže praktických novinek už není tolik jako dříve ** Poslali jste nám skoro 300 tipů, co by se měly Desítky ještě naučit

Jakub Čížek | 139

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 98


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky