Vydírání, padělání faktur, těžba kryptoměn, špionáž, obchod s digitálními identitami nebo šíření dezinformací je pouze krátký výčet zájmů útočníků cílících na soukromá zařízení, firemní a vládní sítě. Martin Haller, zakladatel Patron-IT, ví, jak uvažují útočnící, vyjednává s nimi a hackuje, aby firmy chránil před vyděračskými útoky.
Co se odehrává v hlavě kybernetického zločince? Proč se rozhodne, že bude páchat škody, místo aby naopak pracoval v IT odděleních a zabezpečoval systémy?
Těch důvodů je víc. Jednak zpravidla pochází z oblastí, které jsou ekonomicky chudší a není tam tak lehké sehnat „vysněnou“ práci. Dále hraje roli výchova a charakter člověk. A v neposlední řadě se dá kybernetickými útoky vydělat spousta peněz. Má se za to, že velká část útočníků pochází z postsovětských států a Číny. Například Spojené státy americké nedávno nepozvaly Rusko a Čínu na mezinárodní setkání ohledně řešení kybernetické kriminality. Dlouhodobě je kritizují, že nevěnují pozornost útokům, které jsou prováděny z jejich území proti cílům v Evropě a Americe.
Průměrná výše zaplaceného výkupného se pohybuje kolem 2,9 milionu korun. Za první polovinu roku 2021 pak eviduje americké ministerstvo transakce ve výší 13 miliard korun, u kterých se domnívá že se jedná o platby za výkupné. Je to hodně peněz. Zvlášť, když vykonat útok na střední firmu zabere útočníkům zpravidla jen pár dní.
Jaká je motivace kyberzločinců útočících na veřejné instituce jako nemocnice a školy?
Útočí na všechny, nijak si nevybírají. Motivací jsou vždy peníze a ty získávají dvojím vydíráním. Jednak tím, že pokud oběť nezaplatí, už nikdy neuvidí svá data. A zároveň tím, že na internetu zveřejní část ukradených dat. Ta zpravidla obsahují citlivé osobní údaje a důvěrné firemní informace. Představte si, co vše za informace mají nemocnice, sociální sítě, seznamky, finanční instituce nebo právní kanceláře. Zde je opravdu žádoucí, aby data nikdy neutekla.
Útočníci zpravidla „nejdříve střílí“ a až poté se dívají, koho to vlastně „zastřelili“. Najdou se však i skupiny, které veřejně proklamují, že se vyhýbají útokům na zdravotnické a vzdělávací instituce. Případně těmto subjektům data bezplatně odemknou.
Mají hackeři nějaký etický kodex, nebo pravidla, kterými se řídí?
To je dobrá otázka. Je to svět bez centrálního řízení a moci. Není zde policie, ani soudy. Zločinci spolu však potřebují spolupracovat. Každý si tedy v kybersvětě buduje své jméno a reputaci, díky tomu získává důvěru dalších.
Zločinecká fóra a tržiště zpravidla fungují na principu pozvánek. Pokud se chcete dostat dovnitř, musí se za vás zaručit někteří existující členové. Stejně tak pokud se chcete stát partnerem některých ransomware skupin, musíte nejprve přinést svou první oběť (myšleno prolomit a zašifrovat nějakou firmu).
Stává se, že nově vznikající ransomware skupiny uloží do úschovy větší obnos peněz v kryptoměnách. Tím signalizují, že „byznys“ myslí opravdu vážně. Zároveň je to „pojistka“ pro jejich nové partnery, že kdyby se něco stalo s „mateřskou“ skupinou, budou jejich odměny vyplaceny z této úschovy.
Holt ti, co se vydali na zločineckou dráhu, to mají s důvěrou složitější. Jednak jejich partneři už z povahy „byznysu“ bývají často nepoctiví. Zároveň se mezi ně stále snaží infiltrovat policisté, tajné služby, novináři i bezpečnostní výzkumníci.
Jak se nejčastěji hackeři dostanou do firemní sítě?
Uniklé, či uhádnuté přihlašovací údaje spolu s phishingovými e-maily stojí za 80 % případů. Zbytek pak připadá na chyby v software. U hesel nás trápí více věci. Jednak to, že uživatelé používají stejné heslo na více místech. Čas od času pak útočníci prolomí nějakou webovou službu, odkud tyto přihlašovací údaje získají a zkouší, jestli náhodou nebudou pasovat i jinde.
Zadruhé, když se přihlašují k firemním službám z nedůvěryhodných zařízení. Tato zařízení mohou být pod kontrolou útočníků a zachycené přihlašovací údaje jim předávají. A zatřetí, když je heslo tak slabé, že jej útočníci uhádnou.
Phishingovými e-maily se útočníci snaží z uživatelů přihlašovací údaje vylákat, nebo spustit na uživatelově počítači malware.
Musím však zmínit, že proniknutím do firemní sítě to teprve začíná. Útočníci ještě nemají dostatek oprávnění na to, aby mohli zašifrovat všechna data, zničit zálohy a vypnout servery. Dobře vědí, že pokud firmě nezničí i zálohy, zaplaceno od oběti nedostanou.
Co se snaží kyberzločinci získat?
Kyberzločinecký svět je velmi pestrý. Různé skupiny mají různé zájmy. Kyberzločinci s ransomware získávají peníze vydíráním. Pak zde máme zločince s BEC podvody (business e-mail compromise), které padělají existující faktury. Zločince okrádající běžné lidi o kryptoměny, peníze z účtů a platebních karet. Zločince zneužívající napadená zařízení k těžení kryptoměn. Státní elitní hackery provádějící špionáž, dezinformace či sabotáže. Hackery napadající veškerá zařízení připojená do internetu a zapojující je do svého botnetu. Obchodníky s digitálními identitami a informacemi. Je toho opravdu hodně.
Jak moc jsou filmy a seriály o kyberzločincích vzdálené od reality?
Hackování je z pozice diváka velice nudná záležitost. Zpravidla sedíte desítky hodin před počítačem, něco hledáte, pročítáte, studujete a programujete. Pouze až finální fáze, kdy svůj útok spustíte a „něco“ se stane, je atraktivní. Ve filmech a seriálech se zaměřují právě na to finále, aby z toho diváci něco měli.
Většinou jsou scény mimo realitu a na počítačích se jen přehrává předtočené video. Na internetu jsou webové stránky, které udělají filmového hackera i z vás, např. tady nebo tady. Jsou však i filmy a seriály, které jsou provedeny velice dobře, například Mr. Robot. Na jeho tvorbě se podílí lidé ze „cybersecurity“ a je to na něm zatraceně znát. Způsob, jakým Elliot provádí své kousky je sice zjednodušený, avšak velice reálný.
Jak často hackeři útočí na spotřebiče chytré domácnosti, kamerové systémy a video chůvičky? Dá se vůbec zjistit, že nás někdo sleduje?
Nepřetržitě. V podstatě všechna zařízení napřímo dostupná z internetu (zpravidla routery, kamery, síťová úložiště) jsou stále pod útokem. Internet je plný „botů“, kteří stále skenují, co je do internetu připojené a jaké služby na těch zařízeních běží. Na druhou stranu to neznamená, že jsou bezprostředně ohroženy.
Dokud uživatelé pro přihlášení ke svým zařízením používají silná hesla a v těch zařízeních nejsou nalezeny zranitelnosti, jsou v bezpečí. Problémy však nastávají v případě, kdy se v nějakém zařízení objeví chyba. V tu chvíli se rozjíždí závod o to, kdo bude rychlejší. Zdali uživatel s aktualizací (záplatou), nebo útočník se svým útokem.
Bohužel častokrát uživatelé ani nevědí, že by se některá zařízení měla aktualizovat. Tenhle problém je častý právě u kamerových systémů. Bývají napřímo dostupné z internetu a jsou pořizovány na spoustu let.
Zrovna v červenci byla v kamerách od firmy Hikvision nalezena chyba, která je umožňuje plně ovládnout. Přičemž rychlým průzkumem vidím, že těchto kamer je z internetu dostupných přes pět milionů. Nejspíše by se jich dalo najít ještě více.
Tím se dostáváme k Vaší otázce, zdali je možné zjistit, že nás někdo sleduje. Ano, možné to je, ale je to práce pro někoho, kdo se IT věnuje a bude to vyžadovat čas. O nástroji, nebo jednoduchém postupu pro běžného uživatele nevím. Neznamená to však, že něco takového neexistuje. Náš obor je rozsáhlý a nikdo neví vše.
Co s takovými záznamy pak dělají? Kam se dostanou? A máme šanci to někdy zjistit?
Někdo se koukne, pobaví a jde dál. Jiní si mezi sebou přístupy vyměňují, nebo prodávají. Další ta zařízení „zotročí“ a připojí do svého botnetu. Naše napadená zařízení jim pak slouží při DDoS útocích, rozesílání spamu, nebo skrývají jejich identitu při páchání jiných podvodů.
Jako běžní uživatelé si můžeme všímat drobných anomálií. Například dané zařízení začne být pomalejší. Hůře nám jde internet. Někdy na nás vyskočí hláška o tom, že naše síťová adresa byla zablokována. Nechci však čtenáře strašit. Výše uvedené symptomy se mohou vyskytovat z mnoha různých důvodů a málokdy je to právě kvůli nějaké „kompromitaci“.
