Menu Zavřít

Hackerské gangy se zaměřují na dodavatelský řetězec, píše expert ze Soitronu

4. 5. 2021
Autor: Soitron
  • Kyberzločincům se nedaří prostřednictvím ransomware získat výkupné, a tak mění strategii

  • Útoky se stávají efektivnější a nově spočívají v hacknutí dodavatele – nejčastěji hardwarového či softwarového vývojáře

  • Prostřednictvím supply chain attack se otevírá možnost napadnout řádově větší množství firem


Martin Lohnert řídí vývojové projekty v IT firmě Soitron a je expertem na hackerské útoky, včetně řešení, jak je účinně odrazit. Pro Euro.cz exkluzivně popisuje nově razantně nastupující, a především sofistikovanější typy hackerských útoků, které mohou poškodit byznys firmy, nebo je třeba zcela zlikvidovat. 

Hackerské techniky se vyvíjejí. Odhaduje se, že kybernetické gangy svými útoky vydělávají desítky milionů dolarů ročně. Zatímco předchozím letům dominovaly útoky na různé síťové protokoly a objevené zranitelné chyby, dnes je v popředí ransomware. Ransomwarové gangy se stále častěji zaměřují na větší organizace. Je to logické, protože u nich očekávají, že se jim podaří získat ‚výkupné‘ z vydírání a navíc, že bude tučnější.

Z našich statistik přitom vyplývá, že nějakou formou ransomwaru je napadena více než polovina všech firem. Zajímavostí přitom je, že jen zlomek z nich nakonec za odšifrování dat zaplatí. Podle bezpečnostní firmy Kaspersky to v minulém roce v Česku bylo dokonce jen kolem 6 % z nich. Jde o relativně nízké číslo, na druhou stranu v počtu globálně napadených firem a požadovaném výkupném nejde o zanedbatelné částky, nicméně útočníkům to nestačí, a tak se nyní soustředí na efektivitu.

O slovo se hlásí spící typ útoků

I přestože jsou hackerské skupiny dobře organizované, tak je stále tvoří lidé. A ti jsou, jak všichni víme líní. Proto hledají cesty, jak útoky znásobit a vytěžit z nich mnohem více za méně úsilí. Útoky prostřednictvím ransomware jsou využívány řadu let a budou i nadále. Co se změnilo, to je informovanost a lepší ochrana. Firmy lépe, a hlavně kontinuálně svá data zálohují, takže pokud dojde k prolomení ochrany, dokážou je poměrně rychle obnovit a byznys tak zotavit. Tím pádem dochází k poklesu zdařile dokončených ransomware útoků, končící výplatou bitcoinů hackerům. Proto hackeři hledají nové techniky. Ne zcela novou, ale aktuálně velmi silně nastupující je supply chain attack. Tato technika spočívá ve specifickém typu útoku na dodavatelský řetězec, při které se využívají slabiny v propojených systémech životního cyklu produktu.

Hackeři se nezaměří na běžnou firmu, ale dodavatelskou, vyvíjející nebo poskytující určitý hardware nebo software. Pokud se hacknutí podaří, vpašují do produktu svůj vlastní programový kód, díky čemuž si otevřou zadní vrátka, kterými zařízení či software mohou mít pod kontrolou, vzdáleně ovládat nebo skrz něj odcizit různá data. Útočníci mohou daný systém napadnout v jakoukoliv chvíli – od vývoje produktu až po jeho proces aktualizací.

Když padají servery. Stát může v IT ušetřit stovky milionů a předejít zbytečným problémům, tvrdí šéf ČMIS Svátek
Přečtěte si také:

Když padají servery. Stát může v IT ušetřit stovky milionů a předejít zbytečným problémům, tvrdí šéf ČMIS Svátek

Posledně jmenovaným byla v loňském roce postižena společnost SolarWinds. Kyberzločinci do produktů této firmy umístili backdoor a při následném updatu softwaru jej SolarWinds distribuoval, a to dlouhé měsíce na tisíce cílů do mnohých organizací a firem, včetně federálních amerických agentur či technologických společností. Útočníci potom čekali na vhodnou dobu, kdy backdoor aktivují.

Zaměstnanec, co podcenil bezpečnost

Uvedu ještě jeden příklad, který se odehrál nedávno. Na začátku letošního roku společnost Ubiquiti vydala prohlášení, ve kterém se přiznala, že došlo k napadení jejích systémů u poskytovatele cloudových služeb. Jak se později ukázalo, útok byl veden přes zneužití přístupů u služby Amazon Web Services. Jeden ze zaměstnanců Ubiquiti si vedl v aplikaci LastPass evidenci privilegovaných účtů. Jejich odcizením útočníci získali vzdálený přístup k nespočtu Ubiquiti zařízení po celém světě.

Protože společnost Ubiquiti vyrobila už více než 85 milionů zařízení, která hrají klíčovou roli v síťové infrastruktuře ve více než 200 zemích po celém světě a používají je jak firmy, tak koncoví uživatelé, může to podle nás znamenat velký problém. Ubiquiti následně muselo řešit „vydírání“ ze strany útočníků, kteří požadovali 50 bitcoinů (tedy cca 2,8 milionů USD)výměnou za příslib, že o narušení budou mlčet.

Velmi zajímavý případ supply chain attack potkal koncem března také programovací jazyk PHP. Hackeři se pokusili o jeho kompromitaci, a přitom na to šli velmi jednoduše. Pod jmény známých vývojářů prolomili ochranu oficiálního softwarového repozitáře GitHub (odkud je PHP distribuováno) a vložili do zdrojových souborů nenápadný, ale napadený kód. Pokud by si ho nikdo nevšiml, udělal by velkou škodu na webech využívající PHP. Prostřednictvím tzv. hlavičky by totiž mohli distribuovat kód, který by napadnul čtyři pětiny světových webů.

Jeden útok, mnoho obětí

Tyto příklady jsou důkazy toho, že hackerské techniky se mění. Sami vidíme, že samotný ransomware se od svého vzniku před desítkami let významně vyvinul. A zatímco zločinci dříve operovali sami nebo v malých týmech a náhodně cílili na jednotlivé uživatele internetu pomocí webových stránek a e-mailů, v posledních několika letech se útoky staly sofistikovanějšími, organizovanějšími a ambicióznějšími.

Roztomilí kyberteroristé. Americké veverky způsobují výpadky elektřiny, u nás jde přitom o neznámý problém
Přečtěte si také:

Roztomilí kyberteroristé. Americké veverky způsobují výpadky elektřiny, u nás jde přitom o neznámý problém

Jak jsme si ukázali na těchto třech případech, firmy jsou dnes napadány v tichosti skrze hardware a software, a nemají o tom ani tušení. Dodavatelé prodávají, nebo aktualizují zdánlivě čistý programový kód, který však obsahuje zadní vrátka a skrze ně se kyberzločinci dostávají do milionů společností, ale i ke koncovým uživatelům. Vydírány mohou být potom jak dodavatelé, tak firmy užívající produkty a služby. Stačí vybrat vyděračskou metodu (například v podobě zašifrování dat, jejich krádeže apod.) a čekat na výkupné.

Lze se nějak bránit?

Základním doporučením je dodržovat běžné kybernetické bezpečnostní zásady. Stejně jako v případě jiných rizik brát možné útoky vážně, používat firewally, segmentovat síť, zálohovat, používat silná hesla atd. Pro sofistikovanější hrozby, jakou je právě supply chain attacks doporučuji v reálném čase sledovat, co se v infrastruktuře nejen děje, ale musíte umět detekovat podezřelé činnosti dříve, než dojde k velkým škodám.

MM25_AI

Co vždy firmám doporučuji je to, být připraven na scénář, že k útoku přece jen může dojít, a tak pouvažovat nad tím, jak velké škody by mohl způsobit a mít připravený plán, jak reagovat. Ten potom stačí pouze vytáhnout ze ‚šuplíku‘ a postupovat podle něj, protože pokud krizová situace nastane, zcela určitě nebude čas ho vymýšlet.

  • Našli jste v článku chybu?