Spojené státy čelí rozsáhlému kybernetickému útoku, který může mít dopady i na Česko. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) proto upozorňuje na nebezpečí softwaru americké společnosti SolarWinds. Hackeři napadli aktualizace její platformy Orion, a to konkrétně těch z března až června letošního roku.

Tento článek je více než rok starý.

Washington / Praha 21:34 14. 12. 2020 (Aktualizováno: 21:56 14. 12. 2020) Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Podle českého cyberattaché ve Washingtonu Daniela Baggeho se jedná o masivní útok.

„V současné chvíli je odhad zhruba 18 tisíc institucí, které se staly obětí tohoto útoku. Ze zhruba 300 tisíc zákazníků té firmy, které byla využita jako útočný vektor,“ vysvětluje pro Radiožurnál.

Hackeři se tak dostali například k interním dokumentům. „Týká se to e-mailu, souborů, cloudových úložišť a podobně. Útočníci v podstatě získají kontrolu nad obsahem vaší organizace,“ přidává Bagge.

Útok teď vyšetřují FBI i CISA, americká obdoba českého NÚKIB, která byla podle posledních zpráv napadena.

Léková agentura Evropské unie se stala terčem kyberútoku. Cílem byly dokumenty o vakcíně Pfizeru

Číst článek

Podle Baggeho americká média už začala zveřejňovat identitu možného útočníka. „Ve zdejších médiích se už objevily informace, které se zdají být pouštěny bezpečnostními představiteli vlády Spojených států, které ukazují na aktivity z ruské federace.“

Klienty společnosti SolarWinds jsou globální firmy. Podle vyjádření mluvčího českého kyberúřadu Jiřího Táborského se jedná o celosvětově používané nástroje, takže se hackerský útok dotýká i Česka. Konkrétní ale NÚKIB v tuto chvíli být nechce.

To je i důvod, proč úřad vydal upozornění na tento útok. Na jeho stránkách je i postup, jak si zkusit ověřit, jestli se útok týká i například vaší instituce.

Rozhovor: Útok přes infrastrukturu

Jak se hackeři do systémů dostali?
Daniel Bagge: Útočníci získali přístup do legitimního procesu softwarových aktualizací. Představte si, že máte platformu, kterou používáte, v tomto případě je to platforma Orion společnosti SolarWinds, a vy pravidelně aktualizujete její software. Právě do tohoto pravidelného aktualizačního procesu se útočníci dostali.

Podařilo se jim software napadnout a vsunout do něj prvky malwaru, což jim potom umožnilo převzít kontrolu nad cílovou infrastrukturou zákazníků, kteří Orion platformu využívají. Je to jeden z perfektních příkladů útoků na dodavatelský řetězec.

Co to přesně znamená?
Útočníci necílí přímo na potenciální oběti, ale berou to oklikou a útočí na firmu, která dodává řešení širokému spektru klientů. Samozřejmě tím cílem jsou klienti samotní, ale není na ně útočeno přímo, přímo na jejich infrastrukturu, ale prostřednictvím dodavatelského řetězce, přes nějakého dodavatele. V tomto případě firmu SolarWinds a platformu Orion.

Jak se bránit kybernetickým útokům? Firmy si najímají ‚etické hackery‘ na testování zaměstnanců

Číst článek

Kdo jsou klienti SolarWinds?
Klienti jsou v podstatě všichni, kdo jsou nějakým způsobem důležití pro ekonomiku a národní bezpečnost a vládu Spojených států. Když se například podíváte na stránky společnosti, kterými klienty se sama chlubí, patří tam všichni telekomunikační operátoři ve Spojených státech, bankovní domy, ministerstvo obrany Spojených států, tajná služba Spojených států, ministerstva federální vlády a také obrovské množství korporátních identit soukromého sektoru. Za oběť padlo i ministerstvo vnitřní bezpečnosti, pod které spadá i CISA, náš partner.

Tedy obdoba NÚKIB ve Spojených státech?
V podstatě ano.

Minulý týden společnost FireEye zveřejnila, že se také stala obětí kybernetického útoku. Má to něco společného s tímto?
FireEye jako jeden z předních představitelů kybernetické bezpečnosti se stala také obětí tohoto útoku. Informace o hacknutí FireEye předcházela informaci o útoku na SolarWinds. FireEye se na 90 procent stala obětí stejné skupiny aktérů, kteří využili stejné zranitelnosti.

Tam se to liší v tom, že v případě FireEye, co víme teď, je, že byly odcizeny nástroje takzvaného „red teamu“ neboli skupiny, která interně zpracovává a připravuje programy, kterými se zkouší zabezpečení jejich klientů. Mezi ně patří obrovské světové korporace, ale i vládní úřady ve Spojených státech a podobně.

To, že byly ukradeny tyto nástroje, je poměrně zásadní problém. Tyto nástroje mohou být použity dalšími aktéry. Pokud těmto nástrojům budou vystaveny ne úplně zkušení pracovníci bezpečnosti, tak to může vyvolávat dojem, že útočí nějaký státní aktér. Nástroje, které byly společnosti FireEye ukradeny, mají simulovat chování jednotlivých státních aktérů, proti kterým se FireEye snaží nabízet bezpečnostní řešení svým klientům.

Množství hackerských útoků na školy stouplo podle Kaspersky o 350 procent. Problém měly i s phishingem

Číst článek

Současný útok se tedy netýká jen Spojených států?
Je to globální útok. Cíle, které jsou součástí toho průšvihu, mají globální působnost. Jsou to globální korporace s globální působností. Je pravděpodobné, že uvidíme v následujících dnech a týdnech zvýšený počet dalších obětí, jak se bude postupně přicházet na to, že byly taky kompromitovány.

Jak to zjistí, že se jich útok týká taky?
Můžou to zjistit například tak, že využijí informace od různých bezpečnostních agentur nebo firem. NÚKIB už uvádí na svých stránkách návod, jak zjistit, jestli jste byli kompromitováni, nebo nikoli.

Informace jsou, ať už ze strany Microsoftu, našich partnerů tady ve Spojených státech, nebo společnosti FireEye, která připravila informační balíček, který můžete použít, abyste zjistili, jestli jste byli, nebo nebyli kompromitováni napadenou aktualizací software.

Hackeři se tedy dostali do interních dokumentů všech firem a úřadů, které napadli?
Teď se pouštím do spekulací, ale taková operace vyžaduje opravdu obrovské množství kapacit, personálních i časových. A vzhledem k tomu množství potenciálních obětí je dost možné, že útočníci prioritizovali cíle. Je možné, že některé instituce jsou kompromitovány a ještě na to nepřišly nebo jim bude trvat, než to vyřeší. Mezitím útočníci budou moci nerušeně pokračovat ve svých aktivitách v jejich infrastruktuře.

Jana Magdoňová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít