Útok hackerů na státní správu byl sofistikovaný a složitý, říká Rohel ze státní IT agentury

  • Hackeři napadli systémy státní správy. Přes chybu v softwaru společnosti Microsoft se dostali k e-mailům a mohli v systému spouštět škodlivý kód.
  • Microsoft o chybě poprvé informoval 2. března a hned vydal i záplaty, jimiž lze chybu opravit. Kybernetický úřad na problém upozorňuje od začátku týdne. Podle mluvčího Jiřího Táborského teď hackeři zranitelnosti aktivně zneužívají. Vše řeší kyberúřad a kriminalisté.
  • Částečně s nimi spolupracuje i státní Národní agentura pro komunikační a informační technologie (NAKIT) a její bezpečnostní ředitel Vladimír Rohel. „Ten útok byl poměrně složitý. To nás vede k myšlence, že za tím stojí někdo, kdo tu věc umí a tomu tématu hodně rozumí,“ říká v rozhovoru pro Radiožurnál.

Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Dopady v Česku se zatím postupně zjišťují, říká Vladimír Rohel. Archivní foto | Foto: Dan Materna / MAFRA | Zdroj: Profimedia

Dá se už teď říct, co hackeři ve státní správě způsobili? Zatím víme, že využili zranitelnost Microsoft Exchange serveru.
Už několik dní je tato zranitelnost venku - včetně opravných balíčků od Microsoftu. Zatím to vypadá, že by to mohl být velký problém. Druhého března to Microsoft vydal, třetího na to začaly úřady a firmy nějak reagovat. Jak to tak bývá, někdo zareagoval hned, někdo později, někdo vůbec. Teď se zjišťuje, jaký byl dopad.

Když to vezmu i k nám, k naší práci Dohledového centra eGovernmentu, tak projíždíme zpětně všechny logy (záznamy o aktivitě – pozn. red.), všechny záznamy od středy, kdy jsme tu informaci dostali. Ten problém se tady totiž neobjevil 2. března. To, že ho Microsoft zveřejnil, znamená, že problém někdo objevil dva tři měsíce předtím.

Nemůžu zveřejnit díru, když ještě nevím, co s tím udělám. To by byl velký bezpečnostní problém. Ta zranitelnost tak byla zneužívaná ještě před tím, než to Microsoft zveřejnil. To je jasné, ověřené. I my jsme to zjistili.

Při zpětném procházení jsme identifikovali servery, na které byl nějaký útok nebo pokusy o útok vedené. Takže je vidět, že útočníci o tom věděli. Dá se teď jít hodně zpátky a bude chviličku trvat, než všechny bezpečnostní týmy prohledají všechny logy a zjistí, jestli zranitelnost byla historicky zneužitá, nebo ne. Potenciálně se tady rýsuje problém, pomalu se odhaluje počet napadených serverů.

Jak jste přišli na to, že hackeři napadli servery?
My to objevili proto, že ten problém zveřejnil Microsoft. Díky tomu, že máte logy, záznamy komunikace, tak to můžete zkontrolovat i do historie. Vy řeknete nějakému stroji: „Tady máš nějaká pravidla a věci a to hledej zpátky proti času.“

Masivní kybernetický útok. Hackeři napadli ministerstvo práce a sociálních věcí, uvedla Maláčová

Číst článek

Takže jste objevili, že některé servery už hackeři kompromitovali…
Rozhodně to neznamená, že všechny servery. Pochopitelně jsme objevili servery, kde jsme našli bohužel to, co jsme hledali. Takže nějaká komunikace byla. Jak to máme dodneška navnímáno a jak jsme to zanalyzovali, tak ten útok byl poměrně složitý. To nás vede k myšlence, že za tím stojí někdo, kdo tu věc umí a tomu tématu hodně rozumí.

Microsoft označil jako útočníka státem podporovanou čínskou hackerskou skupinu. Tu máte na mysli?
Nevím, jestli čínská hackerská skupina. Tady bych se nerad pouštěl do nějakých diskusí, hádání. My řešíme bezpečnostně-technickou stránku. Z toho usuzujeme, že ten, kdo dokázal tuto zranitelnost najít a zneužít, musel mít poměrně dost dobré znalosti a zkušenosti.

Co se tedy přesně stalo, jak hackeři útočili?
Dopady v Česku se zatím postupně zjišťují tak, jak týmy postupně prohledávají logy a hlásí na NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost - pozn. red.) a policii, která to už šetří.

V principu si hacker našel zranitelný server. Zjistit, že nějaká organizace používá Exchange Server je vcelku jednoduché. Zjistit, jestli tam je, nebo není zranitelnost, se taky dá. Pak šlo hlavně o ruční práci. To je naše domněnka. Minimálně do doby, než byla zranitelnost zveřejněná Microsoftem. Pak se rozhodl, jestli ho ta organizace zajímá, nebo ne. To je naše myšlenka, nemáme to nikde potvrzené. Vycházíme z naší zkušenosti. To se ale teď bude měnit.

Hackeři se dostali ke zdrojovým kódům Microsoftu, přiznala společnost. Nebyli schopní je pozměnit

Číst článek

Jakým způsobem?
Protože už byla zveřejněna ta zranitelnost a už se o tom hodně ví. Teď začnou postupně vznikat skripty a automatizace. Takže z toho útoku ve smyslu „vybírám si, na koho chci útočit, a jsem poměrně zdatný útočník“ už se to postupně dostane do masového měřítka.

Myslíme si, že se v několika málo dnech objeví stroje a roboti, kteří to začnou dělat automaticky. Pak začnou hromadné útoky, že už to nebude výběrem, ale na koho narazí, na toho zaútočí. Ale nemáme to nikde potvrzené, jsou to jen naše praktické zkušenosti, a co o tom momentálně víme. To nás vede k úvahám, že takto to asi bylo a takto by to mohlo vypadat dál.

Víte, kolik serverů v Česku hackeři napadli?
Víme o pár, kterých se to týká, ale rozhodně neznáme přesné číslo. Teď momentálně všichni prochází fází zjišťování a postupně vše hlásí na NÚKIB. Nějaké číslo za republiku vám teď nikdo není schopný dát.

Takže mi nemůžete říct, kde konkrétně hackeři zaútočili?
To nemůžu, to máte pravdu.

Může to ohrozit bezpečnost Česka?
Nevím, jestli Česka, ale určitě to může ohrozit bezpečnost těch organizací.

Tak se zeptám jinak: napadli hackeři i systémy, které spadají do kritické informační infrastruktury?
Momentálně, co já vím, tak by nemělo být součástí kritické informační infrastruktury. S novelou vyhlášky NÚKIB by mailové systémy měly spadat nově do kategorie významný informační systém. Takže touto formální organizační změnou začínají mailové systémy pomalu spadat do významných informačních systémů. Z tohoto pohledu už ten útok dopadá na systémy, které jsou pod kyberzákonem.

Já to vnímám tak, že poštovní server je vstupní místo do systému. Útočník nějakým způsobem kompromitoval mailový server, dostal se do poměrně zajímavé služby v rámci organizace. Je otázkou, co útočník dál v systému dokáže.

Spousta útoků funguje tak, že se hacker někam dostane, tam se uhnízdí a udělá si cestičku, aby si tam mohl natahat, co potřebuje. Pokud si tam umí doručit, co potřebuje, pak je to jen na něm, co je v té organizaci dál schopen udělat a jak dál organizací prostupovat. Nedá se říct, co přesně způsobí - každá organizace to má nějak jinak nakonfigurované. Teď nedokážu říct, co konkrétně útočník v systémech dělal. Navíc je to velmi čerstvá věc, všechno je na začátku. Každopádně problém to je. Myslím si, že následující dny ukážou, jak velký.

Léková agentura Evropské unie se stala terčem kyberútoku. Cílem byly dokumenty o vakcíně Pfizeru

Číst článek

Co je tedy potřeba udělat teď, když víme, že k útokům dochází?
V tuto chvíli je potřeba okamžitě zanalyzovat všechny své exchangové e-mailové servery, které organizace má. To by měl být úkol číslo jedna, všechno poctivě zanalyzovat. Tím zjistí, jestli byl, nebo nebyl napaden.

Pochopitelně okamžitě aplikovat záplaty, které na to Microsoft vydal. V případě, že byl napaden, je otázka, jestli záplatování pomůže. My si myslíme, že už nepomůže. V tu chvíli je potřeba přikročit k obnově serverů ze zálohy, která by měla být starší než je datum kompromitace.

Takže se kouknou na datum, kdy se poprvé objevila podezřelá aktivita?
Měli by umět zjistit, kdy k té kompormitaci došlo. Pak by měli jít zpátky do záloh a vzít poslední zálohu před datem kompromitace. Pak server obnovit, všechno zazáplatovat, všechno odzkoušet. Pak to řízeně spustit a sledovat, jestli náhodou nedošlo ke kompromitaci ještě někdy dřív.

Takže víte, kdy v Česku hackeři zaútočili?
Co máme informace, tak to jsou kompromitace z února.

Jak masivní ten útok tedy zatím byl?
V rámci republiky to nebudeme ani tušit. Nemáme celorepublikovou působnost.

A ve státní správě?
Dohledové centrum eGovernmentu a NAKIT nepůsobí ani v rámci celé státní správy. My se určitě nedozvíme o všech kompromitacích ve státní správě. My se dozvíme o kompromitaci v rámci organizací, které nějakým způsobem s námi souvisí. Takže jediný, kdo bude mít informaci o celé republice je NÚKIB a NCOZ (Národní centrála proti organizovanému zločinu - pozn. red.).

Jana Magdoňová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme