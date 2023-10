V úterý vypršela lhůta, do kdy měla Univerzita obrany zaplatit výkupné za ukradené soubory. Kyberzločinci vyhrožují, že na 150 tisíc souborů zveřejní. K útoku se přihlásila skupina Monti, říká Boris Mutina, bezpečnostní expert firmy Excello. „Zaměřují se hlavně na cíle, které jsou spojené s vládou nebo státními organizacemi,“ vysvětluje v rozhovoru pro iROZHLAS.cz. Univerzita kvůli vyšetřování zatím žádné detaily o kyberútoku nezveřejnila. Brno 6:30 4. října 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít Univerzita obrany | Foto: Josef Vostárek | Zdroj: ČTK

Na Univerzitu obrany v září zaútočili kyberzločinci a údajně ukradli desítky tisíc souborů. Teď vyhrožují zveřejněním, pokud univerzita nezaplatí. Víme, kdo to udělal?

Podle informací, které byly zveřejněny na Darknetu, je za tím skupina Monti. Poprvé se objevila někdy začátkem léta 2022. Informací o ní není moc. Není jich tolik jako u ostatních velkých skupin. Víme, že opakovaně využili útočné nástroje, respektive i text jiné skupiny. To byla skupina CONTI. A jak už ten název trochu napovídá, nejspíš povstali z popela této skupiny. Protože skupina CONTI se přibližně v tomto čase rozpadla.

Jsou i jiné důvody, proč si myslíte, že jsou to ti samí útočníci?

Ano, i jiné bezpečnostní firmy analyzovaly podobné znaky obou skupin. Časem se ale Monti začala vyvíjet. Zaměřují se na celou škálu cílů. Začínají být aktivnější vlastně až teď, v tomto období. I když tedy už v minulém roce skupina oznámila, že má několik desítek cílů za sebou. Ale že by byli nějak extra známí, to se nedá říct. Určitě nepatří mezi top 10 útočících skupin.

Na koho se Monti zaměřuje, na koho útočí?

U této skupiny je to velmi zajímavé. Zaměřují se hlavně na cíle, které jsou spojené s vládou nebo státními organizacemi. Tento rok se třeba zaměřili na Americký institut pro kvalitu zdravotní péče nebo Regionální dopravní podnik v Chicagu. Ale cílili třeba i na maďarskou agenturu pro podporu investic. A pak samozřejmě na zmiňovanou Univerzitu obrany.

Ale abychom ten vzdělávací sektor nenechali stranou, tak krátce po útoku na Univerzitu obrany potvrdili útok i na Technologickou univerzitu v Aucklandu. Skupina se zaměřuje na státní instituce, výzkumné společnosti.

Víme, co je to konkrétně za lidi? Kdo jsou tito kyberzločinci?

Na své darknetové stránce tvrdí, že vlastně dělají jakýsi audit, za který si samozřejmě nechají zaplatit výpalné v kryptoměně. Ten, kdo odmítne, tak jeho data zveřejní. Odkud ale jsou, to těžko soudit. Domnívám se, a více společností, které se zabývají výzkumem internetových zločinců, taky, že je to v podstatě nástupce skupiny CONTI.

Ta se rozpadla někdy začátkem války na Ukrajině, kdy se skupina CONTI otevřeně přihlásila k podpoře ruského režimu. To se pravděpodobně nelíbilo jednomu ze členů skupiny. Tyto skupiny jsou vlastně tvořené lidmi, kteří se nikdy ani mezi sebou neviděli. Komunikují v rámci Darknetu, komunikují šifrovaným způsobem.

Jeden člen CONTI nesouhlasil s podporou Ruska a rozhodl se, že bude zveřejňovat vnitřní komunikaci skupiny. Ta kromě podpory Putina obsahovala i antisemitismus, homofobii a tak dále. U skupiny Monti ale nevidíme žádnou politickou afinitu k nějakému státu nebo ideologii.

Pedofilie i zneužívání dětí

A jejich předchůdce, skupina CONTI, o ní je známé co?

O nich víme dost. Víme, co dělali, kdo byly jejich cíle i jakým způsobem pracovali. Zaměřovali se hlavně na maloobchodní sektor, kde měli nejvíce obětí. Potom se zaměřovali na pojišťovací sektor. To jsou asi jejich dva nejčastější cíle. Samozřejmě někdy zasáhli i jiný cíl ve výrobním sektoru, telekomunikaci, zdravotnictví.

Například CONTI je skupina, které se podařilo absolutně odstavit irský systém zdravotního pojištění. To bylo v roce 2021, v čase, kdy se irské autority snažily testovat lidi na covid a očkovat. Ten útok výrazně ochromil poskytování zdravotní péče v desítkách nemocnic v Irsku.

Jak se do systému dostali?

Zpráva z vyšetřování ukázala, že škodlivý kód pronikl do systému dva měsíce před útokem. A to prostřednictvím přílohy v e-mailu. Bohužel je to nejčastější útočný vektor, tedy cesta, jak se útočník do systému dostane.

CONTI se tedy rozpadla kvůli podpoře režimu Vladimira Putina?

Skupina měla problémy už předtím. Měli spolu víc rozkolů. Útok na Ukrajinu už byl, řekl bych, poslední kapkou. Hodně se mezi sebou hádali. Víme to ze zveřejněné komunikace. Dokonce v některých zprávách lze najít i odkazy na pedofilní pornografii, zneužívání dětí. Nejsou to dobré věci. Tito lidé jsou doslova sociopati. S takovými lidmi je potřeba počítat, pokud se bavíme o kyberzločincích.

Kolik členů tyto skupiny mají?

To se těžko počítá. Víme, že tyto skupiny fungují systémem „ransomware as a service“. To znamená, že poskytují nejen útok vyděračským škodlivým kódem, ale komplexní služby komukoli, kdo si to dokáže zaplatit. Mají kapacity na vývoj a testování škodlivého kódu, poskytují hostingové služby, které jsou těžko prolomitelné, phishing (hromadné rozesílání e-mailu se zavirovanou přílohou nebo odkazem – pozn. red.).

Skupina poskytuje i služby, jako je vyjednávání s obětí, a nakonec umí vydělané výkupné v kryptoměně takzvaně vyprat. Můžeme si je představit jako firmu, která klasicky funguje, jen tam chybí účetnictví nebo marketing, protože si reklamu dělají někde v undergroundových fórech na darknetu.

Takže se bavíme o desítkách lidí?

Jádro skupiny bude určitě do deseti lidí. Ostatní si budou najímat. Tyto lidi je ale velmi těžké deanonymizovat.