- Září 2022 přineslo zlom v kyberútočných strategiích, nově čelí vlně útoků země NATO
- Nárůst průměrného týdenního počtu útoků na jednu ruskou organizaci o 9 %
- České organizace v ohrožení, průměrně čelí jedna česká společnost 1810 kyberútokům týdně
Výzkumný tým společnosti Check Point od září 2022 sleduje zásadní změnu útočných strategií. Postupně klesl počet kybernetických útoků na Ukrajinu (o 44 %), naopak sledujeme masivní kybernetické útoky na členské státy NATO, v některých případech se jedná až o 57% nárůst.
„Vidíme první velkou hybridní válku, která využívá kyberprostor jako jedno z bojišť. Válka přinesla vzestup hacktivismu a destruktivního malwaru a je stále složitější určit, jestli za některými kybernetickými aktivitami stojí národní státy, hacktivisté nebo kyberzločinci,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
Nasazení destruktivního malwaru
Válka výrazně změnila také použití wiperů, které mají mazat data a celkově ničit a narušit provoz zasažených systémů. Dříve se wipery používaly jen ojediněle, v posledním roce ovšem vidíme velmi aktivní využití destruktivního malwaru.
Na začátku války došlo k dramatickému nárůstu kybernetických útoků, které proti Ukrajině vedli útočníci napojení na Rusko. V předvečer únorové invaze byly nasazeny tři wipery: HermeticWiper, HermeticWizard a HermeticRansom. K dalším útokům na ukrajinskou rozvodnou síť byla v dubnu 2022 použita nová verze nebezpečného malwaru Industroyer, který ochromil Ukrajinu už v roce 2016. Celkově bylo na Ukrajině za necelý rok použito nejméně devět různých wiperů. Řada z nich byla vyvinuta ruskými zpravodajskými službami a využívá pokročilé destruktivní a maskovací mechanismy.
Na Rusko napojená hacktivistická skupina From Russia With Love (FRwL) nasadila wiper Somnia proti ukrajinským cílům. CryWiper byl zase použit k útokům na ruské úřady a soudy. A těmito útoky se inspirovaly i další hackerské skupiny, které použily wipery i v dalších regionech. Skupiny napojené na Írán zaútočily na cíle v Albánii a po celém světě se šířil záhadný ransomware Azov, který byl ve skutečnosti destruktivním data wiperem.
Kyberútoky jsou nedílnou součástí války
Check Point upozorňuje, že některé kyberútoky proti Ukrajině měly jen způsobit škody a narušit každodenní život a morálku civilního obyvatelstva. Jiné útoky byly naopak přesně cílené a měly pomoci dosáhnout taktických cílů a byly koordinovány s pozemním bojem. Útok na společnost Viasat, který začal několik hodin před pozemní invazí na Ukrajinu, měl za cíl narušit satelitní komunikaci a ochromit vojenské a civilní subjekty na Ukrajině. Útok využíval wiper AcidRain a ničil modemy a routery a odřízl přístup k internetu desítkám tisíc systémů. Další příklad takticky koordinovaného útoku je z 1. března 2022, kdy byla ruskými raketami zasažena kyjevská televizní věž a kyberútoky měly ještě zesílit dopady ofenzivy a znemožnit televizní vysílání.
„Tyto přesně cílené kyberútoky vyžadují pečlivou přípravu a plánování. Základem je získat přístup k cílovým sítím, což často vyžaduje i vytvoření speciálních nástrojů pro různé fáze útoku. Podobně jako u pozemní ofenzívy i v případě kybernetické války vše naznačuje, že se Rusové nepřipravovali na dlouhou kampaň. Od dubna 2022 jsme viděli změnu a odklon od přesných útoků s jasnými taktickými cíli, jako byl útok na Viasat. Nasazení nových nástrojů a wiperů, které bylo charakteristické pro počáteční fázi kampaně, bylo později nahrazeno rychlým využíváním aktuálních příležitostí s pomocí již známých útočných nástrojů a taktik, jako jsou CaddyWiper a FoxBlade. Cílem těchto útoků nebylo koordinovaně podpořit jiné operace, ale spíše způsobit fyzické i psychické škody ukrajinskému civilnímu obyvatelstvu,“ dodává Daniel Šafář.
Data kyberbezpečnostní společnosti Check Point Software Technologies ukazují, že ve třetím čtvrtletí 2022 začal na Ukrajině postupný, ale významný pokles útoků. Naopak došlo k výraznému nárůstu útoků proti členským státům NATO. Obrovskému riziku čelí i české organizace. V průměru mířilo na jednu českou společnost během února více než 1800 kyberútoků týdně, přitom celosvětový průměr je „jen“ okolo 1350 útoků týdně na jednu organizaci.
Reakce Ukrajiny na kybernetické útoky se výrazně zlepšila a šéf britské zpravodajské, kybernetické a bezpečnostní agentury ji dokonce označil za „nejúčinnější obrannou kybernetickou aktivitu v historii“. Důvodem úspěchu je částečně skutečnost, že Ukrajina byla od roku 2014 opakovaně vystavena kybernetickým útokům a zkušenosti využila k lepšímu zabezpečení. Například útok pomocí Industroyeru2 na energetický sektor v březnu 2022 nebyl vzhledem k jeho schopnostem a potenciálu tak ničivý jako v případě prvního útoku Industroyeru v roce 2016. Ukrajina také s pomocí zahraničních vlád a soukromých společností zvládla lépe odstraňovat škody způsobené těmito kybernetickými útoky a rychle převedla velkou část své IT infrastruktury do cloudu, aby byla datová centra co nejdále od bojových zón a získala další ochranné vrstvy od poskytovatelů služeb.
Vzestup hacktivismu
Ukrajina vytvořila „IT armádu“ z dobrovolných IT specialistů a své příznivce mobilizovalo také Rusko. Dříve byl hacktivismus doménou decentralizované skupiny Anonymous a jednalo se o volnou a nepravidelnou spolupráci jednotlivců. Nyní jsme viděli vznik profesionálních hacktivistických skupin s jasnou strukturou, které provádí víceméně vojenské operace. Skupiny dělají nábory, školí své členy, využívají moderní nástroje a stanovují jasně definované cíle a útočí například na infrastrukturu nebo finanční a vládní subjekty.
Check Point upozorňuje také na zajímavou změnu. Od září 2022 významně roste počet útoků na ruské vládní a vojenské organizace, naopak útoky na Ukrajině klesají.
Většina nových hacktivistických skupin má jasnou a konzistentní politickou ideologii, která je spojena s vládními narativy. Proruští hacktivisté se nyní zaměřili na členské státy NATO a další spojence. Killnet provedl cílené DDoS útoky na kritickou infrastrukturu v USA, přičemž se zaměřil na zdravotnické organizace, nemocnice a letiště. Na Rusko napojená hackerská skupina NoName057(16) zase vytrvale útočila během českých prezidentských voleb. Některé kyberzločinecké skupiny byly nuceny připojit se k celostátnímu úsilí a musely omezit svou vlastní trestnou činnost. Zároveň vidíme kyberútoky na ruské podniky, které byly dříve považovány za nedotknutelné. Rusko se tak potýká s bezprecedentní vlnou hackerských útoků. Zajímavé je, že hranice mezi aktivitami národních států, hacktivistů a kyberzločinců se postupně stírají.
Různé národní skupiny využily také válku pro své vlastní zájmy. Check Point například odhalil několik kampaní různých APT skupin, které využívaly válečná témata k nejrůznějším útokům. V rámci operace Twisted Panda byly například špehovány státní ruské obranné instituce čínskými hackery a hackerská skupina Cloud Atlas se zaměřoval na ruské a běloruské subjekty a k útokům používala různé válečné dokumenty.
Válka se zásadním způsobem promítá i do kybernetického světa a pokud bude pokračovat, nepochybně uvidíme i další související kybernetické útoky a hrozby.
