Asi sedm set tisíc lidí bylo 23. prosince loňského roku na Ukrajině bez proudu. V Ivanofrankivské oblasti nešla elektřina v polovině domů po dobu několika hodin. Podle představitelů Ukrajiny za to mohou cílené kybernetické útoky vedené z Ruska. Slovenská antivirová společnost ESET nyní zjistila, že útoky mají přímou souvislost s listopadovými útoky na ukrajinská média.
Útoky z 23. prosince byly vedeny na společnost Prykarpattya Oblenergo, podle ESETu ale bylo cílem stejných aktivit během Štědrého dne také několik dalších organizací. Podobný styl útoků a stejné nástroje byly použity také během ukrajinských voleb, kdy se útočníkům podařilo napadnout informující média a smazat řadu materiálů.
Ukrajina, tamní vláda, instituce, organizace a součásti takzvané kritické infrastruktury se s masivní kyberšpionáží a dalšími aktivitami tohoto druhu potýkají od vypuknutí konfliktu se svým silným sousedem. Rusko je dlouhodobě v takzvané kybernetické válce považováno za jednoho z nejsilnějších hráčů na světě, společně se Spojenými státy, Izraelem, Čínou a několika státy Evropské unie. NATO už proto kybernetickou válku začlenilo mezi pět hlavních priorit.
Aktivní NBÚ
Rusko prozatím situaci nekomentovalo, to ale nemá příliš ve zvyku. Podobné aktivity už ale vyvíjí delší dobu. Minimálně od roku 2011 je aktivní hackerská skupina nazvaná Energetic Bear (někdy též Dragonfly). Ta je přímo podporována ruskou vládou a během doby svého působení už podle dostupných informací napadla až tisíc převážně západních firem z oblasti energetiky, průmyslu, zbrojařství či finančního sektoru. Cílem nebývá vyřazení z provozu, ale především průmyslová špionáž.
Energetic Bear napadá ropné, energetické a další subjekty například tak, že se nejdříve dostane do infrastruktury dodavatelů průmyslových systémů, do jejich produktů vloží malware a ten si pak při aktualizaci stáhnou a nainstalují i samotní zákazníci.
BlackEnergy, trojan použitý na Ukrajině skrze tradiční phishing.
Rusové podle mnoha zdrojů použili velké kyberútoky také během obsazování Krymu. Vedle rušiček či odposlouchávání například útočili na optické kabely. O tom už předloni v tuzemském parlamentu referoval šéf Národního bezpečnostního úřadu (NBÚ) Dušan Navrátil, který mimo jiné uvedl, že s Krymem se kybernetické útoky staly mnohem markantnějšími.
NBÚ se podle informací Lupy nepřímo na ochraně ukrajinského kyberprostoru podílí. I prostřednictvím Národního centra kybernetické bezpečnosti jezdí na východ trénovat a školit tamní kyberbezpečnostní týmy.
Úřad zároveň koncem loňského roku v Kybernetickém polygonu v Brně poprvé simuloval útoky na fiktivní elektrárnu Velký Hrháň, na které si složky státu zkoušely účinnou obranu proti hackerům.
Zase phishing
Během předvánočního útoku na Ukrajině byl použit malware nazvaný KillDisk s dalšími úpravami, které obsahují funkce pro průmyslovou sabotáž. Vedle mazání systémových souborů úpravy obsahují například možnosti ukončení procesů, které jsou používány v průmyslových systémech. Po ukončení těchto procesů se zároveň přepíše spustitelný soubor náhodnými daty kvůli složitější obnově. KillDisk se do počítačů dostával skrze trojan BlackEnergy.
„BlackEnergy je trojan typu backdoor a pro provádění konkrétních úkolů využívá různé komponenty stažené do cílového počítače. Byl použit v řadě kyberútoků proti důležitým vládním cílům na Ukrajině,“ uvádí Petr Šnajdr z ESETu.
„Při nedávných útocích proti distribučním energetickým společnostem byl destruktivní trojan KillDisk stažen a použit na systémech, které již dříve infikoval trojan BlackEnergy.“
Metoda útoku je stále stejná – phishingové e-maily s nakaženými dokumenty. Více o metodách je možné si přečíst zde.
