Hlavní navigace

Maya Horowitz (Check Point): Největší slabinou útočníků je jejich ego

Karel Wolf

O tom, jak se loví autoři malwaru, jak nákladné je dnes objednat si útok nebo také co ohrožuje cloudovou infrastrukturu, jsme mluvili s „lovkyní hackerů“.

Doba čtení: 9 minut

Sdílet

Maya Horowitz vystudovala psychologii a biologii na Telavivské univerzitě a druhým rokem pracuje jako ředitelka sekce Threat Intelligence & Research v izraelské bezpečnostní společnosti Check Point. Má na starosti především výzkum a analýzu hrozeb, odhalování nového malwaru, exploitů a kyberzločinců, ale podílí se i na specifických analýzách šitých na míru konkrétním zákazníkům. Maya také 10 let pracovala ve zpravodajské jednotce Izraelských obranných sil a ve firmě je často nazývána jako „lovkyně hackerů“. 

Existuje podle vás dokonalý kybernetický zločin, nebo vždycky nutně zanecháme stopu, která nás prozradí? 

To je trochu záludná otázka, protože pokud existuje, tak o něm nebudeme vědět. Veškerá naše práce a výzkum, který děláme, je založený na předpokladu, že zločinci vždycky dělají nějaké chyby, a naším úkolem je najít. V opravdu velkém množství případů se nám to daří a často tak pomůžeme zločince odhalit, občas také ne a pak to buď čeká na někoho jiného, nebo je to možná otázka času, kdy se spojí více stop, které zatím nedávají jednotlivě smysl.

Jaké jsou nejčastější chyby, se kterými se u autorů malwaru setkáváte?

Tou úplně nejzákladnější a zároveň největší slabinou, se kterou se setkáváme stále dokola, není nic technického, ale obyčejné ego. Až překvapivě často jsme pomohli identifikovat zločince tak, že někde v kódu malwaru zanechal své jméno nebo použil stejnou identitu/avatara, jakou používá někde jinde. Hackeři a tvůrci malwaru často podepisují svůj kód jménem, pod kterým se prezentují na darkwebu. To je perfektní výchozí bod. Často zjistíte, že stejné identity použili ještě alespoň na jednom dalším digitálním účtu, sociální síti, herní platformě. Propojováním jmen a obrázků můžete do začátku zjistit poměrně hodně.

Pak jsou tu další druhy indicií, které jsou založeny na tom, jaký otisk nástroje v síti zanechaly. Dokonce i u vládami sponzorovaných útoků naleznete řadu stop, které je nakonec prozradí, například tím, že jsou typické právě jen pro ně. V tomto konkrétním případě například časy, kdy kompilují kód, nebo kdy jsou jejich servery aktivní (aktivita respektuje například svátky), jsou to většinou běžné lidské chyby, které útočníky odhalí.

Když jsme se dostali k tématu státem sponzorovaných útoků, pokud se budeme bavit třeba o APT hrozbách, jak častý dnes tento fenomén je, kdo na koho podle vás nejčastěji útočí a proč?

Jedná se řádově o stovky unikátních útoků, které jsou ke dnešku aktivní. Jsou země, které útočí prakticky na každého, a jsou zase jiné, které jen dělají obrannou bezpečnostní politiku. Kyberprostor v tomto ohledu myslím dobře reflektuje běžnou geopolitickou situaci. Na jeden aktivně útočící stát připadá zhruba 10 aktivních hrozeb, které má ve hře.

Kdo je v tomto směru nejaktivnější?

Když se vrátím k vaší otázce ze začátku, pravděpodobně jsou ve hře i některé země, které to dělají tak dobře, že o nich zatím nevíme. Když ale budu vycházet jen z toho, co díky našim nástrojům víme, a z veřejných reportů, tak na vrcholu nalezneme Čínu, za kterou bude následovat Rusko, Severní Korea a Írán.

Co sofistikovanost těchto útoků, zůstává stále na podobné úrovni, jsou rafinovanější, nebo naopak klesá? 

Popravdě řečeno je to hodně namixované. Je to dáno tím, že řada států používá namísto sofistikovaných na zakázku vyvíjených hrozeb běžné readymade nástroje z digitálního podsvětí. A kvalita podobných nástrojů bývá různá, často velmi pofiderní. Důvody, proč to státy dělají, se přitom mohou dost různit. Někdy jde jen snahu někoho, kdo dostal daný projekt na starosti, si usnadnit život, může za tím ale být naopak i sofistikovanost. Tím, že použijete běžný nástroj digitálního podsvětí, totiž splynete s davem a nikdo neodhalí (alespoň ne v první fázi), že se ve skutečnosti jedná o státem sponzorovaný útok. Státní útoky tak variují asi nejvíce ze všech – od extrémně sofistikovaných až po velmi primitivní.

Jak těžké je dnes vlastně pořídit komerční nástroje pro podobný útok, dorazila komoditizace trhu už i sem? 

Koupit si prakticky jakýkoli druh útoku v nepříliš sofistikované kvalitě nikdy nebylo jednodušší. Na darkwebu pořídíte běžný malware nástroj za asi 10 dolarů, za 20 dalších si pronajmete botnet, který vám jej rozdistribuuje. Polopatické návody na obsluhu nástroje naleznete běžně i na YouTube. U sofistikovanějších hrozeb existuje určitá bariéra, které ale není primárně finanční (i když jsou samozřejmě řádově dražší). Takové nástroje jsou do jisté míry exkluzivní a potenciální kupující musí nejprve na darkwebu prokázat svoji kompetentnost, než k nim dostane přístup. Bavíme se o tradičních útocích.

Zajímavý trend, který je starý teprve posledních šest měsíců, je podobná komoditizace u mobilního malwaru, který dříve býval více exkluzivní záležitostí a který se nyní začal ve velké míře nabízet jako attack as a service široké veřejnosti. To je také důvod, proč najednou ze všech stran můžete slyšet o mobilních útocích, na což jsme dříve nebyli zvyklí.

Co je dnes nejpopulárnější platforma pro botnety? Jsou to ještě pořád koncové stanice, nebo dnes již spíše IoT zařízení?

Je to tak nastejno. Obojí má totiž svoje výhody a nevýhody. Vybudovat IoT botnet může být sice rychlejší a jednodušší, ale zase disponují jen velmi omezenými zdroji.  

Která IoT zařízení mají útočníci vytvářející botnet nejraději?

Rozhodně routery a IP kamery. Kamery představují trochu problematickou oběť, na jedné straně je často obsluhují lidé, kteří útok neodhalí, na druhé stráně jsou jejich zdroje tak limitované, že po úspěšné instalaci malwaru prostě spadnou. Routery, obzvláště ty s neaktuálním firmwarem, jsou ale pro toho, kdo si buduje vlastní IoT botnet, učiněný poklad.

Máte za sebou zkušenost s kybernetickou bezpečností nejen z komerčního sektoru, ale také z práce v analytickém týmu zpravodajské jednotky izraelských bezpečnostních sil. Co jste tam měla přesně na starosti?

Strávila jsem tam 10 let, to je ale všechno, co k tomu mohu říci. 

Identifikujete teď (vedle již zmiňované komoditizace mobilního malwaru) nějaké trendy v malwaru, které ještě před rokem nebyly příliš aktuální?

Check Point provádí průběžnou analýzu malware prostředí na měsíční bázi a poslední dva roky se na prvním místě jako permanentní stálice držely kryptominery. To se ale změnilo letos v říjnu, kdy se na první místo dostal známý trojský kůň Emotet. Sice ještě nemáme k dispozici data za listopad, ale myslím, že by to mohlo předznamenávat změnu trendu. Samotné kryptominery jsou sice špatné, protože kradou výpočetní kapacitu, a obzvláště nepříjemné je to u cloudu, kdy se vám při nedostačujícím výkonu služba automaticky upscaluje, ale nic více nedělají. Emotet, který se dnes využívá zejména jako vstupní brána pro další malware, je zpravidla první článek v řetězci, který vede k šíření ransomwaru, což je mnohem nebezpečnější hrozba.

Druhý trend jsem již zmiňovala, a to je mobilní malware nabízený jako servis. Mobilní malware měl dříve nádech mnohem větší exkluzivity, nyní můžeme očekávat, že se stane naprosto běžnou součástí našich životů. S tím souvisí ještě jedna změna, dříve byla většina mobilního malwaru relativně neškodná – v podstatě jen zobrazoval nechtěnou reklamu. Posledních pár měsíců detekujeme čím dál více mobilního malware, který známe z PC světa a který skutečně aktivně škodí, tedy aplikace kradoucí informace, bankovní malware, nebo dokonce i ransomware.

A když už zmiňuji ransomware, nevím přesně proč, ale rychle vzrůstá obliba tohoto typu cílených útoků na města (veřejnou správu), nemocnice a zdravotnická zařízení.

Nemůže to být tím, že i z důvodu regulace musí zdravotnictví vždy preferovat bezpečnost pacienta před zabezpečením IT zařízení? To znamená povinná zadní vrátka, záměrně slabá hesla atd.

Je to možné, každopádně částky, která například města ve světě, která se stala obětí malwaru, vyděračům platí, jdou běžně i do milionů dolarů, takže je to určitě i zajímavý byznys.

Stále jako platební prostředek u ransomware dominují kryptoměny?

Ano, na tomto trendu se za poslední dva roky nic nezměnilo. 

A pořád patří prvenství Bitcoinu?

Přesně tak, je to převážně Bitcoin.

Není to trochu paradoxní vzhledem k tomu, že bitcoinový blockchain je poměrně transparentní a existují mraky způsobů, jak z pseudonymních transakcí (při nekonzistentním nebo chybějícím OPSECu) dopátrat, komu bitcoiny přitekly?

Důvodem je především popularita bitcoinu. Je jednak nejznámější a dnes již také existuje řada jednoduchých způsobů, jak jej rychle pořídit. Toho kyberkriminální sféra využívá, existují nejen návody, ale dokonce celá zákaznická centra, která vás provedou celým procesem nákupu i poslání platby tomu, komu malware patří. V případě kryptominerů ale pro změnu dominuje Monero.

To dává docela smysl, Monero se jako jeden z mála Proof of Work coinů z nějakého záhadného důvodu snaží být takzvaně ASIC rezistentní, což jej vyloženě předurčuje k tomu, aby jej ve velké míře těžily právě botnety.     

Asi, ano.

Co považujete za největší pracovní úspěchy?

Jedním z takových pomyslných vyznamenání je odhalení nějaké vládou sponzorované APT hrozby, je to dáno tím, že patří k nejsofistikovanějším a nejvíce skrytým. Dalším takovým zářezem bývá také odhalení skutečného jména nějakého kybernetického zločince a letos se nám podařilo několik takových zásahů. Většinou o nich nicméně neinformujeme veřejnost, ale pouze příslušné policejní složky.  

Můžete přiblížit způsob, jak takový lov na zločince probíhá? 

Na začátku ustojí analýza samotného kódu, ve kterém například často úmyslně zůstávají určité stopy – podpisy jeho tvůrců. Následně pátráme po tom, zdali někdo se stejným nickem nebo e-mailem, který se objevil v kódu, nepoužívá sociální média, služby na darkwebu, nebo na ně nemá zaregistrované domény, někdy odkazy na domény tvůrců zůstávají přímo v kódu. Často také využívají k přihlašování k jejich C&C serveru stejný počítač, kterým se přihlašují k běžným sociálním médiím a diskuzním fórům. Velmi často dochází na nějaké vrstvě k promíchání jejich reálné identity s jejich digitálním avatarem. Na stopu nás ale může přivést třeba i jen podobná struktura kódu.

Jakým způsobem identifikujete státem sponzorované útoky oproti těm běžným?

Jsou to hlavně nástroje, které používají. Útok, například phishingový útok, který cílí výhradně na vládní složky určité země a není za ním přímý monetizační model, nedává z pohledu běžných kriminálníků žádný smysl. Podobné je to u mobilních zařízení, pokud malware využívá mikrofon a nahrávání zvuku, tak to opět nedává žádný smysl pro běžnou kriminální sféru, ale může to být zajímavé pro stát.

Které země mají nejsofistikovanější APT skupiny a útoky?

Vedle Číny to je hlavně Rusko a z těch méně aktivních, nebo které alespoň tolik nedetekujeme, pak USA a Izrael.

Diners Vánoce2019

Jaké vektory útoku v minulosti nebyly až tak veliká hrozba, ale mají potenciál se jí stát v nejbližší budoucnosti?

Určitě útoky na IoT (je stále více a více zařízení a druhů zařízení) a nejspíš nás v budoucnu také čeká vlna útoků cílících na cloudovou infrastrukturu s tím, jak se tam pomalu přesouvá většina výpočetní kapacity firem. SQL injektáž funguje stejně dobře na on-premise řešení i v cloudu. Také pro kryptominery je cloud nesmírně zajímavý, zejména kvůli všem těm krásným funkcím, jako je třeba automatické škálování.