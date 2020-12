Zranitelný software od texaské společnosti SolarWinds, přes který se zřejmě ruským hackerům podařilo dostat do systémů amerických ministerstev a pravděpodobně i dalších organizací po celém světě, vzniká také v České republice. SolarWinds od roku 2008 provozuje v Brně vývojové centrum, které se postupně rozrostlo na největší a jedno z nejvýznamnějších v rámci celé společnosti.

„S Brnem jsme velmi spokojeni, univerzity produkují značné množství lidí. Vidí to i další společnosti jako NetSuite a další, které v Brně rovněž mají velké kanceláře. Po světě máme přes třicet kanceláří, ale Brno je pro nás jedna z hlavních,“ uvedl už dříve pro Lupu technologický ředitel SolarWinds Joe Kim.

SolarWinds v Brně zaměstnává zhruba 350 lidí s tím, že celkové roční náklady na ně dosahují téměř k půlmiliardě korun. Firma na Moravě hledá další zájemce o práci, kteří se mají, podobně jako stávající zaměstnanci, podílet i na vývoji dnes problematické softwarové platformy Orion. Texaský podnik dlouhodobě spolupracuje s univerzitami a angažuje se v různých aktivitách. S VUT například letos uzavřel bronzové partnerství.

To, v jakém rozsahu Brno do aktuálního celosvětového problému zasahuje, SolarWinds nekomentuje. Útok se týká celkem čtrnácti aplikací, jež se často používají pro monitoring a správu sítí, serverů a aplikací. Jde například o NetFlow Traffic Analyzer, Log Analyzer, Server and Application Manager a další. Řada dalších postižena být nemá.

Tyto a další nástroje přitom v České republice používá řada veřejných institucí včetně tepláren, České správy sociálního zabezpečení, hasičů nebo pražského Dopravního podniku.

Reakce NÚKIBu

Není proto divu, že na situaci zareagoval tuzemský Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten nejdříve vydal upozornění, aby o den později (čtvrtek 12. prosince) přišel s reaktivním opatřením (PDF) podle zákona o kybernetické bezpečnosti. Kyberúřad rizika vyhodnotil jako závažná.

„Správci systémů kritické informační infrastruktury, významných informačních systémů a systémů základní služby musí neprodleně provést bezpečnostní aktualizace, zkontrolovat, zda jejich systém nebyl kompromitován, a provést bezpečnostní audit. Do doby, než budou tyto kroky provedeny, je doporučeno produkty společnosti SolarWinds vypnout,“ uvádí NÚKIB.

„Při ověřování, zda je vaše síť kompromitovaná, je třeba vzít na vědomí, že ke kompromitaci mohlo dojít již v březnu 2020, a provést bezpečnostní audit dostatečně do minulosti,“ doplňuje kybernetický úřad.

Mezi řadu mimoamerických zákazníků SolarWinds patří například Evropský parlament, NATO a další státní instituce a společnosti. SolarWinds na rozsah problémů upozornila ve zprávě pro americkou komisi pro cenné papíry (SEC), protože je s aktuální tržní hodnotou 5,8 miliardy dolarů obchodována na burze NYSE. Chyba v aplikačním portfoliu Orion může dle SolarWinds být zneužita ke kompromitaci až 18 tisíc z 300 tisíc zákazníků společnosti.

Zase Rusko?

S technickou analýzou zranitelnosti produktů SolarWinds přišla firma FireEye, kterou doplnil Microsoft. Ačkoliv skutečný rozsah útoků není známý, může jít o skutečně velké číslo. „Mezi oběťmi jsou vlády, konzultační, technologické, telekomunikační a těžební společnosti ze Severní Ameriky, Evropy, Asie a Blízkého východu,“ píše FireEye. SolarWinds zveřejnil stránku, kde popisuje postupy při aplikování záplat a podobně.

Předpokládá se, že za akcí stojí ruská skupina APT29 neboli Cozy Bear, kteří mají podléhat tamní rozvědce SVR. Má se tedy za to, že jde o státem sponzorované útoky. Hackeři pravděpodobně za prioritní volili zpravodajsky nejvíce přínosné cíle.

Aktivity Ruskem živených skupin ostatně v Česku ani jinde nejsou novinkou. Pravidelně na ně upozorňují například zprávy BIS. Aktivní u nás byla či stále je skupina APT28 označovaná také jako Fancy Bear či Sofacy. Ta působí v celém našem regionu. Rusko oficiálně veškeré zapojení do aktivit tohoto druhu odmítá.

Útok na SolarWinds mimo jiné může vést k tomu, že útočníci získají možnost číst e-maily a získávat další cenné informace. Skupině APT29 se podařilo infikovat aktualizace softwaru vydané mezi březnem a červnem letošního roku. Updaty obsahovaly knihovnu s backdoorem.