Síťové útoky trápí jak domácí uživatele, tak velké firemní infrastruktury. V prvním případě je četnost útoků velice vysoká, nicméně následky zpravidla nese „pouze“ poškozený jedinec (nebereme-li v úvahu automatické rozšíření hrozby k dalším počítačům jako součást útoku). Firemní sítě jsou pro útočníky o něco zajímavější, byť zabezpečení představuje vyšší kategorii a prolomit důmyslnější ochrany je samozřejmě komplikovanější. Úspěšný útok na oplátku může nabídnout získání velice zajímavých citlivých informací, poškození dobrého jména firmy v rámci konkurenčního boje a další vyhledávané cíle.
Společnost McAfee minulý týden zveřejnila výsledky dlouhodobé studie Operation Shady RAT, která mapovala akce kybernetických zločinců směřující ke krádežím obchodních tajemství a duševního vlastnictví největších světových firem i vlád států. Studie Operation Shady RAT se zaměřila na posledních pět let útoků proti zhruba sedmi desítkám velkých nadnárodních firem, vlád i neziskových organizací. Zkratka RAT současně znamená nástroje pro vzdálený přístup (remote access tools), což vyjadřuje jeden ze způsobů, jímž se útočníci dostávají do napadených systémů, mnohdy nepozorovaně.
Firmy jsou napadeny, jen o tom nevědí
Jak vyplývá z citované studie, velké firmy se dnes dělí de facto na dvě kategorie: na ty, které vědí, že byly napadeny, a na ty, které sice napadeny byly rovněž, ale nevědí o tom. Společnost McAfee získala informace o probíhajících útocích, když ve spolupráci s bezpečnostní komunitou objevila jeden z jejích řídicích serverů, které využívali podvodníci. Pouze na tomto jediném serveru se nacházela ukradená data v objemu petabajtů. Všechny tyto akce provedla, zdá se, jediná skupina podvodníků, možná i s podporou nějaké vlády nebo obdobné instituce disponující dostatečnými zdroji pro akci podobného rozsahu.
Kompletní znění původní anglické zprávy Operation Shady RAT si můžete přečíst na této webové stránce. Jak tvůrci uvedli, v rozporu s častým přesvědčením se počítačoví podvodníci nezajímají v první řadě o informace o bankovních účtech nebo platebních kartách, největší cenu dnes pro podvodníky mají jedinečné informace firem a vlád. Může se jednat například o státní tajemství, zdrojové kódy softwaru, databáze softwarových chyb, archivy důvěrných e-mailů, znění právních smluv, technickou dokumentaci k výrobkům nebo o údaje o konfiguraci systémů SCADA (systémy pro řízení průmyslových procesů).
Přehled cílů útoků podle studie. Zdroj: McAfee
Otevřená zadní vrátka
Útoky na firmy za sebou mají bohatou historii, mezi nejznámější z nedávné doby patří například Night Dragon. Celá operace pravděpodobně začala v listopadu roku 2009, možná i dříve. Zahrnovala sociální inženýrství, lámání hesel, cílený phishing, zneužití zranitelností ve webových serverech pomocí metody SQL injection, zneužití bezpečnostních chyb v operačním systému Windows a ve službě Microsoft Active Directory. Útočníci dokázali ovládnout systémy v sítích postižených firem pomocí nástrojů pro vzdálenou správu, a dostali se tak k archivům e-mailů i dalším citlivým firemním informacím. Ve vysoce konkurenčním odvětví, jakým je ropný průmysl a energetika, mají uniklé informace potenciálně hodnotu mnoha miliard dolarů.
Na celé operaci Night Dragon je kromě jiného zajímavé to, že i přes svůj velký rozsah a případný značný dopad nepřinesla nijak převratnou inovaci v typu útoku, naopak skloubila dobře známé techniky. Součástí útoku se stalo také využití standardně dostupných systémových nástrojů (například původních programů Sysinternals), resp. specializovaných hackerských nástrojů, které jsou na webu volně ke stažení. Útočníci se tedy vžili do role svébytného režiséra, který má v hlavě novou myšlenku a vdechne jí život vhodným obsazením dostupných kandidátů – není zapotřebí vymýšlet nové. I zde je vidět paralela s klasickými útoky na běžné domácí uživatele, jelikož usnadnění práce použitím stávajících konceptů funguje na obou frontách.
Zdá se, že ty tam jsou doby klasického škodlivého kódu takového, jak jej pamětníci znají řadu let zpět. Na počátku roku se odhady a predikce společně shodovaly na tom, že bude vzrůstat počet útoků na naše soukromí a neklesne ani frekvence pokusů o vyloudění citlivých informací. Spyware, speciálně upravené trojské koně a klasické phishingové techniky nyní vládnou světu bezpečnosti. Otázkou zůstává, jak se jim do budoucna budeme bránit, nakolik toho budeme schopni. Nejde o pár příštích týdnů nebo měsíců, ale výhledově časový horizont v řádu let. Stačí si uvědomit, jak překotný vývoj se v této oblasti odehrál během pár posledních roků.
Nahlédneme-li pod kůži záškodnického kódu hlouběji, může být zajímavé sledovat možnosti reakce antivirových společností. Jakmile je trojský kůň odhalen a analyzován, obohatí se databáze signatur o nový přírůstek. Od takové chvíle lze trojského koně detekovat ochranou v reálném čase a eliminovat ještě dříve, než se pustí do infikování dalších počítačů nebo lokální zneužití dat. Možnost pozdější kontroly a odhalení post factum však ztrácí význam, jelikož trojský kůň si již své vykonal a dokázal otevřít vrátka pro zneužití.
Cíle útoků v roce 2011. Zdroj: McAfee
Výzva také do budoucna
Night Dragon je příkladem útoků, které se sice zatím objevují pouze sporadicky, nicméně do budoucna by mohlo jít o hlavní techniku útočníků – napadnout kriticky významné systémy a jejichž prostřednictvím získat další moc, přístup k jednotlivým důležitým podsítím nebo řídicím systémům. Jak McAfee ve své zprávě komentuje, mohou být operace Aurora (útok proti Googlu) i Night Dragon jen špičkou ledovce. Akce typu APT (Advanced Persistent Threats) jsou dnes mnohem častější, než si řada potenciálních obětí připouští. Útočníkům se v rámci operace Shady RAT podařilo kompromitovat celou řadu velkých firem i dalších organizací, a to bez ohledu na jejich geografické umístění nebo obor podnikání.
Co přijde během následujících měsíců? Útoky se stále více profesionalizují a jejich terči se stávají důležité systémy. Domácí uživatelé ani tak nemohou být v klidu, nicméně v sázce začíná být každým dnem stále více i mimo tento jinak pro útočníky lákavý svět. Obrana bude náročnější, nejdůležitější však vždy bude zdravá podezřívavost, jen tak to útočníkům zbytečně neulehčíme.