Nejčastější techniky kybernetických útoků z pohledu BIS
BIS situaci v oblasti kybernetických hrozeb v ČR za uplynulý rok shrnuje ve své Výroční zprávě. Mezi nejčastěji použité techniky patřil bezpochyby spear-phishing, který spočívá v zasílání e-mailů se škodlivou přílohou či škodlivým odkazem za účelem počáteční nákazy zařízení adresáta. V uplynulém roce došlo jak ke zneužití kompromitovaných českých e-mailových schránek, tak ke snaze zacílit útoky na české občany či státní instituce.
Druhým velmi častým způsobem provedení kybernetického útoku byla aktivní snaha útočníků vyhledávat zranitelnosti v sítích či systémech provozovaných a využívaných státními, ale i soukromými subjekty. Skenování zpravidla slouží jako prvotní fáze chystaného útoku, pomocí které útočník zjišťuje slabiny, které by mohl dále zneužít k průniku do vnitřní sítě.
Třetím typem byl tzv. útok hrubou silou (brute-force attack), který spočívá ve snaze o získání přihlašovacích údajů systematickým testováním jejich správnosti metodou pokus-omyl. Aktéři útoků většinou těží ze skutečnosti, že jejich cíle často nepoužívají vícefaktorové ověřování (MFA) při přihlašování do internetových služeb.
V případě úspěšné kompromitace pomocí jedné z těchto tří technik může dojít k exfiltraci dat či k pokusu o ni. Stejně jako v minulých letech BIS pozorovala zájem útočníků o e-mailové zprávy nebo konkrétní typy souborů (převážně textové či obrazové dokumenty), které slibují největší informační vytěžitelnost.
Terčem útoků byly státní instituce, politické strany i nevládní či neziskové organizace
Přestože i v loňském roce se většina útoků identifikovaných a šetřených BIS týkala státních institucí, BIS zaznamenala i kybernetické útoky cílené na české politické strany nebo nevládní či neziskové organizace. U šetřených útoků se jednalo především o snahy o kompromitaci počítačové sítě či e-mailových schránek a následnou exfiltraci dat. Ta byla potvrzena u jedné státní instituce, ze které bylo exfiltrováno značné množství dokumentů a jiných souborů do infrastruktury útočníků.
Kompromitací vládních institucí získají aktéři nejen informace o záměrech a postojích ČR v určitých tématech, ale rovněž informace o konkrétních zaměstnancích nebo vrcholných představitelích státu včetně jejich názorů na určitá témata (např. komentáře a revize u exfiltrovaných dokumentů) či mezilidských vztazích pracovníků (např. z uniklé korespondence). Odcizené informace pak činí dotčené osoby zranitelnějšími vůči metodám klasické špionáže.
(ČTK): V souvislosti s dostavbou Dukovan zaznamenala BIS snahu získávat interní informace ze státní správy. Podle tehdejšího ministra průmyslu a obchodu Karla Havlíčka (ANO) mohlo jít o snahu potenciálních zhotovitelů nového bloku získávat informace ze státní sféry například o podobě zadávací dokumentace či parametrů tendru. Věří, že žádné informace neunikly.
Soukromé (ale samozřejmě i pracovní) e-mailové schránky státních zaměstnanců navíc zpravidla obsahují nespočet osobních údajů, včetně kopií dokladů, nebo další přihlašovací údaje do nejrůznějších služeb (jiných e-mailových schránek, sociálních sítí, e-shopů atd.). Takové údaje mohou být pro útočníky, resp. státní/státem podporované aktéry v některých případech mnohem cennější než interní dokumenty institucí, v nichž zaměstnanci pracují. Výše uvedené údaje jsou totiž dále využitelné pro cílený kybernetický útok na vybraného zaměstnance či vrcholného představitele státu nebo jej opět činí zranitelnějším vůči metodám klasické špionáže.
Hack and leak scénář
V případě kompromitace sítě státní instituce nebo e-mailové schránky vysokého státního představitele či zaměstnance může dojít k tzv. hack and leak scénáři, tj. postupnému selektovanému uvolňování exfiltrovaných informací a jejich využití v předpřipravené dezinformační kampani, která může být zacílena na diskreditaci kompromitované instituce, konkrétního státního představitele/zaměstnance či ČR jako takovou. Dalším stupněm v takové hack and leak dezinformační kampani je zahrnutí zcela vyfabulované informace (falešný dokument, text e-mailu, fotografie) mezi skutečné uveřejňované dokumenty získané v rámci útoku. Oběť dezinformační (diskreditační) kampaně prakticky nemá reálnou možnost, jak se bránit a dopad na důvěryhodnost instituce či jednotlivce, vůči kterým je tato kampaň vedena, může být u veřejnosti enormní a v konečném důsledku již nevratný.
Technická a všezdrojová analýza
Na atribuci kybernetických útoků konkrétním aktérům je zároveň nezbytné pohlížet jako na dlouhodobý proces, který, ačkoliv může trvat měsíce, nemusí v některých případech dospět k požadovanému konci. Atribuce kybernetických útoků je z převážné většiny založena na technické analýze útoku a dále na tzv. všezdrojové analýze.
V rámci technické analýzy útoku jsou z hlediska atribuce posuzovány zejména nástroje používané útočníky, jejich typické postupy a identifikovaná infrastruktura. Všeobecně lze konstatovat, že lze v poslední době pozorovat určitý posun útočníků od užívání jejich vlastních nástrojů (např. malware) směrem k nástrojům, které jsou volně dostupné a používané (např. Mimikatz, PowerShell, Cobalt Strike). Stejně tak již velmi zřídka dochází k využívání tzv. vlastní infrastruktury, tj. typicky serverů zřízených a provozovaných samotnými aktéry, a je stále zřetelnější trend posunu aktérů směrem k pronajímané infrastruktuře (pronajaté VPS u velkých poskytovatelů na velmi krátkou dobu, užívání komerčních VPN v anonymizačním řetězci a dále služby Dropbox, Google Drive apod.). Tyto skutečnosti značně ztěžují a ovlivňují jednoznačnost atribuce prováděných útoků.
U tzv. všezdrojové analýzy jsou klíčovými částmi především analýza otevřených a odborných zdrojů (např. reportů výzkumných společností) a dále korelace útoků vycházejících z informací získaných v rámci zahraniční spolupráce, přičemž právě zahraniční spolupráci lze v případě šetření kybernetických útoků označit za naprosto stěžejní.
Atribuci kybernetických útoků také paradoxně komplikují velice kvalitní výzkumné reporty bezpečnostních společností detailně popisující proběhlé útoky státních/státem podporovaných aktérů. Tyto reporty v mnohých případech obsahují značně podrobný popis technik a nástrojů používaných identifikovanými aktéry a pro jiné pokročilé státní/státem podporované aktéry pak není problém tyto techniky a nástroje použít či napodobit a provádět útoky „pod cizí vlajkou“ (tzv. false flag).
