Rok 2023 byl dalším rokem plným událostí v oblasti kybernetické bezpečnosti. Připomeňme si nejvýznamnější kybernetické incidenty, ke kterým letos došlo.
Na pozadí přetrvávající makroekonomické a geopolitické nejistoty se kybernetickým hrozbám dařilo. Kyberútočníci využívali všechny nástroje a vynalézavost, které měli k dispozici, aby zdolali obranná opatření firem. Pro spotřebitele to byl další rok, kdy s obavami proklikávali novinové titulky, aby zjistili, zda nebyly kyberútoky zasaženy jejich osobní údaje.
Podle zprávy společnosti Verizon Data Breach Investigations Report (DBIR) stojí za naprostou většinou incidentů (83 %) útočníci mimo společnost a téměř všechny útoky (95 %) byly motivovány vidinou finančního zisku. Proto většinu incidentů uvedených v tomto seznamu má na svědomí ransomware a vydírání související s ukradenými daty. V malém množství případů byla příčinou lidská chyba nebo útočník uvnitř společnosti.
Někdy měly útoky neúměrný dopad, ačkoli počet obětí byl relativně malý, i proto není náš výběr 10 největších útoků roku 2023 nijak seřazen.
1) MOVEit
Tento útok, pocházející od skupiny Lace Tempest (Storm0950), affiliate ransomwarového gangu Clop, měl všechny znaky předchozích útoků, kdy skupina zneužila zero-day zranitelnosti v serverech Accellion FTA (2020) a GoAnywhere MFT (2023). Jejich modus operandi je jednoduchý – využít zranitelnost nultého dne v oblíbeném softwarovém produktu k získání přístupu do prostředí zákazníků a poté exfiltrovat co nejvíce dat, za která požadují výkupné. Zatím není jasné, kolik je celkem obětí a kolik dat bylo odcizeno. Některé odhady však hovoří o více než 2 600 organizacích a více než 83 milionech osob. Následný dopad ještě zvyšuje skutečnost, že mnohé z těchto organizací byly samy dodavateli nebo poskytovateli služeb.
2) Volební komise Spojeného království
Nezávislý britský regulátor pro financování politických stran a voleb v srpnu odhalil, že kyberzločinci odcizili osobní údaje o přibližně 40 milionech voličů z volebních seznamů. Regulátor nejprve tvrdil, že šlo o „komplexní“ kybernetický útok, ale zprávy od té doby naznačují, že za úspěšným útokem stojí spíš špatné zabezpečení. Organizace neprošla základním bezpečnostním auditem a na vině mohl být také nezáplatovaný server Microsoft Exchange. Komisi trvalo 10 měsíců, než o útoku informovala veřejnost a také tvrdila, že kyberzločinci se mohli v její síti pohybovat již od srpna 2021.
3) Policejní služba Severního Irska (PSNI)
Jedná se o incident, který spadá jak do kategorie vnitřního narušení a také do kategorie incidentu s relativně malým počtem obětí, ale nadměrným dopadem. PSNI v srpnu oznámila, že jeden ze zaměstnanců omylem zveřejnil citlivé interní údaje na webové stránce WhatDoTheyKnow v reakci na žádost o svobodný přístup k informacím (FOI). Informace obsahovaly jména, hodnosti a oddělení přibližně 10 000 policistů a civilních zaměstnanců, včetně těch, kteří vykonávají zpravodajskou činnost a sledování. Přestože informace byly k dispozici pouze dvě hodiny, než došlo k jejich stažení, byla to dostatečná doba na to, aby se dostaly do oběhu mezi irské Dissidents republican, kteří je dále šířili. Dva muži byli propuštěni na kauci poté, co byli zatčeni za delikty v oblasti terorismu.
4) DarkBeam
Největší únik dat v tomto roce zaznamenala platforma pro digitální rizika DarkBeam, která po chybné konfiguraci rozhraní pro vizualizaci dat v Elasticsearch a Kibana odhalila 3,8 miliardy záznamů. Bezpečnostní analytik si tohoto přešlapu v ochraně osobních údajů všiml a upozornil firmu, která problém rychle opravila. Není však jasné, jak dlouho byla data vystavena na odiv a jestli k nim nepřistupoval někdo s nekalými úmysly. Ironií osudu je, že data obsahovala e-maily a hesla z dříve nahlášených i nenahlášených případů narušení bezpečnosti dat. Jedná se o další příklad toho, že je třeba pečlivě a průběžně sledovat správné nastavení firemních systémů.
5) Indická rada pro lékařský výzkum (ICMR)
Další obrovský únik dat, tentokrát jeden z největších v Indii, byl odhalen v říjnu poté, co kyberútočníci dali na prodej osobní údaje 815 milionů obyvatel. Zdá se, že údaje byly exfiltrovány z databáze ICMR pro testování infekce COVID-19 a obsahovaly jméno, věk, pohlaví, adresu, číslo pasu a Aadhaar (státní identifikační číslo). Únik takových údajů je obzvláště nebezpečný, protože kyberzločincům poskytuje vše, co potřebují k podvodům s identitou. Systém Aadhaar lze v Indii používat jako digitální průkaz totožnosti, k pravidelným platbám a KYC kontrolám (Know Your Customer – proces okamžitého elektronického ověření totožnosti).
6) 23andMe
V říjnu kyberzločinec odcizil až 20 milionů údajů z americké genetické a výzkumné společnosti. Zdá se, že k přístupu k uživatelským účtům nejprve použil klasické techniky credential stuffingu – v podstatě použil dříve prolomené přihlašovací údaje, které tito uživatelé recyklovali na 23andMe. U uživatelů, kteří se na webu přihlásili ke službě DNA Relatives, pak mohl útočník získat přístup k mnoha dalším údajům potenciálních příbuzných. Mezi informacemi uvedenými ve výpisu dat byla profilová fotografie, pohlaví, rok narození, poloha a výsledky testů genetického původu.
7) Rapid Reset DDoS útoky
Další neobvyklý případ se týká zranitelnosti nultého dne v protokolu HTTP/2, která byla odhalena v říjnu a umožnila kyberútočníkům provádět jedny z největších DDoS útoků, jaké kdy byly zaznamenány. Ty podle společnosti Google dosáhly maximální rychlosti 398 milionů požadavků za sekundu (rps) oproti předchozí nejvyšší rychlosti 46 milionů rps. Dobrou zprávou je, že internetoví giganti jako Google a Cloudflare chybu opravili a firmy, které si spravují nebo provozují vlastní webové servery s protokolem HTTP/2, byly vyzvány k opravě zranitelnosti.
8) T-Mobile
Americká telekomunikační společnost v posledních letech utrpěla mnoho narušení bezpečnosti, ale to z ledna 2023 je jedno z jejích doposud největších. Útok se týkal 37 milionů zákazníků, kterým útočník ukradl adresy, telefonní čísla a data narození. Druhý incident zveřejněný v dubnu se týkal jen 800 zákazníků, ale obsahoval mnohem více údajů, včetně PIN kódů k T-Mobile účtům, čísel sociálního pojištění, údajů o občanských průkazech, dat narození a interních kódů, které firma používá k obsluze zákaznických účtů.
9) MGM International / Caesars
Dvě největší společnosti v Las Vegas byly během několika dní napadeny stejným affiliatem ransomwaru ALPHV/BlackCat známým jako Scattered Spider. V případě MGM se jim podařilo získat přístup k síti jednoduše pomocí informací ze sítě LinkedIn a následného vishingového útoku, při kterém se útočníci vydávali za IT oddělení a žádali o přihlašovací údaje. Firma utrpěla velkou finanční ztrátu, kterou odhaduje na 100 milionů dolarů, protože byla nucena odstavit hlavní IT systémy, což na několik dní narušilo provoz hracích automatů, systémů v restauracích, a dokonce i přístupových karet od pokojů. V případě Caesars jsou celkové náklady související s útokem neznámé, ačkoli firma přiznala, že vyděračům zaplatila 15 milionů dolarů.
10) Únik informací z Pentagonu
Poslední incident je odstrašujícím případem pro americkou armádu a všechny velké organizace, které se obávají záškodníků uvnitř organizace. Jednadvacetiletý příslušník zpravodajského křídla Massachusettské národní letecké gardy Jack Teixeira vyzradil vysoce citlivé vojenské dokumenty, aby se mohl pochlubit své komunitě na síti Discord. Informace byly následně sdíleny na jiných platformách a přeposílali si je Rusové sledující válku na Ukrajině. To dalo Rusku cenné vojenské zpravodajské informace pro válku na Ukrajině a podkopalo vztahy USA s jejími spojenci. K neuvěření je i samotný fakt, že Teixeira byl schopen vytisknout a odnést si domů přísně tajné dokumenty, aby je vyfotografoval a následně nahrál na sociální síť.
Doufejme, že tyto příběhy budou poučením pro bezpečnější rok 2024.