Zatímco někteří kritici tvrdili, že hrozby proti fyzické infrastruktuře jsou přeceňované a do značné míry jen teoretické, roste seznam organizací, které byly napadeny dost reálně. Oběti z řad kritické infrastruktury bychom našli po celém světě, včetně pokusů o jejich kompromitaci i v České republice.
Aktuálně se po celém světě hovoří o ransomware útoku na Colonial Pipeline, významného dodavatele benzinu a nafty z USA. Za útokem stojí malware skupiny DarkSide.
Útok na ropné impérium krok za krokem
K zašifrování dat došlo 7. května. Podle dostupných informací již před tím útočníci vyrabovali celkem 100 GB dat. Za dešifrování útočníci požadovali 75 Bitcoinů (což odpovídá asi 105 milionům Kč). Zároveň útočníci vyhrožovali doxingem (neboli zveřejněním dat), pokud Colonial Pipeline nezaplatí. Nakonec společnost ustoupila a výkupné zaplatila.
“Obnova systémů trvala po ransomware 8 dnů. Colonial Pipeline musela zaplatit astronomické výkupné.” |
9. května americký prezident Joe Biden vyhlásil stav ohrožení (hrozilo omezení dodávek benzínu po východním pobřeží). Provoz ropovodu se podařil obnovit až 12. května, všechny dotčené systémy se podařilo restartovat až 15. května. Joe Biden také podepsal nařízení, které by mělo zlepšit celonárodní kybernetickou ochranu podobných kritických služeb.
Začalo to jako skrytá hrozba
Vyšetřování útoku stále probíhá. Již nyní ale můžeme říct, že malware detekujeme jako Win32/Filecoder.DarkSide. Tento škodlivý kód je znám od října 2020. Podle všeho tak útočníci nepoužili žádný super-záludný zero-day exploit. Verze, že jde o útok jiného státu se nepotvrdila. Podle informací BBC se útočníkům podařilo zneužít situaci, kdy se řada inženýrů společnosti Colonial Pipeline připojuje k řídicím systémům vzdáleně, dost pravděpodobně přes služby jako jsou TeamViewer nebo Microsoft Remote Desktop.
Podle závěrů FBI je za útok zodpovědný gang DarkSide. Je nicméně také známo, že svůj malware nabízejí také jako Ransomware-as-a-Service (tedy nabízela svůj kód k pronájmu jako kompletní službu). Podle BBC má v takových případech skupina bonus z vyplaceného výkupného.
Klony malware útočí
Objevily se zprávy, že skupina DarkSide ukončila činnost, prozatím nikdo ovšem nebyl úřady dopaden. Jelikož ale své služby (přesněji spustitelné soubory) pronajímali, je možné, že se stejným malwarem ještě budeme nějaký čas setkávat. Proto není na místě případný zánik skupiny z hlediska bezpečnosti přecenit. Není nemožné, že se někteří členové skupiny nebo jejich zákazníci z řad jiných útočníků vydají na sólovou dráhu a budou původní kód modifikovat.
Nová naděje: posílení bezpečnosti a najmutí specialistů
Delší dobu experti pozorují, jak potenciální útočníci tiše zkoumali cíle kritické infrastruktury, nebo dokonce zkoušeli takové útoky realizovat. Není důvod se domnívat, že nyní ustanou. Nyní ani v případě NotPetya (alias Diskcoder.C) nebyly k proniknutí do sítě společností zneužity zero-day. Realita je taková, že si útočníci nemusejí cenné zero-day zranitelnost vyplýtvat na takovýto útok. Překvapivě efektivní jsou i speciálně vytvořené útočné sekvence, které zneužívají zcela běžné hrozby.
“Rizikem jsou častěji chybně nastavené zranitelnosti než zero-day. ” |
V posledních letech provozovatelé kritických služeb pracují na lepším zabezpečení, nicméně začínají tím, že nahradí zastaralý hardware, síťové vybavení a komunikační protokoly. Z praxe víme, že při renovaci systémů často na krátkou dobu vznikají nové zranitelnosti, které dočasně otevřenou systémy útočníkům.
Provozovatelé kritické infrastruktury se mezitím pokoušejí nalákat bezpečnostní specialisty ze Silicon Valley (nebo jiných špičkových pracovišť). Po celém světě stále chybí bezpečností odborníci, ve státní správě budou hůře ohodnoceni, takže pochopitelně jich nepřebývá ani ve státní správě a kriticky významných službách.