Bezpečnostný analytik Pavol Draxler hovorí, že pre bezpečnostné služby ale aj iné štátne organizácie sú najslabším článkom ich dodávatelia.
Ide o najväčší kybernetický atak na ruskú bezpečnostnú službu FSB v jej histórii. Hackeri ukradli až 7,5 terabajt dát jej hlavného dodávateľa, firmy SyTech. Hackerská skupina 0v1ru$ zaútočila v polovičke júla a dostala sa k dvadsiatim prísne tajným projektom. Hackeri poškodili aj webstránku SyTechu.
V súčasnosti nie je jasné, či sa na firmu zamerala vláda inej krajiny alebo súkromná osoba. „Aj keď prejavy útoku hovoria skôr o neštátnom útočníkovi, nemusí to byť vôbec pravda,“ konštatuje Pavol Draxler zo cyber security firmy Binary Confidence. „Inteligentný útočník kopíruje správanie inej skupiny, aby tak zmiatol vyšetrovanie,“ vysvetľuje.
Keďže však ide o veľké množstvo ukradnutých dát, budú potrebovať aj útočníci čas na ich analýzu a prípadné zverejnenie.
Aby sa nestalo to, čo v USA
Hackerskej skupine 0v1ru$ sa podarilo získať viacero utajených projektov či plánov na najbližšie roky.
Či išlo o nové, alebo už známe formy útokov, tiež ešte nie je známe. „Zatiaľ ich analyzujeme,“ hovorí Pavol Draxler. Za podstatné však považuje, že najslabším článkom pri takých organizáciách ako ruská FSB či slovenská SIS, NBÚ a podobne sú často práve dodávatelia. „Leaky vznikajú hlavne u nich,” hovorí Pavol Draxler.
Na dodávateľské firmy platia podľa neho úplne bežné útoky ako je kompromitácia Active Directory (umožňuje administrátorom nastavovať politiku, inštalovať programy na viac počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre). „Útočníci sa následne bez problémov pohybujú v priestore hacknutej firmy. Zabralo by to na takmer každú organizáciu, pretože len málo ľudí dokáže skutočne dobre nakonfigurovať Active Directory,” vysveľuje Pavol Draxler.
Nevylučuje pritom, že ak útočníci získali z ukradnutých materiálov vedomosti o nových zraniteľnostiach, môžu ich začať využívať ďalší hackeri proti iným firmám.
To sa stalo pred dvomi rokmi pri strate informácií v USA – následne boli zneužité pri ďalších útokoch, ako napríklad cez zraniteľnosť EternalBlue. V roku 2017 sa totiž podarilo útočníkom cez email prepašovať ransomware WannaCry. Ten zneužil EternalBlue a DoublePulsar backdoor, ktoré vyvinula americká NSA.
Nízky stupeň ochrany nestačí
Hackeri sú stále sofistikovanejší. Podľa Pavla Draxlera preto už nestačí spoliehať, že IT firma nainštaluje svojim klientom technológie a tie bude sledovať. „Je to len základ, ktorý ochráni pred najjednoduchšími a známymi útokmi.“
Pred novými či inteligentnejšími formami kyber zločinu dokáže ochrániť systémy iba security firma, ktorá robí analýzy nových útokov, striehne na hackerov a dokáže identifikovať odkiaľ ich ataky prichádzajú a následne po útočníkoch aj pátra.
Dá sa to napríklad cez takzvaný Security operating systém alebo bezpečnostné a dohľadové stredisko, v skratke SOC. Ide o systém, cez ktorý dokážu experti zo security firmy dohliadať nonstop na prostredie klienta. Akonáhle zaznamenajú útok, začnú ho odrážať. Takýmto spôsobom dokážu eliminovať straty dôležitých dát.