IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Rok 2017 patřil hackerům: přehled největších průlomů a útoků ransomwaru

security_ransomware

Zranitelná kritická infrastruktura, špatně zabezpečené databáze, úniky dat v naprosto bezprecedentním množství (ukradená data milionů lidí), přesně tak by se dal shrnout uplynulý rok z pohledu bezpečnosti.

Crash Override a Triton

Že se kybernetická nebezpečí nevyhýbají ani kritické infrastruktuře nás již před lety přesvědčil červ Stuxnet. Přesto zabezpečení SCADA systémů vzhledem k poměrně nízkému množství známých hrozeb poněkud pokulhává. To by se ale mohlo nyní změnit, hrozeb totiž rychle přibývá. První signál proto představuje objev hackerského nástroje pro napadení energetických gridů s výstižným názvem Crash Override (někdy též označovaný jako Industroyer). Ten byl poprvé úspěšně nasazen již koncem roku 2016 na Ukrajině, jednalo se o útok na energetickou síť Ukrenergo a výsledkem byl blackout celého Kyjeva. V roce 2017 se na scéně objevil také další podobný nástroj – malware Triton objevený společnostmi FireEye a Dragos. Také ten stál za několika úspěšnými útoky na průmyslové systémy. Oba hackerské nástroje mají obdobné schéma a řadu společných dílčích prvků.

WannaCry a Shadow Brokers

Loni o sobě dal také vědět hackerský tým Shadow Brokers, ten nejprve prohlásil, že disponuje výzvědnými nástroji NSA, což později potvrdila vlna nové generace sofistikovaných malwarů jako EternalBlue. Ta byla založena na zranitelnostech, které tým Shadow Brokers uvolnil.

Mediální pozornost na sebe upoutal zejména kmen zvaný WannaCry (vycházející právě z EternalBlue), který se rozšířil po celém světě. Ransomware šifroval data na počítačích se systémy Microsoft Windows a žádal platbu (300, po doběhnutí konečného termínu dokonce 2000 USD) v BTC na odblokování souborů. Virus se šířil od 12. května a hned první den zasáhl statisíce cílů včetně veřejných služeb a velkých korporací, jako jsou nemocnice a objekty National Health Service ve Velké Británii.

Virus měl naštěstí chybu v designu a tak se poměrně rychle podařilo objevit „kill switch“, který alespoň zastavil jeho další šíření.

Nová vlna ransomwaru

WannaCry to ale rozhodně nekončí. Brzy následovala celá nová vlna infekcí vylepšenými ransomwary, které vycházejí z rodiny Petya (starší generace z roku 2016). Ty úspěšně útočily na různé cíle po celém světě. I zde bylo využito poznatků a nástrojů od Shadow Brokers.

Pro novou generaci ransomwaru se vžilo označení NotPetya a připsala si takové zásahy, jako např. americkou farmaceutickou společnost Merck, dánskou lodní společnost Maersk a ruský ropný gigant Rosněfť. Vzhledem k úzkému zacílení se stále vedou spekulace o tom, že ransomware maskoval cílený kybernetický útok proti Ukrajině.

Čestnou zmínku si zaslouží také destruktivní ransomware BadRabbit, který se v říjnu šířil po Rusku a velké části centrální Evropy.

Equifax

Asi nejvýraznější událostí roku byl případ úniku dat téměř poloviny populace USA (145,5 milionů lidí), data přitom byla takového charakteru, že by bohatě stačila k úspěšné krádeži identity (data narození, čísla kreditních karet, social security identifikátory). Za historicky bezprecedentní situaci mohlo zanedbání bezpečnostní politiky firmou Equifax. Přitom by bývalo stačilo, aby společnost včas provedla aplikaci nejnovějších bezpečnostních záplat.

V daném případě se jednalo o průnik skrze MVC framework Apache Struts, ten totiž zůstal napadnutelný ještě dlouho poté, co byla odhalena chyba označovaná jako CVE-2017-5638 týkající se nahrávání souborů. Chyba umožnila, aby útočník pomocí řetězce „#cmd=“ mohl vzdáleně provádět příkazy. Situace je o to pikantnější, že se jedná o společnost fungující jako registr dlužníků, tedy poskytující odhad úvěrových rizik. V tomto oboru navíc patří ve Spojených státech mezi tržní trojku. Únik dat měl zajímavou dohru, společnost nejprve pro oběti útoku vytvořila web, kde bylo možné prostřednictvím posledních šesti čísel ze social security number ověřit, zdali se jich útok týká, později ale vyšlo najevo, že samotný web byl opět zranitelný a došlo tak pravděpodobně k dalšímu úniku dat. Laxní přístup k bezpečnosti nakonec stál místo jejího tehdejšího ředitele – Richarda Smitha. Jako perlička se při vyšetřování ukázalo, že digitální platforma využívána zaměstnanci Equifaxu v Argentině má správcovský účet s přihlašovacím jménem „admin“ a překvapivě i stejným heslem.

Čestnou zmínku na konec si určitě zaslouží ještě hacknutí firemní sítě Uberu. Útočníkům se díky průlomu podařilo získat kompletní data 57 milionů cestujících a 600 000 řidičů. Útok samotný pochází sice již z roku 2016, najevo ale vyšel až v listopadu roku 2017, kdy společnost hackerům zaplatila poměrně směšné (100 000 USD) výkupné za smazání dat.

KW

Amenit Days 24
security

Amenit Days 2024

Dovolujeme si Vás pozvat na expertní a prakticky orientovanou IT Konferenci AmenitDays 2024 s mnoha přednáškami pod vedením profesionálů ve svém oboru. Harmonogram přednášek: Středa

ČÍST DÁLE »