8 minute read
Státem sponzorované hackerské skupiny
MICHALA BENEŠOVSKÁ
Vzhledem k tomu, že konvenční konflikty mezi velmocemi odradila hrozba zaručeného jaderného holokaustu, jejich místo na globální scéně pomalu zaujímá kybernetická válka. Nyní se do centra pozornosti dostávají některé skupiny státem sponzorovaných aktérů hrozeb.
Kybernetické špionáže, sabotáže a útoky s cílem ukrást citlivá data a ochromit infrastrukturu a obranné systémy protivníka. Tak vypadají státem sponzorované hackerské operace, které jsou v současné době považovány za největší hrozbu pro vládní instituce i organizace.
Útoky státem sponzorovaných aktérů však nejsou vedeny výhradně proti serverům v zaprášených vládních kancelářích, jaderných zařízeních a vojenských základnách. Disidenti, političtí oponenti a neziskové organizace, stejně jako soukromé společnosti, mezi jejichž klienty patří i veřejné instituce, jsou s největší pravděpodobností na seznamu cílů státem podporovaných hackerských skupin.
Pojďme se podívat blíže na hackerské skupiny, které odborníci považují za ty nejnebezpečnější.
Jak je to s těmi názvy?
Státem sponzorované hackerské skupiny bezpečnostní výzkumníci obecně označují jako pokročilé trvalé hrozby (APT). Některé společnosti jim jednoduše přidělí číslo. Jiné mají různé konvence pojmenování a označují skupiny podporované různými státy jako různá zvířata, např. „vizitkou“ Íránu je kotě.
V důsledku toho může mít jedna skupina aktérů hrozeb několik přezdívek: například společnost FireEye nazývá skupinu Cozy Bear jako APT29, zatímco jiné společnosti označují tuto skupinu jako Cozy Bear, CozyDuke nebo The Dukes.
Pojďme se podívat blíže na ty nejnebezpečnější medvědy, draky a koťata na světě.
Cozy Bear (APT29)
Sponzor: Rusko Aktivní od: 2008 Nejznámější akce: Útok na Pentagon v roce 2015, hack FireEye (údajně), hack SolarWinds (údajně), krádež dat vakcíny proti covidu-19
Cozy Bear (nezaměňovat s Fancy Bear, Venomous Bear nebo Voodoo Bear) je jméno, které je všeobecně známé jak mezi bezpečnostními experty, tak v médiích. Čím je skupina Cozy Bear výjimečná? Traduje se, že je to právě tato skupina, která sehrála klíčovou roli v ruských pokusech o ovlivnění amerických prezidentských voleb v roce 2016. Od svého předpokládaného vzniku v roce 2008 se skupina zaměřila na mnoho organizací, včetně vlád, think-tanků, telekomunikačních společností, energetických firem, a dokonce i firem zabývajících se kybernetickou bezpečností, a to podle vzorců, které pravděpodobně ukazují na metody činnosti používané především státními bezpečnostními službami. Koneckonců Cozy Bear je jednou ze dvou státem sponzorovaných hackerských skupin, o nichž se výzkumníci již dlouho domnívají, že jsou napojeny na GRU, hlavní ruskou vojenskou zpravodajskou službu.
Pokud jsou podezření odborníků správná, může se Cozy Bear ukázat jako vůbec ta nejnebezpečnější státem sponzorovaná hackerská skupina, která je momentálně aktivní.
Druhým (údajným) masivním zásahem této skupiny byl útok na společnost FireEye, což je přední bezpečnostní firma, která mezi své klienty počítá řadu amerických federálních úřadů a větší část seznamu Forbes Global 2000.
V prosinci 2020 tato bezpečnostní firma přiznala, že byla napadena neznámými útočníky, přičemž jí byla odcizena její proprietární sada nástrojů pro simulaci útoků. Oficiálně se společnost FireEye stále nevyjádřila k tomu, kdo za útokem stojí. Zdroje však uvádějí, že šlo o hackerskou organizaci podporovanou Ruskem, konkrétně Cozy Bear. Dopad útoku na FireEye jasně ukázal, že státem sponzorovaní útočníci, pokud mají dostatek času a prostředků, mohou proniknout do jakékoli organizace, dokonce i do těch, které se dříve považovaly za nenapadnutelné.
Krátce po hackerském útoku společnosti FireEye se objevila zpráva, že cílem kybernetického útoku se stal texaský IT gigant SolarWinds. Zdá se, že útočníci pronikli do systémů SolarWinds a do aktualizace softwarového systému Orion vložili škodlivý kód, který se rozšířil do více než poloviny z 33 000 klientů SolarWinds, včetně několika amerických vládních úřadů (mimo jiné ministerstva financí, obchodu a vnitřní bezpečnosti).
Daleko horší je, že narušení zůstalo několik měsíců neodhaleno a útočníci mohli exfiltrovat data v nejvyšších patrech americké vlády, včetně americké armády a Bílého domu.
Podle deníku Washington Post byla jako hackerská skupina odpovědná za útok identifikována skupina Cozy Bear. Jeho dopad dokonce přiměl americkou agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), aby o narušení vydala mimořádnou směrnici.
Není pochyb o tom, že Cozy Bear je jednou z vůbec z nejnebezpečnějších státem sponzorovaných skupin posledních let.
Lazarus Group (APT38)
Sponzor: Severní Korea Aktivní od: 2010 Nejznámější akce: Útok WannaCry, krádež dat vakcíny proti covidu-19
Skupina Lazarus, známá také jako Zinc, Hidden Cobra a jediný prosperující podnik Severní Koreje, je známá hackerská skupina podporovaná režimem v Pchjongjangu. Severní Korea do svých kybernetických schopností investuje značné prostředky a je to vidět. Skupina Lazarus je spojována s některými z nejznámějších kybernetických útoků posledních let, včetně nechvalně proslulého ransomwarového útoku WannaCry v roce 2017, který infikoval více než 300 000 zařízení po celém světě a vynesl zločineckému severokorejskému režimu neskutečné částky na výkupném.
Od založení v roce 2010 jsou kybernetické útoky skupiny Lazarus stále sofistikovanější a ničivější, většinou se zaměřují na finanční instituce, jako jsou banky a fintech společnosti.
Podle bezpečnostních expertů je státem sponzorovaná skupina řízena podobně jako špionážní operace, kdy v průběhu času pečlivě infiltruje cíle, učí se zákoutí systémů, které kompromituje, a udeří, když to oběti nejméně očekávají.
Poslední rozsáhlý zásah skupiny zahrnoval útoky na farmaceutickou společnost a vládní ministerstvo zdravotnictví s cílem ukrást údaje o vakcíně proti covidu-19. Odborníci společnosti Kaspersky předpokládají, že hackeři ukradli data farmaceutické firmě nasazením malwaru Bookcode při útoku na dodavatelský řetězec prostřednictvím jiné společnosti, zatímco servery ministerstva byly kompromitovány instalací wAgentu, sofistikovaného bezsouborového malwaru, který načítá další škodlivé zátěže ze vzdáleného serveru.
Tato vyspělá úroveň vede odborníky k domněnce, že severokorejská hackerská skupina se bude nadále vyvíjet a v následujících letech bude představovat daleko větší hrozbu.
Double Dragon (APT41)
Sponzor: Čína Aktivní od: 2012 Nejznámější akce: Masivní globální hackerská kampaň v roce 2020
Double Dragon alias Cicada je čínská státem sponzorovaná špionážní skupina, která se věnuje finančně motivované kybernetické kriminalitě za účelem osobního prospěchu. Aktivity skupiny byly vysledovány již v roce 2012 a zahrnovaly špionážní operace proti 14 různým zemím, včetně USA a Spojeného království.
Od doby, kdy se skupina Double Dragon dostala do hledáčku bezpečnostních expertů, byla pozorována při provádění široké škály operací. Patří mezi ně útoky na dodavatelský řetězec a exfiltrace dat, stejně jako vývoj a používání vlastních sofistikovaných nástrojů.
Vysoce sofistikované techniky cílení, a zvláště ofenzivní metody činnosti skupiny ji odlišují od ostatních státem sponzorovaných skupin a činí ji opravdu závažnou hrozbou.
Kromě přímých útoků na vládní instituce se Double Dragon zaměřuje také na soukromé společnosti v oblasti cestovního ruchu a telekomunikací s cílem získat přístup k údajům, které může využít pro sledovací operace.
Skupina například ukradne informace o rezervacích, záznamy dat o hovorech a textové zprávy, aby mohla
sledovat vysoce postavené zahraniční vládní představitele i disidenty.
Špionáž však není jedinou silnou stránkou skupiny. Podle FireEye Double Dragon „provádí také explicitně finančně motivovanou činnost, která zahrnovala použití nástrojů, které se jinak používají výhradně v kampaních podporujících státní zájmy“. Jinými slovy, skupina používá špičkové špionážní nástroje k tomu, aby pro sebe kradla peníze „mimo svou běžnou práci“.
V roce 2020 byla skupina Double Dragon jednou z nejaktivnějších hackerských skupin, která se pokoušela zneužívat zranitelnosti v hardwaru a také se nadále zaměřovala na vládní instituce v mnoha zemích a společnosti napříč odvětvími.
Právě přístup skupiny „kvantita nad kvalitou“ by se mohl stát osudnou chybou. Navíc v září 2020 USA identifikovaly a obvinily pět členů skupiny v případu, který byl součástí rozsáhlejšího amerického zásahu proti čínským kyberšpionážním akcím. To sice neznamená, že rejdy Double Dragon skončily, ale skupinu to nepochybně ovlivnilo.
Fancy Bear (APT28)
Sponzor: Rusko Aktivní od: 2005 Nejznámější akce: Útoky na antidopingové agentury v roce 2019, únik informací z DNC a Podesty v roce 2016
Skupina Fancy Bear (nezaměňovat s Cozy Bear, Venomous Bear nebo Voodoo Bear) se proslavila po zprávách o zapojení do velkého hackerského útoku na DNC v roce 2016 a také po sérii kybernetických útoků na webové stránky kampaně Emmanuela Macrona před francouzskými prezidentskými volbami v roce 2017. Od té doby komunita zabývající se kybernetickou bezpečností sleduje útoky této skupiny daleko za hranicemi USA a západní Evropy.
Fancy Bear má za sebou dlouhou historii sofistikovaných phishingových útoků na vysoce hodnotné cíle ve zpravodajských médiích, disidentských hnutích, obranném průmyslu a zahraničních politických stranách.
Její obvyklý postup spočívá v používání e-mailových domén, které jejich potenciální oběti přesvědčí, že propracované phishingové e-maily vytvořené skupinou pocházejí z legitimních zdrojů.
Například při pokusu o hacknutí Macronovy prezidentské kampaně skupina použila e-mailové domény, které vypadaly téměř identicky jako domény oficiálních webových stránek jeho strany en-marche.fr. Fancy Bear tyto domény používal k phishingovým kampaním podobným těm, které přiměly vysoké představitele amerických demokratů, aby hackerům poskytli přihlašovací údaje ke svým e-mailovým účtům.
Zdá se, že rozsáhlé operace skupiny proti obětem v politickém a obranném sektoru odrážejí strategické zájmy ruské vlády, což silně poukazuje na napojení na vojenskou zpravodajskou službu GRU.
Podle společnosti CrowdStrike Fancy Bear „věnoval značný čas vývoji svého primárního implantátu známého jako XAgent a využívání vlastních nástrojů a dropperů, jako jsou X-Tunnel, WinIDS, Foozer a DownRange“. A podle výsledků se zdá, že jejich implantát je poměrně účinný.
V roce 2020 skupina údajně provedla desítky kybernetických útoků proti několika federálním agenturám USA. Ačkoli se zdá, že je méně úspěšná než její „kolegové“ z Cozy Bear, zůstává Fancy Bear stálým trnem v oku mnoha firmám zabývajícím se kybernetickou bezpečností a vládním institucím po celém světě.
Helix Kitten (APT34)
Sponzor: Írán Aktivní od: 2007 Nejznámější akce: Útoky na australský parlament v roce 2019
Na rozdíl od ostatních zemí na tomto seznamu se zdá, že Írán stále častěji využívá k útočným operacím režimu smluvní hackery. Takoví „externisté“ mohou pocházet z různých zemí a prostředí a mohou, ale nemusejí být „pravověrnými“ přívrženci režimu, pro který pracují.
Společnost Helix Kitten (známá také jako OilRig a APT34) je však podezřelá, že je jednou z mála skupin specializovaných místních operátorů pracujících ve prospěch íránské vlády.
Bezpečnostní experti se domnívají, že skupina provádí většinu svých operací na Blízkém východě a zaměřuje se na finanční, energetický, chemický, telekomunikační a další průmysl a také na vládní instituce v zemích, které Írán považuje za konkurenty své regionální dominance, jako jsou Saúdská Arábie a Spojené arabské emiráty.
Využití komunikační infrastruktury v Íránu, stejně jako načasování a soulad s národními zájmy íránského režimu vedou odborníky také k odhadu, že Helix Kitten není skupinou nezávislých pracovníků z celého světa.
Zdá se však, že stejně jako skupina Double Dragon provozuje projekty „bokem“, a to tak, že zahajuje nezávislé kampaně kybernetické kriminality s využitím sad nástrojů pro útoky poskytnuté jejím „zaměstnavatelem“.
V dubnu 2019 dostala skupina Helix Kitten velkou ránu po sérii úniků na Telegramu, které odhalily jména, nástroje a aktivity hackerské skupiny. V úniku bylo veřejně jmenováno deset osob ze skupiny Helix Kitten, přičemž tři z nich byly zaměstnány na íránském ministerstvu zpravodajských služeb a ostatní pracovaly v íránské kyberbezpečnostní společnosti Rahacrop. To bylo považováno za zlom v činnosti této nechvalně proslulé skupiny, jejíž činnost byla zřejmě do konce roku ukončena.
Zdá se však, že zvěsti o smrti Helix Kitten byly přehnané, protože skupina zřejmě pokračovala ve svých útocích i po fatálním odhalení a působila spoušť na Blízkém východě a v jižní Asii.
Zdroj: Cybernews.com
