12 minute read
NEJVĚTŠÍ BEZPEČNOSTNÍ INCIDENTY ROKU 2022
Počet kybernetických incidentů a úniků dat každým rokem stoupá. Nevyhýbají se ani velkým technologickým společnostem a jejich intenzita v poslední době zesílila. Které úniky dat v loňském roce zaujaly média?
Kybernetické útoky a zejména úniky dat jsou pro útočníky lukrativním byznysem, pro firmy však představují obrovské riziko, protože mohou vést k poškození jejich pověsti, ztrátě důvěry zákazníků a potenciálním právním problémům.
Navíc mohou být úniky dat zneužity k podvodům nebo krádeži identity, což může přinést další finanční ztráty.
Firmy také mohou být povinny zajistit ochranu osobních údajů svých zákazníků v souladu s místními a mezinárodními právními předpisy, takže úniky dat mohou vést k pokutám a sankcím.
Lapsus$ útočí
Skupina Lapsus$ získala minulý rok hodně pozornosti –na ransomwarové scéně se začala prosazovat už na konci roku 2021, když zaútočila na brazilské ministerstvo zdravotnictví a ukradla 50 TB dat – včetně údajů o očkování občanů. Následně se terčem útoku této skupiny staly například portugalská mediální skupina Impresa a jihoamerické telekomunikační společnosti Claro a Embratel. Ale tím to neskončilo, naopak! Skupina se zaměřila na vysokoprofilové cíle a zatopila několika významných technologickým společnostem.
Nvidia
Na Telegramu se na konci února skupina Lapsus$ pochlubila, že ukradla celkem 1 TB dat Nvidii, včetně vysoce důvěrných informací a zdrojových kódů. Nvidia se odmítla vyjádřit k tomu, zda má podezření na konkrétní skupinu útočníků. O probíhajícím útoku se ve společnosti dozvěděli 23. února a okamžitě se pustili do obrany a začali jednat, mimo jiné najali experty na kybernetickou bezpečnost, aby mohli na útok lépe reagovat.
K útoku došlo den před ruskou invazí na Ukrajinu, takže se objevily i spekulace, že útok možná mají na svědomí ruským státem sponzorovaní hackeři, Nvidia se ale na toto téma vyjádřila, že „nemá žádné důkazy o tom, že by útok byl jakkoli spojen s rusko-ukrajinským konfliktem“.
Útok měl za následek mimo jiné to, že ve společnosti nefungovaly e-maily a vývojářské nástroje byly dva dny offline. A samozřejmě požadovala skupina výkupné – gang chtěl, aby Nvidia deaktivovala LHR (Lite Hash Rate, funkci procesoru, která v případě detekce pokusu o těžení kryptoměn zjednodušeně řečeno sníží výkon počítače) a žádala, aby Nvidia ovladače grafiky pro macOS, Windows i Linux zveřejnila jako opensource. Po vypršení lhůty, kterou Nvidie velkoryse dostala na splnění požadavků, se však nic nestalo.
Samsung
Společnost Samsung Electronics potvrdila, že se stala terčem útoku hackerů. Lapsus$ údajně získala přístup k 190 GB důvěrných informací a kódů společnosti. Stejně jako v předchozím případě, i tentokrát se skupina Lapsus$ přihlásila k útoku na Telegramu.
Gang tvrdí, že získal přístup ke zdrojovým kódům aplikací instalovaných v TrustZone. Samsung TrustZone je prostředí, které telefony korejské společnosti využívají pro práci s citlivými daty. Jsou zde algoritmy pro biometrické odemykací operace i zdrojové kódy důležité pro fungovaní přístrojů řady Samsung Galaxy. Lapsus$ umístil na svůj telegramový kanál link na torrent, kde bylo možné ukradených 190 GB dat stáhnout. Mezi daty, které gang ukradl, jsou podle oficiálního kanálu Lapsus$u na Telegramu i citlivá data týkající se amerického výrobce čipů Qualcomm. Tento výrobce dodává procesory do telefonů Samsung, jež se prodávají ve Spojených státech.
Mluvčí společnosti Samsung sice již potvrdil, že došlo k „úniku dat“, ale hackeři prý nemají v ruce žádná osobní data, která by patřila zákazníkům nebo zaměstnancům. Podle prvotních analýz šlo zejména o zdrojové kódy týkající se provozu zařízení Galaxy. Samsung podle svých vyjádření neví o žádných problémech, které by měly přímý vliv na zákazníky nebo na provoz. Společnost samozřejmě okamžitě učinila opatření, která mají zabránit dalším potenciálním potížím.
Ubisoft
Také jedna z největších společností zabývajících se vývojem her se stala obětí skupiny Lapsus$. Společnost v březnu potvrdila, že se stala obětí „kybernetického bezpečnostního incidentu“, který způsobil narušení jejích her, systémů a služeb. Oznámení přišlo poté, co uživatelé společnosti Ubisoft začali hlásit problémy s přístupem ke svým službám Ubisoft.
Výrobce her, který sídlí v Montrealu a má svá studia po celém světě, produkuje úspěšné tituly, jako jsou Assassin’s Creed, Far Cry, For Honor, Just Dance, Prince of Persia, Rabbids, Rayman, Tom Clancy’s a Watch Dogs.
Zprávu o potvrzení kybernetického bezpečnostního incidentu společnost Ubisoft jako první přinesl server The Verge. O několik okamžiků později reagovali administrátoři skupiny na Telegramu, o níž se předpokládá, že je to skupina Lapsus$, na původní zprávu serveru The Verge úsměvným emotikonem, který naznačuje, že za útokem stojí právě skupina Lapsus$.
Tato skupina již dříve vypustila gigabajty proprietárních dat údajně ukradených předním společnostem.
A to je právě modus operandy skupiny Lapsus$, která sice krade data, ale na rozdíl od šifrování důvěrných souborů, ke kterým dochází při ransomwarových útocích, tito útočníci kradou a uchovávají proprietární data obětí, která zveřejňují v případě, že nejsou splněny jejich požadavky.
Microsoft
Dne 20. března 2022 se terčem útoku skupiny Lapsus$ stal také Microsoft. Skupina zveřejnila na Telegramu snímek obrazovky, který naznačoval, že se nabourala do společnosti Microsoft, a přitom ohrozila Cortanu, Bing a několik dalších produktů. Útočníci získali od společnosti Microsoft některé materiály, ale 22. března společnost Microsoft oznámila, že pokus o útok rychle zastavila a že byl kompromitován pouze jeden účet. Společnost Microsoft rovněž uvedla, že nebyly odcizeny žádné údaje zákazníků. V tomto případě společnost Microsoft těžila z publicity, kterou získala díky své účinné bezpečnostní reakci.
Cisco
Nadnárodní společnost Cisco se stala obětí kyberzločinu poté, co aktéři hrozby získali přístup k jejím serverům prostřednictvím osobního účtu Google jednoho ze zaměstnanců.
Ačkoli společnost neohlásila, že by narušení bezpečnosti mělo nějaké závažnější následky, kyberzločinci – s vazbami na kyberzločince Lapsus$ a Yanluowang – tvrdili, že získali více než 3 000 souborů obsahujících 2,75 GB firemních dat. Společnost Cisco se požadavkům vyděračů nepodvolila, ale vzhledem k tomu, že phishingové kampaně tohoto druhu exponenciálně rostou, je jasné, že společnosti, včetně technologických gigantů, musejí udělat vše, co je v jejich silách, aby řešily nedbalost zaměstnanců.
Útočníkům se podle všeho podařilo podvést zaměstnance společnosti Cisco, aby potvrdil vícefaktorovou autentizaci (MFA), což jim následně umožnilo získat přístup do virtuální privátní sítě (VPN) cílového uživatele. Přístup k přihlašovacím údajům společnosti Cisco se hackerům podařilo získat prostřednictvím synchronizovaného prohlížeče pracovníka. Po vstupu do systému použili nástroje ke shromažďování informací, než je bezpečnostní tým společnosti Cisco ze sítě vyhodil. Podle společnosti nebyla odcizena žádná citlivá data a společnost Cisco okamžitě podnikla kroky k zadržení a likvidaci neoprávněných návštěvníků.
Podle hackerů je to však trochu jinak. Pro server BleepingComputer útočníci uvedli, že ukradli více než 3 000 souborů, včetně utajovaných technických výkresů a dohod o mlčenlivosti (NDA). Soubory údajně představují přibližně 2,75 GB dat.
A kdo vlastně stojí za nechvalně proslulou skupinou, která děsí i ty největší odborníky z technologických korporací? Teenageři. Londýnská policie v průběhu měsíce března 2022 zatkla v souvislosti s hackerským gangem Lapsus$ celkem sedm lidí. Všichni jsou ve věku 16 až 21 let. Zhruba v době zatýkání se na telegramovém účtu skupiny Lapsus$ objevila informace, že někteří členové skupiny „budou nějakou dobu na dovolené“. Poslední březnovou středu však skupina Lapsus$ zveřejnila další informace – uvolnila materiály, které ukradla vývojářské společnosti se sídlem v Argentině. V pátek 1. dubna policie pak ještě obvinila další dva mladistvé (ve věku 16 a 17 let) ze spolupráce s gangem a z hackerských útoků. Žalobkyně Valerie Benjamin se vyjádřila, že případ je potřeba předat k vyšetřování královskému soudu, protože je velmi komplexní a jde v něm o velké částky. Mladiství hackeři byli zatčeni během mezinárodního policejního vyšetřování.
V prohlášení londýnské policie detektiv Michael O‘Sullivan řekl, že teenageři byli obviněni ze tří případů neoprávněného přístupu k počítači s úmyslem narušit spolehlivost dat, z jednoho podvodu pomocí falešného prohlášení a jednoho neoprávněného přístupu k počítači s úmyslem bránit přístupu k datům.
Crypto.com a 35 milionů dolarů pryč
Společnost Crypto.com přiznala, že v důsledku kybernetického útoku přišla o přibližně 35 milionů dolarů. Singapurská kryptoměnová burza na Twitteru a Telegramu oznámila, že „malý počet uživatelů zaznamenal neoprávněnou aktivitu na svých účtech“. K incidentu se na Twitteru vyjádřil také generální ředitel Crypto.com Kris Marszalek, který uvedl, že „nedošlo ke ztrátě finančních prostředků zákazníků“. Společnost však nedlouho nato zveřejnila příspěvek na blogu, z něhož vyplývá, že kvůli neoprávněným výběrům přišla o velkou částku – celkem téměř 35 milionů dolarů.
Vyšetřování společnosti odhalilo, že útočníci vybrali 4 836,26 ETH v hodnotě přibližně 15 milionů dolarů, což potvrdilo zprávu společnosti PeckShield, která se zabývá analýzou blockchainu. Crypto.com odmítl zprávu PeckShield komentovat a místo toho odkázal na Marszalkovo vyjádření na Twitteru.
Společnost Crypto.com navíc potvrdila, že bylo odcizeno 443,93 bitcoinu, které v té době měly hodnotu téměř 19 milionů dolarů, a také přibližně 66 200 dolarů v jiných měnách. Podle zprávy se incident týkal 483 uživatelů –účet Crypto.com na LinkedIn uvedl, že celkem společnost obsluhuje 10 milionů zákazníků. Navzdory tomuto odhalení kryptoměnová společnost zopakovala, že „žádný zákazník nezaznamenal ztrátu finančních prostředků“
Společnost také zavedla takzvaný Worldwide Account Protection Program (WAPP), který má podle zprávy chránit prostředky uživatelů v případě útoků třetích stran, kdy dojde k neoprávněnému přístupu k účtům. Program WAPP obnovuje finanční prostředky až do výše 250 000 dolarů, uživatelé však musí splnit určité bezpečnostní požadavky. Mezi ně patří používání MFA a nastavení antiphishingového kódu nejméně 21 dní před nahlášenou neoprávněnou transakcí.
Ronin: Rekordní krádež kryptoměn
V loňském roce došlo také k jedné z dosud největších krádeží kryptoměn. Obětí útočníků se stal blockchainový projekt Ronin. Útočníci z jeho systémů ukradli kryptoměnu, která měla v té době hodnotu téměř 540 milionů dolarů.
Projekt uvedl, že neznámí aktéři 23. března ukradli 173 600 tokenů ethera a 25,5 milionu tokenů dolarových mincí. Podle společnosti Elliptic, která se zabývá analýzou blockchainu, se jedná o druhou největší zaznamenanou krádež kryptoměn.
Ronin vyvíjí singapurské herní studio Sky Mavis, které vlastní Axie Infinity. Ronin tak poskytuje platformu pro populární online hru Axie Infinity, která využívá non-fungible tokeny (NFT) a podle společnosti CryptoSlam sledující trh s NFT je největší sbírkou NFT podle objemu prodejů za celou dobu.
Společnost Ronin ve svém blogpostu uvedla, že útočníci použily k odcizení prostředků ukradené soukromé klíče – hesla potřebná k přístupu ke kryptografickým fondům. Společnost Ronin uvedla, že spolupracuje přímo s různými vládními agenturami, aby zajistila, že zločinci budou postaveni před soud, uvedla a dodala, že s Axie Infinity diskutuje o tom, jak zajistit, aby nedošlo ke ztrátě prostředků uživatelů. Uživatelé Roninu nemohli v síti vybírat ani vkládat finanční prostředky, uvedla. Společnost Ronin na dohledání ukradených prostředků spolupracovala s hlavním blockchainovým trackerem Chainalysis. Většina prostředků však zůstala v digitální peněžence útočníka, uvedla společnost Ronin.
PressReader: Útok na digitální magazíny
PressReader, největší světový distributor digitálních novin a časopisů, zpřístupnil svůj obsah novin a časopisů na Ukrajině, aby pomohl zajistit všem obyvatelům země volný přístup k aktuálním a přesným informacím. Dostupné zdroje zahrnují respektované světové a národní zpravodajské a publicistické publikace, včetně například The Guardian, El Pais, Newsweek, The Economist, The Wall Street Journal a dalších. Jenže každý dobrý skutek je po zásluze potrestán, takže následoval kybernetický útok na službu PressReader, kvůli kterému čtenáři po celém světě neměli přístup k více než 7 000 publikací.
Společnost má sídlo v Kanadě a pobočky v irském Dublinu a na Filipínách začala zažívat výpadek sítě, který postihl její webové stránky a aplikace Branded Editions a stránky PressReader. Globální výpadek ovlivnil všechny místní, regionální a mezinárodní noviny a časopisy PressReader online na mobilních zařízeních a v tištěné podobě.
Uživatelům v zemích včetně Austrálie, Kanady, Velké Británie a USA byl zablokován přístup k titulům včetně The Guardian, Vogue, Forbes a New York Times. Do 11. března bezpečnostní týmy společnosti klasifikovaly výpadek jako „kybernetický bezpečnostní incident“.
V prohlášení PressReader uvedl, že pracuje na obnovení služeb a zpřístupnění obsahu uživatelům. Společnost dodala, že při vyšetřování kybernetického útoku nenašla žádné důkazy o tom, že by došlo k ohrožení údajů zákazníků. „Technické týmy společnosti PressReader nepřetržitě pracují na řešení nedávného narušení služeb,“ uvedla v prohlášení. Kybernetický útok přišel několik dní poté, co společnost odstranila ze svého katalogu desítky ruských titulů a veřejně prohlásila, že pomůže ukrajinským občanům v přístupu ke zprávám po ruské invazi do jejich země.
Obvyklé příčiny narušení bezpečnosti dat a jak se jim bránit
Jak je vidět, kybernetické útoky jsou všudypřítomné. Motivace útočníků se různí, ale to nemění nic na tom, že kybernetický útok může prakticky kdykoliv vážně ohrozit jakoukoliv organizaci.
Je důležité, aby všechny společnosti, bez ohledu na velikost, pravidelně aktualizovaly svá bezpečnostní opatření a zohledňovaly nové hrozby, aby se mohly co nejlépe bránit kybernetickým útokům a únikům dat. Nejlepší je připravit se na „více frontách“ a zajistit minimálně tyto oblasti:
- Vzdělávání zaměstnanců: Zaměstnanci by měli být informováni o bezpečnostních rizicích, jako jsou phishing a malware, a o tom, jak se jim vyhnout.
- Používat silná hesla a dvoufaktorové autentizace: Používání silných hesel a dvoufaktorové autentizace může ztížit útočníkům přístup k citlivým informacím.
- Správně implementovaný firewall a antivirový software: Používání firewallu a antivirového softwaru může zmírnit malwarové útoky a zabezpečit síť.
- Zálohování dat: Zálohování dat může pomoci obnovit data po útoku nebo úniku.
- Bezpečnostní audity: Bezpečnostní audity pomohou identifikovat slabá místa ve firemní bezpečnosti a pomoci s jejich odstraněním.
- Compliance s regulačními požadavky: Dodržování regulačních požadavků, jako je GDPR nebo HIPAA, může pomoci firmám splnit požadavky na ochranu osobních údajů a minimalizovat riziko pokut a sankcí.
