Deň pred pred inváziou Ruska na Ukrajinu objavila slovenská bezpečnostná firma Eset nový škodlivý program s názvom HermeticWiper. Po nedávnych masívnych útokoch na ukrajinské médiá a inštitúcie by sa mali mať na pozore aj Slováci, upozorňuje polícia.
Podľa správy Esetu bol tento malvér nainštalovaný na stovkách ukrajinských zariadení. Išlo o škodlivý kód typu data wiper, ktorý maže užívateľské dáta.
„Prvé vzorky sme zachytili v stredu 23. februára o 16:52 miestneho času. Z analýzy malvéru vyplynulo, že bol vytvorený už 28. decembra 2021,“ povedal Michal Cebák, bezpečnostný analytik Esetu. „To naznačuje, že útok bol pripravovaný už počas posledných dvoch mesiacov,“ dodal Cebák.
Škodlivý kód zneužíva softvér, ktorý slúži na správu pevných diskov. Jeho cieľom je poškodenie užívateľských aj firemných dát, pričom v poslednom kroku reštartuje počítač. Po reštarte sa už operačný systém nedá spustiť.
„V jednej zo spoločností, ktoré boli zasiahnuté útokom, bol wiper nasadený prostredníctvom predvoleného GPO (group policy management), čo znamená, že útočníci prevzali kontrolu nad serverom Active Directory, ktorý zabezpečuje v počítačovej sieti autentizáciu a autorizáciu užívateľov a počítačov, ale aj ďalšie služby,“ priblížil Cebák.
Zasiahnuté bolo aj Pobaltie
Ďalšie informácie o HermeticWiperi priniesol aj český Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB). Malvér napadol stovky zariadení ukrajinských spoločností a štátnych inštitúcií, podľa NÚKIB mieril na finančné inštitúcie a vládnych kontraktorov.
„Okrem Ukrajiny bolo zasiahnutých aj niekoľko inštitúcií v Litve a Lotyšsku, pričom nie je jasné, či úmyselne alebo nie,“ uvádza NÚKIB. Tento rok ide podľa českého úradu už o druhý kybernetický útok na Ukrajine cieliaci na deštrukciu dát, v polovici januára odhalili wiper WhisperGate.
Minulý týždeň prebehol na Ukrajine veľký kyberútok typu DDoS, zameraný na vyradenie webu ministerstva obrany Ukrajiny a dvoch štátnych bánk. Pri útoku boli použité aj české IP adresy, informovala ukrajinská vláda.
Český úrad odporučil štátnym aj súkromným inštitúciám, aby si skontrolovali indikátory kompromitácie svojich systémov a pripomenul dôležitosť dodržiavania základných zásad kybernetickej bezpečnosti.
Útoky hrozia aj u nás, varuje polícia
Slovenská polícia v sobotu (26. 2.) zverejnila varovanie, že ruské tajné služby môžu online útočiť na Slovensko, napríklad na individuálne účty, ale aj na účty rôznych štátnych inštitúcií, médií či iných organizácií.
Na toto by ste si mali dať pozor:
- Preverte si, od koho prišiel e-mail či správa, či má odosielateľova adresa autentickú podobu.
- Neklikajte na webové odkazy od neznámych odosielateľov.
- Ak vás priateľ nabáda a tlačí na to, aby ste klikli na odkaz, ktorý vám poslal, buďte obozretní – hekeri možno napadli jeho konto a zavírovaný odkaz posielajú v priateľovom mene.
- Všade, kde je to možné, používajte dvojfaktorové overenie pri prihlasovaní. To znamená, že po zadaní e-mailovej adresy budete musieť vašu totožnosť potvrdiť napríklad kódom, ktorý vám aplikácia pošle na vaše telefónne číslo.
- V prípade spravovania stránok na Facebooku treba administrátorské práva udeľovať čo najmenšiemu počtu ľudí. Všetci z nich by mali mať zapnutú dvojfaktorovú autentifikáciu.
- Ak ste zamestnancom firmy alebo inštitúcie s právom posielať finančné prostriedky, opakovane si overte pravosť faktúry a pravosť odosielateľa.
Český úrad: hrozba je reálna
„Informácie, ktoré máme k dispozícii, vedú k dôvodnej obave z reálnej hrozby kyberšpionáže a kybernetických útokov na významné ciele v Českej republike, predovšetkým strategické inštitúcie verejnej správy, prvky kritickej informačnej infraštruktúry, informačné systémy základných služieb či médiá,“ povedal už v piatok 25. februára riaditeľ NÚKIB Karel Řehka
V piatok informovalo české internetové združenie CZ.NIC , že „po konzultáciách s bezpečnostnými zložkami štátu a na základe odporúčania vlády“ zablokovalo osem dezinformačných webov.
Stránky v súvislosti s inváziou Ruska na Ukrajinu ohrozovali českú národnú bezpečnosť, oznámilo CZ.NIC.
Eset u nás cielené útoky nezaznamenal
„Zatiaľ sme na Slovensku nezaznamenali špecificky cielené útoky v takej podobe a rozsahu, ako sme videli na Ukrajine,“ povedal v piatok (25. 2.) pre Forbes Peter Košinár, výskumník Esetu. „Situáciu naďalej monitorujeme.“
Pre bežných používateľov aj pre firmy podľa Košinára platí, že by mali „nielen teraz, ale za každých okolností dodržiavať klasické pravidlá kybernetickej hygieny.“
Predovšetkým je potrebné, aby si používatelia a firmy skontrolovali, či majú aktualizovaný operačný systém a aplikácie na všetkých zariadeniach pripojených na internet, či majú nainštalované a správne nastavené bezpečnostné riešenie, napríklad, aby nemalo vypnutú kontrolu všetkých programov.
Košinár tiež odporúča zvýšiť opatrnosť pri bežnej práci na internete. „To znamená kriticky pristupovať k informáciám na internete, k e-mailom či SMS správam, ktoré dostanete nevyžiadane a podobne.“
Na Ukrajine bežia kyberútoky dlhodobo
O významných udalostiach v oblasti počítačovej bezpečnosti spojených s Ukrajinou informoval Eset v minulých rokoch viackrát. V júni 2017 upozornil, že analyzoval malvér, ktorý bol schopný vykonať útoky podobné incidentu z roku 2016.
Ten spôsobil výpadok, ktorý pripravil o elektrinu časť Kyjeva a ukrajinskí vyšetrovatelia ho označili za kyberútok.
Eset v priebehu roka 2017 analyzoval škodlivý softvér Industroyer a označil ho za schopný spôsobiť významné škody v elektrickej rozvodnej sieti.
V roku 2016 sa podľa zistení Esetu udiali aj cielené útoky na ukrajinský finančný sektor, v roku 2017 zasa malvér s názvom NotPetya šifroval počítače.
Anonymous vracia úder
Po útoku Ruska vyzvala ukrajinská vláda miestnych hackerov, aby pomohli s obranou krajiny v kybernetickom priestore. Primárnou misiou pre digitálny underground má byť ochrana kritickej infraštruktúry. Ďalším cieľom je špionáž namierená na získavanie informácií o pohybe ruských vojsk.
Výzvy sa šíria na internetových hackerských fórach od štvrtka. Agentúra Reuters uvádza, že výzvu na akciu spísal spoluzakladateľ Kyjevskej kyberbezpečnostnej spoločnosti Cyber Unit Technologies Jegor Aušev na žiadosť ministerstva obrany.
Do boja na digitálnom fronte už prehovorilo aj vonkajšie decentralizované hackerské zoskupenie Anonymous, ktoré v piatok dočasne vyradilo z prevádzky web ruskej štátnej televízie Russia Today (RT), prihlásilo sa aj ku kolapsu stránok ruského ministerstva obrany. V útokoch pokračovalo aj v sobotu.
