Tento globálny IT kolaps je dokonalým príkladom fenoménu známeho ako Čierna labuť.

Bola to neočakávaná udalosť s rozsiahlymi dôsledkami, ktorá má v retrospektíve logické vysvetlenie, no predvídať jej výskyt je takmer nemožné.

Stalo sa

Výpadok spôsobila chybná aktualizáciou bezpečnostného softvéru CrowdStrike Falcon. Táto aktualizácia ovplyvnila kernel-level ovládač, čo viedlo k takzvanej modrej smrtiacej obrazovke na mnohých zariadeniach s operačným systémom Windows.

CrowdStrike okamžite zareagoval a chybnú aktualizáciu stiahol. Napriek tomu však oprava všetkých postihnutých systémov bude trvať určitý čas. Analytici sa už predbiehajú v odhade škôd a padajú miliardové sumy.

Včera bolo neskoro

Podobné incidenty a výpadky ako ten CrowdStrike väčšinou vedú k zvýšenému záujmu útočníkov. Zameriavajú sa na zneužitie situácie nielen u zákazníkov CrowdStrike, ale aj u všetkých ostatných.

Aj napriek tomu, že CrowdStrike rýchlo identifikoval a nasadil opravu vzniknutého problému, hackeri sa chopili situácie a začali vymýšľať nové útoky.

Prakticky už hneď sa vyskytli prípady, kedy sa útočníci vydávali za zamestnancov spoločnosti CrowdStrike a prostredníctvom telefonátov sa snažili zmanipulovať obete, aby vykonali určité kroky na svojich zariadeniach.

Blízka budúcnosť

Určite sa nevyhneme phishingovým kampaniam a podvodným e-mailom, ktoré budú vyzerať ako e-maily z podpory CrowdStrike alebo ako oficiálne správy od CrowdStrike alebo iných dôveryhodných entít.

Cieľom e-mailov je oklamať zákazníkov, aby prezradili citlivé informácie alebo poskytli neoprávnený prístup. Tieto e-maily môžu obsahovať odkazy na podvrhnuté stránky, ktoré vyžadujú zadanie citlivých údajov alebo inštaláciu škodlivého softvéru.

Prečo čítať pozorne

K dnešnému dňu už existuje pomerne rozsiahly zoznam podvodných stránok, ktoré vznikli v rekordne krátkom čase a slúžia práve na tieto účely.

Škodlivé domény obsahujú v sebe názov „crowdstrike“ či „microsoft“, často v kombinácii so štandardnými označeniami help, fix, či helpdesk. Očakávame, že budú pribúdať ďalšie podvodné stránky.

Zvyčajný postup

Okrem iného sa budú zločinci pokúšať “predať" a nainštalovať zaručene fungujúce skripty, ktoré automatizujú vyriešenie problému s CrowdStrike aktualizáciou. Prípadne vám oskenujú počítač, aby zistili, či je u vás všetko v poriadku. To však môže v konečnom dôsledku namiesto opravy viesť k nainštalovaniu malvéru alebo vytvoreniu nového zraniteľného miesta.

Preto je potrebné proaktívnym prístupom a zvýšenou obozretnosťou minimalizovať riziko nadchádzajúcich útokov zneužívajúcich aktuálnu situáciu.

Trest pre sektor

Udalosť nezostala bez odozvy na burze. Akcie CrowdStrike poklesli o 20 percent a finančné trhy reagovali zakolísaním pri technologických značkách.

Incident zároveň ukázal zraniteľnosť závislosti na jednotnom IT riešení a zdôraznil potrebu posilnenia kybernetickej odolnosti kritickej infraštruktúry. Celá udalosť opäť zdôraznila potrebu strategického prístupu k manažmentu IT a zabezpečeniu robustných aktualizačných procesov.

Míľnik dekády

Crowdstrike výpadok má všetky parametre fenoménu Čiernu labuť, ako ho spopularizoval Nassim Nicholas Taleb. Použil ho na opísanie extrémnych udalostí, ktoré majú tri základné črty.

Sú nepredvídateľné, čiže ich výskyt je nepravdepodobný a takmer nemožný na predpovedanie. Keď sa vyskytnú, majú dramatický a rozsiahly vplyv. Po samotnej udalosti sa často objavujú vysvetlenia, ktoré jej výskyt ospravedlňujú, no tieto vysvetlenia boli predneznáme alebo prehliadané.

V každom prípade – buďte opatrní a nepoľavujte v pozornosti.

Jozef Bálint IT bezpečnostný špecialista ALISON Slovakia