V súvislosti s nedávnymi útokmi na Ministerstvo zahraničných vecí sme sa o téme kyber-hrozieb porozprávali s Pavlínou Volkovou, Regional Account Manager svetovej bezpečnostnej spoločnosti Trend Micro:
Minulý rok bol rokom ransomwaru, teda tzv. vydieračského útoku. Aké sú zatiaľ najčastejšie hrozby (riziká) tohto roka?
Od minulého roka sa na type hrozieb nič zásadného nezmenilo. Len sú stále sofistikovanejšie. Ako vyplýva z našej polročnej správy Midyear Security Roundup 2018, tento rok je v znamení doposiaľ nevídaného rozšírenia útokov typu crypto-jacking, teda zneužívanie výpočtových zdrojov napadnutého zariadenia pre ťažbu kryptomien.
V medziročnom porovnaní došlo k nárastu o 956 percent. Tieto zistenia vychádzajú z úspešných detekcií, ktoré urobila spoločnosť Trend Micro. Naznačujú, že počítačoví zločinci sa presúvajú od vidiny rýchleho zisku pomocou ransomwaru k pomalšiemu, ale o to viac utajenému prístupu v podobe krádeže výpočtového výkonu práve pre ťažbu digitálnej meny.
Sú viac „v móde“ cielené útoky na konkrétne osoby, firmy či inštitúcie, alebo ide skôr o rozsiahle útoky na široké ciele?
Oba sú na vzostupe. Za každým zo spôsobov sa skrývajú iné typy hackerov. Niekedy hacker urobí rozsiahly útok a náhodne sa dostane do zaujímavej spoločnosti či inštitúcie a útok sa zmení na cielený. V každom prípade banky, štátne inštitúcie, či napríklad výrobné podniky sa stávajú cieľmi cielených útokov čím ďalej tým častejšie.
Na vzostupe sú aj škody spôsobené útokmi využívajúcimi firemné emaily, teda tzv. BEC útoky (Business Email Compromise). Podľa FBI dosiahli za prvý polrok roka 2018 výšku 12,5 miliárd USD, čo prekonalo pôvodné predpovede spoločnosti Trend Micro pre celý svet o 3,5 miliardy dolárov.
Dôležitým mechanizmom v boji s týmito typmi útokov je technológia označovaná ako Writing Style DNA, ktorá k posúdeniu pravosti identity autora textu využíva umelú inteligenciu. Pomocou porovnávania štýlu písomného prejavu (preto odkaz na DNA) v predchádzajúcich emailových komunikáciách dokáže rozoznať falošný e-mail od pravého.
Nedávny útok na Ministerstvo zahraničných vecí bol podľa vyhlásenia premiéra Pellegriniho aktivovaný zo zahraničia nadnárodnou sofistikovanou špionážnou organizáciou. Cieľom bola exfiltrácia dát MZV na servery útočníkov. Aký mohli mať k tomuto činu motív?
To by bola špekulácia. A pokiaľ je obeťou Ministerstvo zahraničných vecí ktoréhokoľvek štátu, špekulácie sa priamo ponúkajú. Premiér sám povedal, že išlo o špionáž, viac si môžeme len domýšľať.
Podľa doterajších správ bol útok vedený z niektorej z veľkých mocností. Pochádzal podľa vás útok z Ruska, ktoré sa ocitlo medzi možnými podozrivými?
Rusko je často označované za pôvodcu rôznych útokov. Či to tak naozaj je, môže ukázať až dôkladné vyšetrovanie, ktoré v týchto prípadoch rozhodne nie je jednoduché. U sofistikovaných útokov za sebou hackeri vedia veľmi dobre pozametať stopy.
Viete približne určiť, aké škody boli napáchané a aké sú/budú ich dôsledky?
Absolútne nie.
Čo si vyžaduje plánovanie a vykonanie takéhoto útoku zo strany útočníkov?
Útočník sa potrebuje nepozorovane dostať kamkoľvek do siete. To je len prvý krok. Je potrebné nájsť dáta, ktoré majú pre neho cenu a tieto dáta exfiltrovať von. To všetko čo najviac nenápadne. Dostatok času, prípadne znalosť siete, informácie o zero day zraniteľnosti dávajú útočníkovi výhodu. Ale primárnym pomocníkom je čas. Toho má útočník vždy viac ako obeť.
Je možné, že v konečnom dôsledku stojí za chybou zlyhanie ľudského faktora zo strany MZV? (teda že si napr. nejaký pracovník stiahol a spustil škodlivý program, nebezpečný mail, atď)
To je možné a rovnako ako väčšina cielených útokov dokonca i pravdepodobné. Ľudský faktor je nepredvídateľný a jeho chybovosť je vysoká.
Aké sú súčasné prístupy ku komunikácii pri napadnutí firmy / inštitúcie? Je dobré to tajiť i pri vyšetrovaní, alebo bol správny postup vlády s tým, že to ohlásili?
Určite je správne, že to ohlásili. Aj podľa zákonov alebo napr. podľa smernice GDPR je nevyhnutné útok ohlásiť minimálne Úradu pre ochranu osobných údajov.
Spolupracujete s MZV pri vyšetrovaní útokov?
Aktuálne nie.