Ten den jsme z práce odcházeli všichni v napětí, i když nikdo netušil, že zrovna ještě ten večer, a hlavně následující ráno, začne období několika intenzivních týdnů, na které jsme se nikdo dobře nemohl připravit. Zvěsti o tom, že se něco bude dít, ale mezi jedničkami a nulami byly.
Jak řekl tenkrát v únoru náš kolega Robert Šuman:
Útoky na Ukrajinu probíhají minimálně od roku 2014, od první eskalace (anexe Krymu), ale našli bychom i starší. V letech 2015 a 2016 se objevil malware, který zaútočil na energetickou síť na Ukrajině a útočníkům se podařilo odpojit část Kyjeva od elektřiny.
Intenzivní útoky malwaru BlackEnergy byly na Ukrajině evidovány již od podzimu roku 2013. V prosinci 2015 zaznamenali bezpečnostní experti první výpadek elektrické energie způsobený malwarem. Tento útok umožnila právě sada nástrojů malwaru BlackEnergy. Následující rok, v prosinci 2016, opět proběhl kybernetický útok na ukrajinskou rozvodnou síť, který na hodinu připravil část hlavního města Kyjeva o elektřinu. V červnu 2017 bylo poté mnoho velkých společností po celém světě zasaženo ransomwarem Diskcoder.C (známým také jako Petya a NotPetya).
Schyluje se k invazi
V lednu 2022 objevila společnost Microsoft malware WhisperGate, který útočil na ukrajinské organizace. Zvýšená aktivita na poli kybernetických útoků se pak objevovala již několik dní před zahájením samotné invaze. Od 23. února brzy ráno probíhal poměrně velký DDoS útok (pokus o přehlcení nějaké služby falešnými požadavky) v rámci celé Ukrajiny. Stalo se to napříč celým spektrem odvětví, od firem, přes vládní instituce až po klíčovou infrastrukturu, jako jsou například železnice.
A pak naši bezpečnostní analytici objevili 23. února ve večerních hodinách nový malware, který dostal označení HermeticWiper. Šlo o škodlivý kód typu data wiper, který maže uživatelská data a který byl v předvečer invaze použit ke kybernetickým útokům na řadu významných organizací na Ukrajině. Motiv útoku nebyl vůbec typický – zatímco útočníci sledují kybernetickými útoky ve většině případů nějaký finanční zisk, tento malware měl jediný cíl, a to poškodit a zničit.
Přečtete si také:
Naši bezpečnostní analytici si tak okamžitě začali předávat směny – kdo šel spát v České republice, předával hlídku kolegům do Kanady. A celou situaci jak na Ukrajině, tak samozřejmě v České republice jsme začali monitorovat. Jakmile se objevily nové informace, okamžitě jsme dávali vědět odborné i široké veřejnosti.
Hlavní slovo převzala těžká technika, malware ji ale stále sekunduje
V den invaze proběhl útok za použití malwaru IsaacWiper, který mířil na ukrajinskou vládní síť. Kromě vládních cílů byly útoky wiperem v dalších dnech detekovány také v případě organizací z řad médií. Později byly popsány další škodlivé kódy – worm (červ) HermeticWizard, který napomáhal šíření wiperu uvnitř lokálních sítí, či ransomware HermeticRansom, který byl použit jako zastírací manévr a měl od hlavního útoku odvést pozornost. Malwary však nebyly nijak sofistikované a měly být nejspíš jen součástí bleskové akce Ruska. Zapojení kybernetických aktivit ukázalo, jak úzce je konvenční způsob vedení války spojený s kybernetickým prostorem.
Velkým tématem se ihned po invazi staly spamové a phishingové kampaně. Prostřednictvím falešných sbírek začali podvodníci zneužívat solidaritu lidí, kteří chtěli podpořit oběti konfliktu. V březnu 2022 pak společnost ESET identifikovala další malware CaddyWiper zaměřující se na ukrajinské finanční instituce. V dubnu pak bezpečnostní experti z ESETu odhalili útok za použití wiperu CaddyWiper a již dříve detekovaného malwaru Industroyer, který byl použit k přerušení dodávky elektřiny na Ukrajině v roce 2016. Podle zjištění byla autorem útoku ruskojazyčná útočná skupina Sandworm s vazbami na ruskou zpravodajskou službu GRU. Cílem byla opět významná energetická společnost distribuující elektřinu na území Ukrajiny.
V březnu 2022 připravili bezpečnostní experti chronologickou mapu útoků na Ukrajině a Robert ji představil v rámci své přednášky na e-commerce summitu.
Zaměřeno na Sandworm...
Od ruské invaze na Ukrajinu se zvýšil počet amatérských ransomwarů a wiperů. Jejich autoři často slibují podporu jedné z bojujících stran a útoky realizují jako osobní mstu. Zatímco v minulosti se ransomwarové hrozby cílům v Rusku spíše vyhýbaly, v období od ledna do dubna 2022 bylo podle telemetrie společnosti ESET Rusko nejčastějším cílem. Bezpečnostní experti dokonce detekovali typ ransomwaru zamykající obrazovku s odkazem „Sláva Ukrajině!“.
Poslední nejnovější útok objevili specialisté z ESETu v lednu 2023 a útok byl připsán již zmíněné útočné skupině Sandworm.
A situaci nadále sledujeme...