Na případ upozornil ve středu slovenský deník SME. Na první pohled běžná
e-mailová zpráva pro účastníky a hosty konference Globsec v Bratislavě měla podle deníku kyberútočníkům posloužit jako způsob, jak se dostat do počítačů vytipovaných obětí.
Phishing„Jedná se o velmi často používanou metodu phishing emailu. Cíl útoku dostane email, který je upraven tak, aby se zdál naprosto legitimní. V tomto případě se jednalo o podvodný e-mail týkající se konference, na kterou byli účastníci pozváni," řekl odborník Petr Kadrmas ze společnosti Check Point Software Technologies. Jak dodal, v dnešní době je zároveň velmi jednoduché a dostupné škodlivý kód upravit tak, aby ho antivirové systémy nezachytily. Obranou je proto podle něj vícevrstvá ochrana proti známým i neznámým hrozbám (systém Antimalware a Emulace Hrozeb – Threat Emulation) a aplikace systému, který dokáže detekovat nakažení počítače a blokovat komunikaci škodlivé aplikace na řídící centra. |
Mezi hosty konference přitom tradičně figurují vysoce postavení generálové NATO a jednotlivých členských zemí, premiéři, ministři, prezidenti, generální tajemník Aliance nebo špičkoví bezpečnostní experti.
Podvodný e-mail měl logo konference a upozorňoval na nejzajímavější hosty nebo hlavní témata akce. Součástí byla i příloha, při jejímž otevření se měl do počítače nainstalovat škodlivý kód a umožnit přístup do takto napadeného počítače a k citlivým informacím.
„Můžeme jen s jistotou potvrdit, že Globsec byl zneužit pro útok a že cílem mohli být jeho účastníci,“ citoval slovenský deník Zuzanu Hošalovou z antivirové společnosti Eset. Známý producent antivirových zabezpečení společně s další společnosti F-Secure odhalil podezřelé aktivity už v září.
Stopy vedou podle expertů do Ruska
Útok během konference Globsec měl být patrně součástí dlouhodobých systematických útoků zaměřených na Severoatlantickou alianci, evropské a ukrajinské úřady, telekomunikační a energetické společnosti hlavně v Polsku a některé americké instituce.
„Mohu jen říci, že jsme nezaznamenali během konference žádný bezpečnostní incident a nedostali jsme v tomto ohledu ani žádnou zpětnou vazbu od účastníků,“ řekl natoaktual.cz zástupce pořadatelů Globsecu Ivan Rudolf.
Slovenský deník poukazuje, že způsob útoku i nástroje, které k němu útočníci využili, mohou zapadat do několik let trvající kyberoperace přezdívané „Sandworm“. Internetové útoky v rámci ní jsou zaměřeny na sběr informací. Stejně jako v minulosti i během Globsecu hackeři využili speciální nástroj známý jako „Black Energy“, který patří mezi nejoblíbenější škodlivé kódy z dílen ruských a východoevropských kyberútočníků.
O stopách mířících do Ruska spekulují také analytici bezpečnostní společnosti iSIGHT Partners, kteří případy detailně zkoumají a některé poznatky zveřejnili na stránkách magazínu Wired.
Konečným cílem internetových útoků podle nich nemusí být jen špionáž. Mezi zkoumanými daty z napadených řídících serverů totiž objevili informace o virtuálních nástrojích pro vzdálené řízení systémů například továren či elektráren.
.
