Útoky začaly 23. prosince loňského roku, kdy nebezpečný vir napadl elektrickou síť v Ivanofrankivské oblasti na jihozápadě Ukrajiny. Více než stovka měst se ponořila do totální tmy, blackout částečně postihl dalších 186 obcí.
Lidé postižení výpadkem proudu se nedovolali ani na zákaznickou linku provozovatele sítě, protože všechny hovory byly blokovány. Než se společnosti Prykarpattya Oblenergo podařilo situaci navrátit do původního stavu, uplynulo několik hodin, popisuje události stanice CNN, podle níž lze hovořit o kybernetické válce.
Na začátku ledna se objevila informace, že výpadek způsobil nebezpečný program BlackEnergy. Podle počítačového experta Romana Pačky je to vlastně trojský kůň, který může stahovat a instalovat další komponenty s ohledem na potřeby útočníka.
„Black Energy představuje nebezpečnou sadu škodlivých nástrojů, která útočníkovi zajišťuje vzdálený přístup k počítačovým systémům, možnost vypnutí kritických systémů či mazání důležitých dat. Dle dostupných analýz byl v tomto případě použit i malware s názvem KillDisk,“ uvedl pro iDNES.cz odborník z Národního centra kybernetické bezpečnosti.
Pracují pro Kreml? Odborníci jsou opatrní
Americká bezpečnostní společnost iSight Partners, která se specializuje na kybernetické hrozby, obvinila z útoku na západě Ukrajiny hackerskou skupinou Sandworm. „Věříme, že Sandworm je odpovědný,“ řekl agentuře Reuters špionážní analytik iSightu John Hultquist. Pro ruskou skupinu pojmenovanou podle písečných červů ze sci-fi románu Duna je podle expertů použití programu BlackEnergy typické.
Podle Pačky se Sandworm zaměřuje na kritickou informační infrastrukturu, především na průmyslové řídicí systémy. Kromě toho se skupina věnuje průmyslové špionáži. „Zdali tato skupina pracuje přímo pro ruskou vládu, se s jistotou určit nedá. Nicméně až nápadně jsou její aktivity téměř vždy v souladu se zájmy státních aktérů vystupujících proti Ukrajině. Co se týče motivace, Sandworm kybernetické útoky většinou provádí kvůli finančnímu obohacení, ale nelze ani vyloučit, že se jedná o patriotické hackery,“ říká Pačka.
Ani západní odborníci si nejsou jistí, že hackeři pracují pro Kreml. „Je to ruský aktér jednající v souladu se zájmy státu. Jestli je nezávislý, nebo ne, nevíme,“ uvedl Hultquist. Do zkoumání útoku v Ivanofrankivské oblasti se nyní zapojili i američtí odborníci z ministerstva vnitřní bezpečnosti, kteří mají na místě pomoci ukrajinským vyšetřovatelům.
Lze očekávat útok na Západě?
Sandworm už v minulosti napadl některé ukrajinské úřady nebo média, útočil ale také v členských zemích NATO a EU. Útoky v USA a v Evropě však nikdy neměly tak ničivé následky jako ty na Ukrajině. Pačka míní, že je to dáno i tím, že malware BlackEnergy nemá jednotnou podobu ani použití.
„Originálně byl vyvinut jako jednoduchý malware k provádění DDoS útoků nebo krádežím osobních údajů. V průběhu času se vyvinul ve špionážní nástroj či prostředek k provádění kybernetických útoků na průmyslová řídící zařízení. Jeho povaha i účel, za jakým jej útočníci používají, se tak mění případ od případu,“ vysvětluje bezpečnostní expert.
Krize na UkrajiněNÁSILÍ NA ŽENÁCH: Školačky spí s vojáky za jídlo DEKOMUNIZACE: Dzeržinsk reptá proti novému jménu JAK SE STAVÍ SEN: Dům jim zbořil šrapnel, do roka postavili nový AVDĚJEVKA: Reportáž z města na bojové linii RECEPTY: Pohankové karbanátky a pořádná porce naděje POROŠENKO: Rusko nás chce hospodářsky udusit KYJEV: Jaceňukova doba hájení skončila PUTIN: Rusy nenecháme na pospas nacionalistům IRONIE OSUDU: Kyjev chce zakázat sovětský symbol Vánoc KRIZE: Válka v Donbasu ohrožuje i české podniky OBCHODNÍ VÁLKA: Ukrajina zavádí embargo na ruské zboží |
Podle jiných odborníků se hackeři při svých operacích na Západě zatím zdráhají zajít příliš daleko. „Bylo by naivní si myslet, že ti samí útočníci nemohou úspěšně fungovat i ve Spojených státech,“ uvedl pro Moscow Times Chris Blask z neziskové společnosti ICS-ISAC zaměřující se na zprávy z oblasti bezpečnosti.
Vzpomínka na Stuxnet
Proti BlackEnergy a tedy i útokům organizace Sandworm se pochopitelně dá do jisté míry bránit. Pačka míní, že například při útoku na ukrajinskou rozvodnou síť selhal lidský faktor při manipulaci s emaily z neznámého zdroje. „Zaměstnanci ukrajinské elektrárny byli nejspíše oklamáni hackery skrze takzvané sociální inženýrství, a tím v podstatě dobrovolně zajistili útočníkům přístup k průmyslovým řídicím systémům, které regulují distribuci elektřiny,“ soudí Pačka.
„Samotný malware pak nebyl ani zdaleka tak složitý a neodhalitelný, pokud jej srovnáme například s nejznámějším malwarem Stuxnet, který také cílil na průmyslové řídicí systémy a měl značný fyzický dopad,“ připomíná Pačka virus, který ochromil íránský jaderný program.
Kromě technologického zabezpečení je proto podle něj potřeba školit zaměstnance v oblasti kybernetické bezpečnosti, aby zodpovědné osoby byly schopny rozeznat podvodné zprávy v kyberprostoru a nenaletět na známé triky.
Zatím poslední útok, ke kterému útočníci použili program BlackEnergy, proběhl před několika dny. Podle ukrajinské protipirátské agentury CERT-UA umístil někdo škodlivý software do počítačových systémů kyjevského mezinárodního letiště Boryspil (více čtete zde).
I v tomto případě je podle Pačky možné, že za útokem stáli hackeři ze skupiny Sandworm. „V útocích na kyjevské letiště bylo jednak opět cíleno na systémy kritické informační infrastruktury Ukrajiny, a jednak byl nejspíše využit malware rodiny Black Energy. Útok tedy splňuje mnoho vlastností, kterými se skupina Sandworm vyznačuje. Spojitost tedy nelze vyloučit,“ dodává bezpečnostní expert.
