Německému listu Süddeutsche Zeitung se podařilo získat software pověstné ruské hackerské skupiny APT28. Cílem jejích útoků se v minulosti stal Spolkový sněm, e-maily amerických demokratů během prezidentských voleb ve Spojených státech a podle některých zdrojů stojí i za lednovým napadením polského ministerstva zahraničí.

6:00 23. února 2017 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Špionážní software se jmenuje X-Agent a po napadení sítě umožňuje útočníkovi zjistit, co uživatel zadává přes klávesnici do počítače. Zdrojový kód softwaru znají v současnosti kromě odborníků z virové laboratoře Eset nejspíš jen ukrajinští hackeři, kteří si říkají The Cyber Alliance nebo RUhate čili „Nesnášíme Rusko.“ Právě ti ho poskytli německému listu.

Výrobce antivirů Eset získal zdrojový kód softwaru náhodou na jednom serveru. Hackeři skupiny APT ho tam zřejmě nechali z nedbalosti. Jméno skupiny APT je odvozené od zkratky výrazu Advanced Persistent Threat (v překladu pokročilá vytrvalá hrozba). Pevně se usadí v síti a je těžké se jí zbavit.

Má skupina měla kontakty s ruskou tajnou službou, tvrdí ruský hacker. V Tallinnu žádá o azyl

Číst článek

Odborníci z Esetu zdůrazňují, že software X-Agent sám o sobě nestačí k tomu, abychom mohli minulé i budoucí útoky připsat právě skupině APT28. Podle nich by to byl příliš slabý důkaz. Také Andreas Bogk z hackerské asociace Chaos Computer Club říká, že díky znalosti kódu bude jen snazší ruský software napodobit.

Leaked Google report shows how much the tech giant knows about RUSSIAN hackers b4 DNC hack #CyberSec
https://t.co/M13yX8JsEz via @IBTimesUK

— Kak Midah (@kakmidah) 16. února 2017

V patách oběti, pak zamést stopy

Jak takový hackerský útok probíhá, přibližuje ve své zprávě Spolkový úřad pro bezpečnost informační techniky. Hackeři nejprve vypátrají oběť, pak infikují její síť a nakonec ji sledují. Pachatelé putují od jedné sítě ke druhé, sbírají informace a posílají je na vlastní server. V posledním kroku za sebou zametou stopy. To se dá udělat na příklad tak, že svůj software z napadené sítě zase odinstalují.

Jenže zdrojový kód škodlivého softwaru je jen jedním ze šestnácti faktorů, které při útoku hrají určitou roli. Dále se analyzují například informace o serverech, na které hackeři ukořistěná data ukládají. Vyšetřovatelé sbírají takové informace i celé roky. Pokud by se shromažďovala data o útocích izolovaně, nebyla by k ničemu. Teprve když se propojí, je možné připsat útok jedné konkrétní skupině.

Některé IT bezpečnostní firmy shromažďují informace o skupině APT28 už deset let. Analytici doufají, že díky takovému množství materiálu se jim podaří rozpoznat případný útok vedený pod cizí vlajkou. Je totiž možné, že hackeři, kteří ke skupině APT28 nepatří, za sebou ponechají falešné stopy, aby skryli svou identitu. Teď, když odborníci znají zdrojový kód a software skupiny, bude snazší tyto falešné stopy demaskovat, píše německý list.

Proč metody, které jsou dávno známé?

Jenže kybernetické útoky mají několik fází a špionážní softwary, jako je X-Agent, jsou jen jedním stupněm útoku. Proč ale hackeři používají metody, které jsou dávno známé? Odpověď je jednoduchá: Ještě stále se proti nim neumíme účinně bránit. Vysoká úspěšnost útoků proto hackery nenutí, aby vyvíjeli nové metody.

Info.cz: hackeři útočili na ministerstvo zahraničí rok a ukradli přes 7000 dokumentů

Číst článek

Firmy a úřady, které útoky analyzují, zveřejňují jen malou část svých zjištění, aby útočníkům nedávaly šanci se přizpůsobit. Vedle všech technických detailů odborníci zkoumají také to, komu může útok ze strategických důvodů posloužit. Na příklad skupina APT28 zatím vždy sloužila Rusku – až doposud útočila na ruské disidenty, šéfy ukrajinské policie, členy NATO a Organizaci pro bezpečnost a spolupráci v Evropě.

How to avoid being infected by X-Agent Mac malware created by Fancy Bear Russian hackers https://t.co/vQ8iOPz2JM pic.twitter.com/T5puaifcIn

— NinjaCat (@ninjacat_en) 22. února 2017

Ukrajinští hackeři, kteří německému listu poskytli škodlivý software, vycházejí z toho, že smyslem útoků nebyla jen špionáž, ale také kyberkriminalita. Spolkový úřad pro bezpečnost informační techniky o tom sice pochybuje, ale nevylučuje, že stejní pachatelé mohli s pomocí jiného softwaru páchat i nepolitické útoky, aby se dostali k penězům.

Takové domněnky nás přivádějí hned k další otázce. Proč si hackeři najatí státem vybírají své protihráče podle finančního hlediska? Německé úřady se domnívají, že ruské hackery ve skutečnosti nezaměstnává stát, ale že jsou najímaní na zakázku, uzavírá Süddeutsche Zeitung.

Text vznikl pro pořad Svět ve 20 minutách Českého rozhlasu Plus.

Petra Kultová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít