Jaro v kybernetické bezpečnosti

Březen: nová phishingová technika Browser-in-the-Broswer

Březen nijak výrazně nevybočoval z běžných statistik, přinesl však novinku v oblasti phishingových technik: techniku Browser-in-the-Broswer, která dělá phishing obtížně rozeznatelným. Tato technika míří na odcizení přihlašovacích údajů.

V současné době není výjimkou, kdy uživatel k ověření své identity na webové stránce či e-shopu využije svůj účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna je možné připravit přesvědčivý phishingový útok.

V běžném případě by se uživateli po kliknutí na přihlášení do vybrané aplikace otevřelo nové okno prohlížeče s polem pro přihlašovací údaje k jeho účtu. V případě Browser-in-the-Browser se ale po kliknutí otevře falešné přihlašovací okno, které imituje podobu a chování prohlížeče. Pokud oběť přihlašovací údaje vyplní, dostane je útočník.

Duben: výrazný nárůst incidentů kvůli ruským hackerům

Duben se stal měsícem s druhým nejvyšším počtem incidentů za posledních dvanáct měsíců. Nárůst incidentů je především důsledkem činnosti ruskojazyčné hacktivistické skupiny Killnet. Útoky zřejmě souvisí s českou podporou Ukrajiny. Killnet je ruskojazyčná skupina, která podle svých vyjádření podporuje Ruskou federaci. Celkově se jednalo o méně sofistikované útoky, které způsobily nedostupnost webových stránek. Motivací Killnetu bylo pravděpodobně způsobit reputační škody.

NÚKIB na zvýšené riziko kyberútoků upozorňuje od začátku ruské agrese; 25. února vydal Varování, které mimo jiné obsahuje i celou řadu preventivních i reaktivních opatření proti DDoS útokům. Vzhledem k tomu, že je velmi pravděpodobné, že se válka na Ukrajině bude v kybernetickém světě dotýkat ČR i nadále, na varování znovu upozorňujeme a doporučujeme všem organizacím, aby zmíněná doporučení včas implementovaly.

Dvě třetiny dubnových incidentů ovšem měly významné dopady. Promítly se do nich především DDoS útoky (tedy útoky vyřazující z provozu webové stránky), které mířily i na důležité státní instituce. Jeden incident NÚKIB dokonce zařadil do kategorie podvodů. Útočníci pravděpodobně kompromitovali e-mailový účet zaměstnance významné státní instituce a rozesílali z něj phishingové e-maily s diplomatickou tématikou dalším vládním organizacím evropských zemí.

Květen: špatné zabezpečení dodavatelských přístupů a významný útok na státní instituci

Počet kybernetických incidentů se po předchozím rušném měsíci vrátil do průměrných hodnot. Jejich závažnost nicméně byla relativně vysoká. Květnové incidenty poznamenalo špatné zabezpečení na straně dodavatelů, kterého útočníci zneužili jako vstupního bodu do sítí obětí. Organizace často poskytují dodavatelům přístup do svých systémů, aby je mohli spravovat. Dodavatelé mohou mít přístup do sítí zákazníků například skrze VPN. Útočníci těchto přístupů zneužívají, aby přes ně kompromitovali systémy zamýšlených obětí – tedy jejich klientů („Trusted relationships“ technika). Pokud dodavatel přístupy do sítí svých klientů nezabezpečí, pro útočníky to může být nejsnadnější cesta dovnitř. Proto by organizace pro všechny vzdálené přístupy měly vyžadovat:

• dvoufaktorovou autentizaci,
• princip nejnižšího možného oprávnění,
• u nejdůležitějších systémů i whitelisting (strategie kybernetické bezpečnosti, v jejímž rámci může uživatel na svém počítači provádět pouze akce, které správce předem výslovně povolil),
• segmentace sítě tak, aby komponenty v infrastruktuře, které nevyžadují plošné přístupy, byly izolovány,
• přijmout vhodná organizační bezpečnostní opatření v podobě řízení dodavatelů.

V květnu byla zaznamenána nová zranitelnost CVE2022-30190, známá jako „Follina“. Zranitelnost se dotýká balíku Microsoft Office a útočníci skrze ni mohou spustit škodlivý kód, aniž by oběť povolila makra. Zjednodušeně řečeno stačí, aby oběť jen otevřela škodlivý dokument Word, a útočníci získají vzdálený přístup k počítači, který mohou zcela ovládnout. Zranitelnost začaly po celém světě ihned zneužívat hackerské skupiny.

Po třech měsících se v kybernetických incidentech znovu objevil i velmi významný incident. Útočníkům se podařilo kompromitovat síť s kritickými systémy, znemožnit napadené organizaci vykonávat svou funkci a způsobit jí plošné škody. Dle souvisejících informací v médiích by se jednat o kauzu Ředitelství silnic a dálnic ČR.

Nejzávažnější z květnových phishingových útoků byla kampaň proti klientům jedné z českých bank. Útočníci se skrze podvodné sms a e-maily snažili získat přístup do jejich internetového bankovnictví a z něj pak převést peníze. Útočníci přesvědčovali klienty banky k otevření škodlivého odkazu tvrzením, že jejich účet byl zablokován a pro odblokování se musí znovu přihlásit.