Je naivné myslieť si, že Slovenska sa kybernetické útoky netýkajú, hovorí šéf výskumu spoločnosti ESET

Roman Kovac portret

Už dávno neplatí, že pre rozširovanie svojho vplyvu musia štáty vojensky napadnúť ostatné. Dosiahnuť svoje ciele môžu dnes oveľa jednoduchšie, prostredníctvom digitálnych nástrojov. O používaní kybernetických zbraní vládami sme sa porozprávali s Romanom Kováčom, riaditeľom výskumu spoločnosti ESET.

V rozhovore sa dočítate:

  • či sa svet nachádza v kybernetickej vojne,
  • prečo je ťažké dokázať, že za útokom je vláda,
  • prečo je Slovensko zaujímavým terčom kybernetických operácií,
  • a ako pomáha ESET pri odhaľovaní hackerských skupín?

Nachádza sa svet v kybernetickej vojne? Nie je to príliš tvrdé pomenovanie digitálnych konfliktov, ktoré vidíme na medzinárodnej úrovni? 

Neexistuje jasná definícia kybernetickej vojny. Celkovo by som však útoky, o ktorých počúvame z médií nedefinoval ako kybervojnu. Sú totiž všeobecné definície vojny, napríklad, že pri konflikte na danom území zahynie 1 000 ľudí za rok. V takomto zmysle teda kybernetické útoky vojnou nie sú, no niektoré môžu mať parametre, ktoré by sme videli aj v samotnej vojne. Mnohé operácie by som však skôr definoval ako kybernetickú špionáž. Tá tu vždy bola, či už počas konfliktov alebo napríklad počas Studenej vojny, no s technologickým pokrokom vzrástol jej potenciál.

A čo útoky, ktoré cielia na kritickú infraštruktúru štátu a v konečnom dôsledku si môžu vyžiadať obete?

Keď je útokom ohrozený chod krajiny, tak to už má k vojne bližšie. Okrem toho poznáme aj takzvané kyberkinetické útoky, pri ktorých dochádza k zničeniu zariadení, alebo k zraneniam a smrti ľudí. Oficiálne o vojnu možno nejde, štáty sa k takýmto útokom nepriznávajú a často je ťažké s istotou formálne ukázať na utočníka. V klasickej vojne keď vás napadne nejaká krajina, tak väčšinou viete, že ktorá. V kyberpriestore je to však ťažšie, aj keď samozrejme sa dajú nájsť znaky, ktoré niečo naznačujú. Všetky tieto aspekty narúšajú formálnu definíciu vojny v kybernetickom priestore. To, čo často vidíme, by som nazval skôr kyberšpionáž, v niektorých prípadoch až kyberterorizmus. Takže aktuálnu situáciu by som nenazval kybervojnou, ale zároveň ani kybermierom.

Kybernetický priestor označujú popri súši, mori, vzduchu a vesmíre mnohí bezpečnostní analytici za piaty z priestorov, na ktorom sa môže odohrávať vojna. Môžeme čakať, že, práve do online sveta sa bude presúvať čoraz viac konfliktov?

Áno, kybernetický priestor je oficiálne povazovaný za piatu operačnú doménu. Netreba si to však predstavovať tak, že v prípade vojny bude konflikt nutne prebiehať len v kyberpriestore. V niektorých prípadoch to tak síce môže byť, ale pravdepodobne budú tie priestory prepletené. Môže to byť teda kombinácia fyzického konfliktu a konfliktu v kybernetickej rovine, ako to je napríklad na Ukrajine.

Spomínal si, že často je problém s určovaním útočníkov. Ťažko sa totiž dokazuje, že za útokom je nejaká vláda. Keby sa chceme ale baviť konkrétnejšie, určite sú medzi bezpečnostnými expertmi indície o tom, ktoré štáty využívajú kybernetické zbrane najčastejšie.  

V oficiálnych dokumentoch západných vlád sa najčastejšie skloňujú štáty ako Rusko, Čína, Severná Kórea, Irán, Pakistan a podobne. Bolo by však naivné myslieť si, že štáty Severoatlantickej aliancie tiež nezdokonaľujú svoje schopnosti v rámci kybernetickej oblasti. Nemusí ísť pritom nutne o útoky. Kyberpriestor treba chápať aj z hľadiska obrany. Ale vo všeobecnosti nie je ľahké s určitosťou dokázať, že za útokom je nejaká vláda.

Aj keď sa vystopuje z akej krajiny útočníci pochádzajú, je ťažké dokázať, že konajú na popud vlády.

Áno, je to ťažké. Keď sa povie, že za útokom je nejaký štát, nemusí to znamenať, že ho spáchali štátni zamestnanci, ktorí niekde sedia na úrade za počítačmi, aj keď v niekoľkých prípadoch sa to podarilo preukázať. Môže ísť ale aj o skupiny, ktoré buď za peniaze alebo iné protislužby vykonávajú takúto činnosť. Kedysi sa striktnejšie rozlišovalo medzi útokmi zo strany vlád a operáciami zločineckých skupín, ktoré majú ekonomické záujmy. Teraz tá deliaca čiara už však nie je taká jasná. Napríklad nejaká primárne finančne motivovaná operácia iniciovaná zločineckými skupinami nemusí mať formálne nič spoločné s vládou. Ale tej vláde takáto aktivita môže vyhovovať, že niekto vytvára chaos na území druhého štátu. Lebo aj toto je forma boja.

O čo ide štátom, ktoré sa rozhodnú zosnovať kybernetický útok voči inej krajine? Na čo najčastejšie cielia?

V prípade už spomínanej špionáže sú častým cieľom útokov vládne organizácie, typicky ministerstvá zahraničných vecí. Môžu to byť tiež diplomatické misie zasiahnutej krajiny, no takisto môžu byť terčom aj súkromné firmy, napríklad z oblasti zbrojárskeho priemyslu, alebo firmy, ktoré robia nejaký výskum, pracujú na nejakých patentoch, napríklad na vakcínach. Ďalším typom sú útoky na kritickú infraštruktúru, ktoré môžeme jedným slovom nazvať ako sabotáž, alebo kyberterorizmus. Príkladom je napríklad útok na zariadenie v USA, ktoré malo na starosti monitorovanie kvality pitnej vody. Taktiež sme videli útoky na dopravnú infraštruktúru, jadrový program či energetickú sieť. Na Ukrajine takýto útok vyústil do blackoutu.

Zaradil by si medzi kybernetické operácie aj šírenie dezinformácií?

Áno, patria sem aj pokusy o ovplyvňovanie volieb, politiky či nálad v spoločnosti. Niekedy je cieľom takýchto informačných operácií jednoducho destabilizácia danej krajiny. Často netreba ani útočiť v pravom zmysle slova alebo niečo zničiť. Niekedy stačí vytvárať chaos a tým oslabiť protivníka.

Dá sa povedať, že technologický pokrok umožnil presadzovať záujmy niektorých štátov bez použitia hrubej sily efektívnejšie, respektíve lacnejšie?  

Určite áno. V tejto súvislosti sa spomína aj pojem asymetrická vojna. Kedysi by sa postavili proti sebe dve armády, pričom jedna by mala prevahu a ľahko zvíťazila. Kdežto dnes využívanie kyberpriestoru mení situáciu. Aj vojensky menej vybavená krajina dokáže spôsobiť veľké problémy cez kybernetické nástroje a s menšími prostriedkami zasiahnuť silnejšiu stranu na citlivých miestach.

Týkajú sa kybernetické útoky aj Slovenska? Čelíme aj my nejakým operáciám?

Bolo by naivné myslieť si, že Slovensko je nejaká výnimka a povedať si, že nie sme zaujímavým cieľom. Sme členská krajina NATO a Európskej únie, máme prístup k rôznym informáciám a takisto aj nejaký vplyv na to, ako sa budú veci v NATO a EÚ vyvíjať. Je prirodzené, že štáty, ktoré majú záujem o citlivé informácie alebo ovplyvňovanie diania, sa zamerajú aj na menšie krajiny. Aj výročná správa Slovenskej informačnej služby spomínala Rusko a Čínu ako štáty, ktoré majú určité záujmy na Slovensku.

Z technickej stránky, akými nástrojmi zvyčajne zahraniční hackeri útočia na iné štáty? Čo sú tie najpoužívanejšie techniky?

Do veľkej miery ide o úplne bežné techniky, ktoré sa používajú pri bežnom kybernetickom zločine, napríklad obyčajný phishing. Takisto môže ísť o obyčajný prienik do slabo zabezpečenej infraštruktúry, keď sa napríklad útočník dostane dovnútra cez otvorený, slabo zabezpečený RDP prístup na vzdialenú správu. Takéto napohľad jednoduché veci môžu rozhodovať o úspechu útočníka. Na druhej strane však skupiny, ktoré útočia na štáty, majú spravidla väčšie zdroje. Tým pádom môžu mať vo svojom arzenáli aj sofistikovanejšie nástroje, ktoré nie sú bežne dostupné. Môže ísť o rôzne zero-day hrozby, exploity, ktoré využívajú doposiaľ neznáme zraniteľnosti a podobne. Často útočníci využívajú kombináciu techník. Nie je výnimkou vidieť v jednej fáze útoku použitie spomínaného zero-day exploitu a v inej aj bežne dostupného nástroja, ktorého použitie nepôsobí podozrivo.

Poďme sa ešte z technického hľadiska vrátiť k tomu, prečo je také ťažké vystopovať útočníkov, respektíve dokázať im prepojenie na vládu. Dávajú si takýto zločinci mimoriadny pozor, aby po sebe pozametali stopy?

Tie sofistikovanejšie skupiny si určite dávajú pozor. Keď analyzujeme prebiehajúci alebo už ukončený útok, všímame si určité znaky. Napríklad použité nástroje, ktoré môžu byť typické pre nejakú skupinu. Skúmame takisto techniky, procedúry alebo infraštruktúru použitú pri útoku a mnoho ďalších vecí. Každý z týchto znakov možno sám o sebe nehovorí nič, ale keď sa na to pozrieme zo širšia a pospájame si veci dokopy, tak s určitou mierou istoty vieme povedať, že za útokom je táto konkrétna skupina. Takisto berieme do úvahy, či je táto skupina známa útokmi na daný typ cieľa alebo či má na takýto útok motív a podobne.

Aké znaky bezpečnostní experti skúmajú vedia asi aj samotní útočníci.   

Presne tak, a preto často tieto znaky zneužívajú. Hovoríme tomu falošné stopy. Aby sa kamuflovali, môžu napríklad pri špecifickom útoku použiť nástroj, ktorý nikdy predtým nepoužili, ale je príznačný pre inú skupinu. Takto sa pokúšajú zmiasť analytikov. Iným príkladom môže byť využitie jazyka. Napríklad v malvéri vidíme čínske znaky. Znamená to však, že útočníkmi sú Číňania? Alebo ide o skupinu z inej krajiny, ktorá čínske znaky využíva na zmätenie? Práve to sú tie falošné stopy, ktoré komplikujú určovanie útočníkov.

Medzinárodné hackerské skupiny analyzujú aj výskumníci spoločnosti ESET. Pomohli jej aktivity k dolapeniu páchateľov?

Áno, napríklad pri rozsiahlej operácii Windigo z roku 2014, ktorá útočila na 500-tisíc počítačov denne a zneužila na to 25-tisíc serverov. Na odhalení sme pracovali aj s ďalšími európskymi expertmi.  V tomto prípade dokonca došlo k obvineniu aj odsúdeniu človeka, ktorý stál za útokmi. Často spolupracujeme s bezpečnostnými zložkami pri vyšetrovaní útokov. Nezdieľame pritom údaje o našich používateľoch, ale často napríklad naša vedomosť o infraštruktúre útočníkov, využívaných serveroch, dátach z botnetov, IP adresách, doménach a podobne môže prispieť k oficiálnemu vyšetrovaniu, ktoré vyústi buď do obmedzenia funkčnosti botnetu, rozpustenia skupiny, alebo v niektorých prípadoch aj do obvinenia konkrétnych ľudí.

Výskumníci spoločnosti ESET sa zaoberali aj skupinu Sandworm, ktorá bola za spomínaným kybernetickým útokom na Ukrajine z roku 2015, pri ktorom zostalo štvrť milióna ľudí odrezaných od elektriny.

V prípade aktivít skupiny Sandworm boli zo strany Spojených štátov obvinené aj konkrétne osoby, šesť ruských občanov. ESET síce priamo na tomto vyšetrovaní neparticipoval, no k aktivitám danej skupiny sme v minulosti publikovali veľa výskumných materiálov, ktoré mohli byť nápomocné pri vyšetrovaní, alebo pochopení ich aktivít.

Nesnažia sa kybernetickí zločinci demotivovať alebo pomstiť výskumníkom spoločnosti ESET, ktorí odhaľujú ich aktivity?

V prípade bežného kyberzločinu nachádzame rôzne odkazy, často aj priamo v malvéri, kde autori priamo umiestňujú správy ESET-u. Niekedy ide o prejavy frustrácie z toho, ako im ideme po krku. Nachádzame ale aj úsmevné odkazy typu „Good job, ESET“, ktoré vyjadrujú obdiv.

Čo by si na záver odporúčal slovenskej vláde, alebo aj vládam vo všeobecnosti, aby si mohli byť isté, že sa nestanú terčom kybernetického útoku?

Istý si nemôže byť nikto, lebo tie záujmy štátov a skupín tu sú, vždy boli aj budú. Podstatná je snaha riziko prípadného úspešného útoku minimalizovať. Vládam by som v prvom rade odporúčal to, čo aj každej malej či veľkej firme – brať digitálnu bezpečnosť vážne a neustále pracovať na zlepšovaní ochrany. To zahŕňa širokú škálu opatrení. Medzi tie technické patrí správna konfigurácia IT infraštruktúry, segmentácia siete, používanie dvojfaktorovej autentifikácie pri prístupe zvonku. Internetu by mali byť vystavené iba nevyhnutné veci a takisto by sa nemal všade používať administrátorský účet a podobne. Toto sú len príklady bežných opatrení, ktoré majú všetky organizácie vo svojich rukách. Veľmi dôležité je aj monitorovanie stavu a vyhodnocovanie podozrivých udalostí a aktivít. Takisto by sa nemalo zabúdať na vzdelávanie zamestnancov, šírenie povedomia o hrozbách, lebo často je najslabším článkom zabezpečenia práve človek. Opatrenia pritom nestačí aplikovať iba raz, je potrebný systematický prístup.