NÚKIB varuje: České republice hrozí kyberšpionáž či ransomwarové útoky

30. 01. 202220:52
NÚKIB varuje: České republice hrozí kyberšpionáž či ransomwarové útoky
foto: Patrik Pašek, PrahaIN.cz/Bezpečnost a jednoduchost bankovní identity objevuje stále více čechů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) přišel v pátek s varováním. Díky situaci na východě Evropy, zejména na Ukrajině, údajně hrozí České republice a tuzemským subjektům riziko kyberšpionáží či ransomwarových útoků.

Aktivity proti České republice prý mohou mít podobu kyberšpionážních operací ze strany cizí moci, destruktivních útoků směřovaných vůči narušení důvěrnosti a dostupnosti dat (ransomware či datový wiper) provedených kyberkriminálními aktéry a dezinformačních operací, které jsou podpořeny aktivitami v kyberprostoru.

Strategické státní instituce a infrastruktura

V pozoru by měly být strategické státní instituce, informační infrastruktura, ale také média. „Vzhledem ke zvýšenému riziku útoků doporučujeme věnovat pozornost devatenácti technikám útoku a dále čtrnácti nejčastěji zneužívaným zranitelnostem,“ upozorňuje NÚKIB. Paralýza daných sektorů výrazně snižuje efektivní schopnost se bránit ve fyzické doméně a může eventuálně vést k celospolečenským dopadům.

Analýza, kterou úřad vydal, vychází z veřejně dostupných zdrojů a dále z informací získaných v rámci činnosti úřadu. Jedná se o analýzu kybernetické bezpečnosti z pohledu NÚKIB na základě jemu dostupných informací.

Zvýšené riziko

Podle NÚKIBu se riziko škodlivých aktivit v kyberprostoru zvyšuje postupně spolu s rostoucím napětím ve východní Evropě. Aktuálně se jedná o vyhrocenou situaci na hranicích Ukrajiny a Ruska, ale také o problémy v Bělorusku a na hranicích NATO a Ruska v oblasti Litvy, Lotyšska a Estonska.

Východ Evropy a útoky

Úřad upozorňuje, že pokud budou problémy i nadále eskalovat, znamená to riziko i pro Českou republiku. Útok zaznamenala v polovině ledna Ukrajina, stala se obětí datového wiperu, jenž se maskoval jako ransomware. Útok prý mohl usilovat o paralýzu strategických institucí. Stala se také obětí takzvaného defacementu, což znamená že útočník nahradí původní originální obsah webových stránek novým.

Analýza dále uvádí, že Varšava, Vilnius, Riga a Kyjev se stávají cílem dezinformační kampaně Ghostwriter.

Jak jsme psali výše, ohroženy jsou zejména strategické státní organizace, zejména pak ty, které řeší obranu státu a zahraniční politiku. Největším rizikem pro tyto instituce je kyberšpionáž, neboli získávání strategicky citlivých či důležitých informací od jednotlivců nebo organizací za použití či cílení prostředků IT. Používá se nejčastěji v kontextu získávání politické, ekonomické nebo vojenské převahy.

Médiím pak hrozí DDoS útoky a defecement.

Katastrofální dopady by zejména teď v zimě mohlo mít ohrožení základní energetické infrastruktury. Někteří aktéři totiž dokáží napadnout a provádět destruktivní útoky průmyslovým řídícím systémům. 

NEJČASTĚJŠÍ TECHNIKY VYUŽÍVANÉ ŠKODLIVÝMI AKTÉRY V KYBERPROSTORU

T1059 (Command and Scripting Interpreter): Zneužití příkazové řádky ke spuštění škodlivého kódu

T1218 (Signed Binary Proxy Execution): Zneužití legitimních binárních souborů k proxy spuštění škodlivého kódu.

 T1543 (Create or Modify System Process): Zneužití možnosti vytvořit nebo upravit procesy na úrovni operačního systému k opakovanému spuštění škodlivého kódu.

T1053 (Scheduled Task/Job): Zneužití plánování úloh k prvotnímu či opakujícímu se spuštění škodlivého kódu.

 T1003 (OS Credential Dumping): Pokus o vypsání přihlašovacích údajů kvůli získání údajů k účtu z OS a softwaru.

T1055 (Process Injection): Vložení škodlivého kódu do legitimního procesu, a to zejména kvůli vyhnutí se odhalení.

T1027 (Obfuscated Files or Information): Snaha ztížit detekci či analýzu škodlivého souboru zašifrováním nebo zaheslováním.

T1105 (Ingress Tool Transfer): Přesunutí nástrojů či dalších souborů útočníkem z externího do kompromitovaného systému.

T1569 (System Services): Zneužití legitimních systémových služeb nebo daemonů ke spuštění škodlivého kódu či programu.

T1036 (Masquerading): Snaha upravit škodlivý kód a soubory, aby je bezpečnostní nástroje považovaly za legitimní nebo neškodné.

T1486 (Data Encrypted for Impact): Zašifrování dat na cílovém systému pomocí ransomwaru.

T1082 (System Information Discovery): Pokus o zisk detailních informací o OS a hardwaru.

T1497 (Virtualization/Sandbox Evasion): Prostředky využité pro detekci a vyhnutí se virtualizačnímu či analytickému prostředí.

T1566 (Phishing): Phishingové e-maily, jež mohou obsahovat škodlivou přílohu v podobě odkazu či přiloženého dokumentu.

T1078 (Valid Accounts): Zneužití legitimních uživatelských účtů, které útočník napadl (např. znalost či krádež přihlašovacích údajů).

T1190 (Exploit Public-Facing Application): Zneužití zranitelností aplikací či programů otevřených do sítě Internet.

T1133 (External Remote Services): Zneužití vzdálených služeb (např. VPN) k získání prvotního přístupu.

T1595 (Active Scanning): Aktivní skenování IP rozsahů a zranitelných systémů.

T1110 (Brute Force): Využívání hrubé síly za účelem získání přístupu k účtům, když hesla nejsou známá nebo jsou získány jejich hashe.

 

Tagy

Speciály

Kudy kráčel zločin
Tajnosti slavných