Slovenská společnost ESET v posledních dnech objevila a analyzovala několik druhů malwarů, které byly nasazeny na Ukrajině. Byť firma sama tyto kybernetické útoky nikomu nepřiřazuje, náznaky říkají, že byly součástí ruské vojenské invaze.
Viry HermeticWiper a trio HermeticWizard, HermeticRansom a IsaacWiper nejsou nijak sofistikované a lze usuzovat, že měly být součástí bleskové akce, která se ovšem Rusům nezdařila. Zapojení kybernetických aktivit mimo jiné ukazuje, jak úzce je dnes konvenční válčení spojené s počítačovým.
Michal Cebák je vedoucí malwarových laboratoří ESETu v Brně. Je součástí týmu, který malware nasazený na Ukrajině analyzoval. V rozhovoru pro Lupu rozebírá některé detaily.
Firma také situaci na Ukrajině popisuje v podcastu. ESET se zároveň připojil k západním IT společnostem, jež do Ruska a Běloruska přestaly dodávat své technologie.
První malware na Ukrajině jste odhalili krátce před ruskou invazí. Při analýze ale bylo zjištěno, že tento malware byl stejně jako ty následující šířený už dříve. Co z toho lze vyvozovat?
Tyto útoky jsme ještě žádnému aktérovi nepřiřadili, takže neříkáme, že jsou součástí ruské invaze. Jsou zde ale signály, na základě kterých lze odhadovat, že tento malware mohl být součástí takzvané „palebné přípravy“.
Před začátkem invaze jsme zaznamenali útok na digitální infrastrukturu Ukrajiny. V dnešní době by to šlo považovat za součást válečné přípravy. Ostatně útok na moderní stát si dnes bez digitálních aktivit ani nedokážu představit. Pokud by takový útok byl správně provedený a zasáhl kritickou infrastrukturu, mohl by v úvodní fázi napáchat srovnatelné škody jako konvenční armáda.
Těch několik malwarů, které jste na Ukrajině našli, nemělo takový dopad?
Na závěry je ještě brzy, situaci pořád analyzujeme, vyšetřování probíhá, ale podle toho, jak se situace vyvíjí, to asi nedopadlo tak, jak si útočníci představovali.
Nejdříve jste detekovali HermeticWiper, který zasáhl stovky zařízení. Co to bylo za stroje?
Nemůžeme jít do detailů, ale jde o komerční i státní subjekty na Ukrajině. Také ještě probíhá šetření. Některé cíle sice vidíme, ale mohou být schované za VPN a podobně.
Co HermeticWiper dělá?
Cílem malwaru je zneškodnit digitální infrastrukturu na Ukrajině. Nebylo třeba vymýšlet nic sofistikovaného jako ransomware, zobrazování reklam a podobně. HermeticWiper má počítače uvést do takového stavu, aby s nimi nebylo možné pracovat – smazat data a zamezit bootování do systému.
HermeticWiper například přepíše Master Boot Record. Po restartu tedy systém nenastartuje. Zřejmě se počítalo s rychlým útokem. Než by tedy došlo k obnovení záloh a podobně, měla být operace hotová.
Což tedy opět může poukazovat, že tento malware má původ v Rusku.
Základem dnešního fungování je komunikace. Věříme tomu, že cílem bylo vyřadit systémy z provozu, a to relativně primitivním způsobem. Cílem HermeticWiperu i dalších odhalených malwarů nebyla monetizace, ale sáhlo se k destruktivní metodě. To opět leccos naznačuje. Opět nechceme říkat, že za tím stojí Rusko, ale vždy máme určitou rovnici počítající s motivací. Pokud je absence monetizace, nabízí se špionáž, destrukce, sabotáž a podobně.
Může tomu naznačovat i to, že objevený malware nevycházel z jiných malwarů, a byl tedy psaný pro jeden konkrétní účel?
Náznaky zde jsou. Pokud byste použili kus kódu, který byl už byl někde nasazený, díky naší telemetrii a detekčním algoritmům bychom mohli malware objevit dříve. Útočníci se snažili předejít brzké detekci.
Jak jste se dostali k detekci ukrajinských virů?
Částečně je to naší působností na trhu, kde jsme dlouhodobě, a částečně dílem bezpečnostní komunity, se kterou spolupracujeme všude na světě.
Jak se malwary na dané počítače dostaly?
Domníváme se, že útočníci měli přístup do sítí. HermeticWiper se nasazoval přes Group Policy. Útočníci pravděpodobně ovládali server s Active Directory. To na celé akci byla pravděpodobně složitější část operace než malware jako takový.
Jak se útočníci k těmto serverům dostali?
To bohužel zatím nevíme, ale vyšetřování stále probíhá. Mohlo jít o infiltraci jiným malwarem, který zajistí přístup do sítě a ovládnutí Active Directory. Také to může být osoba zevnitř. Vodítko ale nemáme.
Obecně se dá říci, že zabezpečení státní správy ve střední a východní Evropě není dobré. Řešili jsme několik případů v Česku, nemohu mluvit o detailech, ale zabezpečení bylo v několika případech skutečně slabé.
V případě Ukrajiny se zdá, že útočník mohl mít do systémů přístup měsíce, choval se nepozorovaně a čekal, až bude moci „zmáčknout tlačítko“. Je pravděpodobné, že je podobný malware schovaný v infrastruktuře dalších států, včetně Česka?
Divil bych se, kdyby tomu tak nebylo. Špionáž mezi státy je běžná věc a dochází k ní všude. Zároveň je ale otázka, o jak agresivní malware by se jednalo. Jedna věc je odposlouchávání komunikace, druhá destrukce. A samozřejmě velkou roli hraje i bezpečnostní strategie, úroveň odbornosti a pečlivost personálu.
Jak ukrajinské instituce popisovaný útok zvládly?
Můžeme vycházet z toho, co jsme viděli v následujících dnech. Žádná zásadní škoda na infrastruktuře nenastala. Asi nějaké škody byly, ale žádné, které by měly dopad na fungování státu. Komunikaci a podobně se dařilo držet online.
Kromě HermeticWiperu jste objevili IsaacWiper, jehož úkolem je rovněž mazání dat. Ten také v síti vyčkával delší dobu?
IsaacWiper jsme objevili den po HermeticWiperu, tedy 24. února. Princip nasazení byl podobný. Nyní nejsme stoprocentně schopní říct, zda u IsaacWiperu došlo ke kompromitaci až po invazi.
Jak se oba wipery lišily na technické úrovni?
Liší se od kódové úrovně. IsaacWiper není varianta HermeticWiperu a zřejmě na tom dělaly odlišné skupiny. Byly to pravděpodobně jiné týmy pracující na stejném úkolu.
Kolik toho IsaacWiper zasáhl?
Takový zásah jako u kolegy to nebyl. IsaacWiper je primitivnější. Hned 25. února jsme zaznamenali novou verzi obsahující debug logování, a to kvůli tomu, že se některé počítače nepodařilo vymazat.
Wipery poté vymazaly samy sebe tím, že přepsaly soubor náhodnými bajty. Kvůli čemu?
HermeticWiper ano, u IsaacWiperu ještě nevíme. Cílem wiperu také bylo to, aby zamezil zpětné analýze dat a obnově přímo z disku. Pokud uživatel smaže soubor tlačítkem Delete, na disku zůstává a je pouze smazán jeho záznam v NTFS. Wiper proto přepisuje součásti Windows, aby nebylo možné provést analýzu a obnovu. To nám komplikuje reverzní inženýrství. Chybí nám střípky, které nám pomohou dát dohromady celý kontext.
Dále jste objevili HermeticWizard. Ten měl za úkol distribuovat malware po síti?
Ano, Wizard provádí šíření po síti a nese samotný Wiper. Šíří se přes SMB a WMI, k tomu „dropne“ dva DLL soubory. Zkouší tyto dva způsoby a osahává si síť. Používá RemCom a Impacket, což je veřejně dostupný nástroj pro manipulaci se síťovými protokoly. Wizard tedy logicky musel být nasazený jako první, šlo o původní nosič.
Jak je možné nedetekovat nástroj, který mi v síti skenuje porty a podobně?
Jde o nedokonalé zabezpečení sítě. Existuje několik softwarů pro vytváření pravidel, které přesně tyto anomálie detekují. Takže buď takový software v napadených organizacích na Ukrajině nepoužívali, nebo nastavená pravidla byla vágní. Také varování mohli zaznamenat, ale ignorovali ho, pak by šlo o selhání lidského faktoru.
Kybernetická bezpečnost je často upozaděna. Spousta organizací si raději zaplatí vrátného, než aby probíhala investice do ochrany IT. Rozpočty jsou nízké. Lidé, kteří mají kybernetickou bezpečnost na starost, jsou často dobří, ale mají na zabezpečení málo peněz.
Objevili jste ještě něco zajímavého?
Zarážející je také další věc. Windows 10 od určité doby vyžadují, aby ovladače byly podepsané Microsoftem. Je tedy otázkou, jak na tom napadené systémy byly. Zda měly starší systém než Windows 10, nebo instalace desítek neměly aktualizace.
V případě Česka se NÚKIB snaží nastavovat procesy a pravidla a je tady zákon o kybernetické bezpečnosti.
NÚKIB má metodiky nastavené docela dobře. Přijedou do dané organizace, provedou kontrolu a vše vysvětlí. Otázkou ale je následná kontrola a vymahatelnost, pokud by někdo ta doporučení nerespektoval.
Dále jste objevili HermeticRansom, tedy ransomware. Ten měl sloužit jako zastírací manévr?
Ransomware byl nasazený bokem a byl napsán v jiném jazyce, konkrétně v Go. Aplikace napsané v tomto jazyce je mimochodem peklo zpětně analyzovat. Domníváme se, že šlo o zástěrku. Že nebylo cílem vydírání, ale šlo o vějičku. Pokud by v síti došlo k podezření na nekalou činnost, správci sítě by se začali zabývat ransomwarem, ale wiper by mezitím prováděl operaci a destruktivní část. Ke škodám v případě Ransomu nedošlo. Vzorky HermeticRansom už se objevily na VirusTotalu a je možné, že jeho části někdo dál využije.
Malwary označené jako Hermetic byly podepsány certifikátem firmy Hermetic Digital. Jak to proběhlo?
Tyto podpisy byly včetně kontrasignace. Jednou variantou je, že došlo ke krádeži certifikátů společnosti Hermetica Digital, druhou možnost, že se útočníci vydávali za pracovníky Hermetica Digital a použitý certifikát si nechali podepsat. Certifikační autorita se nechala obalamutit a certifikát poskytla. Je to odvážná taktika, ale mohla vyjít. Vyjádření Hermetica Digital a DigiCertu jsem neviděl. Požádali jsme o zneplatnění certifikátu.
Několikrát zaznělo, že popisovaný malware je poměrně primitivní. Je důvodem to, že není třeba, aby byl přehnaně sofistikovaný?
Ano, větší sofistikovanost není potřeba. Nejtěžším úkolem na celé akci nebylo napsat malware, ale dostat se do sítě, nepozorovaně tam zůstat a získat certifikát. Malware není zcela triviální, ale APT jsou zcela jiná úroveň.
Anonymous v posledních dnech informují o tom, jak napadli ruské televize, satelity a podobně. Ověřování je ale těžké. Jak moc jsou takové akce reálné?
Částečně reálné mohou být. Anonymous je více nezávisle působících skupin a jde o nadšence. Informace se těžko ověřují. Z některých účtů je patrné, že útoky probíhají, ale existuje i řada falešných prohlášení. Jedna z falešných informací byla, že ovládli ruskou banku a že budou odesílat peníze. Napadení státních televizi nebo chvilkově satelitů je možné. Ale takové odstavení není trvalé. Útoky lze zařadit do kategorie otravných.
Nám se také těžko ověřuje dostupnost stránek, protože Rusové blokují přístup z evropských zemí. Nám se stránka může jevit jako nedostupná, ale může to být záměrné. Běžný člověk si řekne, že RT.com je odstavená, protože ji sundali Anonymous, ale stránka se neotevře, protože je odstavená z Evropy. Z Ruska či Brazílie se otevře.
Objevovaly se také zprávy, že se útočníci dostali do energetické soustavy Ruska a vyhrožovali, že v případě útoků sítě vypnou. Je to vzhledem k ostrovním instalacím těchto systémů a podobně reálné?
Není to nereálné. Na Ukrajině například úspěšně působil malware BlackEnergy, který napadl ukrajinské elektrárny. Jde o jiný typ útoků než HermeticWiper. U Industroyeru, který byl navržen tak, aby přerušil procesy v rámci průmyslových řídicích systémů ICS, především v elektrických rozvodnách, zase došlo k manipulaci s fyzickými jednotkami a není to pouze na úrovni manipulace x86 počítači.
Takže například nějaké státem sponzorované útočné skupiny asi na nějakou takovou akci mají schopnosti, ale dosáhnout něčeho, aby to mělo vliv na válku, mi přijde málo pravděpodobné. Taková operace vyžaduje spoustu času a „klid“. Oboje teď chybí.
Během invaze na Ukrajinu se objevily stránky, které automatizovaně provádí DDoS útoky. Jak se k tomu stavíte?
Analyzovali jsme jich několik z pohledu bezpečnosti a nic problematického jsme nenašli. Stránky to nutně neshazuje. Z Česka se mohly jevit nedostupné, ale přes VPN z Brazílie to fungovalo normálně. Je to spíše happening. Právně je to šedá zóna.
ČLÁNKY DO MAILU