Úder odvrácené straně. Češi pomohli hacknout hackery

Česko má šanci stát se lídrem v kybernetické bezpečnosti, připsalo si první velký zářez. Podílelo se na odhalení rozsáhlé hackerské sítě.

Tým Avastu a ČVÚT
Tým Avastu a ČVÚT | Archiv Avast

Tato zpráva v kyberprostoru sklidila jedničky. Práce týmu pražského ČVUT, argentinské UNCUYO University a antivirové společnosti Avast pomohla odhalit organizovanou skupinu hackerů, která si vybudovala přístup k milionům eur na zhruba 800 tisících ruských bankovních účtech a od roku 2016 je klientům také luxovala. Výzkumníci před nedávnem studii popisující odhalení odprezentovali na londýnské konferenci Virus Bulletin.

Zároveň jde o nejvýznamnější počin ve spolupráci mezi Avastem a ČVUT, kde se nyní otevírají nové možnosti. Startuje projekt laboratoře Avast AI and Cybersecurity Laboratory (AAICL) se sídlem na Fakultě elektrotechnické (FEL) ČVUT a Avast ho podpoří v následujících pěti letech jedním milionem dolarů.

Jak hacknout hackery

Podívejme se blíže na to, jak se týmu podařilo těžko odhalitelný vir zvaný botnet vypátrat. Počáteční infekce přišla lidem do telefonů formou nakažených aplikací – útočníci si vzali legitimní aplikace z obchodu Google Play a upravili kód tak, aby mohli přidat škodlivé funkce, které si uživatelé nevědomky stáhli. V tomto konkrétním případě botnet skupiny Geost na dálku ovládal složitou infrastrukturu infikovaných telefonů s operačním systémem Android. Útočníci na těchto telefonech mohli číst a posílat SMS, komunikovat s bankami a přesměrovávat uživatele na jiné weby.

Hackery se podařilo vypátrat paradoxně proto, že sami udělali několik bezpečnostních chyb. Zapomněli zašifrovat řídicí servery, opakovaně používali určité bezpečnostní služby, důvěřovali dalším útočníkům, kteří si na své postupy dávali ještě menší pozor a nešifrovali své online konverzace.

„Dostalo se nám nevídaného pohledu na to, jak podobné operace fungují,“ popisuje Anna Shirokova, výzkumnice v Avastu, která pomohla kriminální skupinu odhalit. „Díky tomu, že si tato skupina nedávala příliš pozor na ukrývání svých aktivit, jsme se dostali nejen ke vzorkům malwaru, ale také jsme dokázali podrobně prozkoumat, jak celá operace funguje,“ doplnila.

Nejzranitelnější IoT zařízení v Česku
Nejzranitelnější IoT zařízení v Česku

Získané záznamy z chatů poskytují i náhled do duše členů rozsáhlé zločinecké skupiny. Jeden z nich byl třeba demotivovaný a kolega na něj pod příslibem odměny tlačil, aby pokračoval: „Alexandře, když jsme na tom spolu začali, tak to musíme dokončit. Vždyť to funguje a může nám to vydělat peníze!“ Ničemu to ale nepomůže, protože demotivovaný člen odpoví: „Přemýšlel jsem nad tím, ale už do toho dál nepůjdu.“

Tým Avastu a ČVUT nakonec nasbíral více než 6200 řádků takových zpráv, záznamy chatů za osm měsíců a soukromou konverzaci 29 lidí zapojených do různých operací. Vše nakonec dostala k dispozici i policie, není ovšem jisté, zda skupina Ghost nefunguje skrytě dál.

Mezi další zajímavé výstupy z výzkumu patří třeba to, že podobné viry mají různou podobu podle zemí či kontinentů, kde se vyskytují, a dají se tak rozeznat podobně jako lidé. „Třeba viry napadající internetové bankovnictví v Brazílii vypadají jinak než jejich obdoby v Evropě. Je to dáno specifikou zabezpečení, která je v dané oblasti a viry se jí přizpůsobují. Na druhé straně pokud by se někomu podařilo narušit nějakou globální aplikaci, vir bude vypadat všude stejně,“ popisuje Petr Chytil, který má ve společnosti Avast na starost výzkumnou spolupráci s univerzitami a oblast umělé inteligence.

Práce pro myčku

To vše se podařilo v rámci projektu zvaného Aposemat. Výzkumníci se v něm zaměřují ještě na jedno důležité téma: IoT zařízení. Jde třeba o bezpečnostní kamery, chytré televize nebo tiskárny. Zkrátka jakákoliv domácí zařízení připojená k internetu mající obecně velmi slabou ochranu. „Úroveň zabezpečení této techniky v domácnostech je obecně velmi slabá. Útoky tak může podniknout i amatér, a proto jich je mnoho a bude jich stále přibývat,“ popisuje Petr Chytil.

Tým výzkumníků jednak analyzuje, jakými cestami se do nalíčených záměrně nezabezpečených zařízení snaží hackeři viry posílat, a jednak to, jak jsou viry připravené škodit. Zpravidla se nestává, že by hackeři zařízení vypínali nebo ničili. Daleko spíše si je botnetem jen obsadí a připraví. „To zařízení nezmění své chování. Čeká na příkaz. Pak si dá hacker inzerát na černém trhu, že prodá několik tisíc zařízení, které ovládá, a vydělá na tom. Nový majitel je pak může použít k hromadnému útoku a shodit webové stránky, které se mu hodí. Vlastně pro něj na příkaz pracují všechny kamery, set top boxy, myčky, ledničky a televize,“ říká Petr Chytil.

Lidé se podle něj mohou nejlépe chránit tím, že nakoupí zařízení od prověřených firem nebo že budou měnit přednastavená jména a hesla na svých routerech.

Avast
Pavel Baudiš s Eduardem Kučerou, kteří Avast v roce 1988 založili, dovedli firmu na světový vrchol ve svém oboru. V roce 2016 koupili svého konkurenta AVG, o dva roky později vstoupili úspěšně na londýnskou burzu a figurují mezi desítkou nejbohatších Čechů. Pokud firma bude i nadále investovat do výzkumu na vysokých školách, má Česko šanci stát se lídrem a líhní světových talentů. A tento obor bude o první či druhé lize zemí v 21. století rozhodovat.

Avast před časem dokonce analyzoval údaje z více než 16 milionů chytrých domácích sítí po celém světě a odhalil, že 42,4 procenta českých a 42 procent slovenských digitálních domácností obsahuje alespoň jedno zranitelné připojené zařízení.

Česko i Slovensko jsou pak velmi mírně nad globálním průměrem, který tvoří 40,8 procenta zranitelných chytrých domácností. „Hackerům stačí jediné slabě zabezpečené zařízení, aby se dostali do sítě, a jakmile jsou uvnitř, mohou přistupovat k ostatním zařízením a osobním údajům, které přenášejí nebo uchovávají, včetně živého nahrávání videí a hlasů,“ řekl Ondřej Vlček, CEO Avastu.

CyberLab

Nyní ČVUT a Avast na předchozí projekty navazují a rozjíždějí laboratoř AAICL. V této oblasti jde dokonce o první spolupráci svého druhu. Pro Avast samozřejmě není rozšíření spolupráce nezištné.

Odborníci z ČVUT de facto pomohou byznysu firmy. Ale ani ona, byť projekt podpoří milionem dolarů, si nenechává všechny získané informace jen pro sebe. „Počítáme s tím, že zveřejníme datasety k volnému použití. V oblasti cyber security jich moc k dispozici není,“ říká Petr Chytil. Ucelená sada nástrojů a dat následně pomůže výzkumné komunitě zdokonalovat své zabezpečení a podpořit výzkum.

A oč v AAICL půjde? Škola a antivirová firma ohlásily společný výzkum, jenž má za úkol zjistit, jak předcházet a bránit pokusům kyberzločinců, kteří se snaží využít nové technologie a umělou inteligenci k sofistikovaným útokům. Avast dá k dispozici svá rozsáhlá data o hrozbách z více než 400 milionů zařízení a ČVUT poskytne znalosti komplexních hrozeb.

Co si pod tím konkrétně představit, nastínil výzkumník a ředitel AAICL Sebastián García. „Náš výzkum se týká dvou hlavních témat. Prvním je to, jak se mobilní telefony stávají rizikem pro naše životy, když jsou infikovány vládami a zločineckými skupinami. Druhým tématem je pak to, jak může strojové učení přispět k větší bezpečnosti naší společnosti,“ řekl.

Typickými hrozbami bývají podle něj takzvané komoditní útoky, například šifrování dat uživatelů a následné vymáhání „výpalného“. Mohou být nebezpečné, když jsou mířeny na důležitou infrastrukturu, jako byl před pár týdny případ benešovské nemocnice.

Převzato z týdeníku Euro, Autor: Petr Weikert

Pravidelné novinky e-mailem