Watering hole. Oáza plná hackerů děsí firmy i správce sítí

Watering hole. Oáza plná hackerů děsí firmy i správce sítí
Autor fotografie: Pixabay|Popisek: hacker
04 / 08 / 2021, 09:00

Jak napadnout systémy, vyřadit z chodu důležitou infrastrukturu a „vyzobávat“ data firem? Hackeři jsou stále sofistikovanější. Aktuálně se zaměřují na útoky označované jako watering hole. Pojďme se podívat na to, jak kyberzločinci tuto taktiku použili při pokusu otrávit zdroj pitné vody pro 15 tisíc obyvatel.

K tomuto případu došlo ve vodárně – místním hlavním zdroji pitné vody – v americkém městě Oldsmar na Floridě. Podle zjištění byla bezpečnost vodárny opravdu „děravá“. Používali počítače s neaktualizovaným operačním systémem Windows 7 s vypnutým firewallem, pro vzdálený přístup přímo ke kritickým komponentům používali program TeamViewer zabezpečený jenom jedním heslem, které si sdíleli různí pracovníci. Hackeři získali přístup k interním systémům vodárny právě přes TeamViewer. Útoku ale předcházela „průzkumná“ fáze, kdy se útočníci snažili svou oběť poznat a shromáždit o ní co nejvíce informací.

Se získanými znalostmi se připojili k řídícímu systému vodárny a pokusili se stonásobně zvýšit dávkování hydroxidu sodného do vody. Pokud by se jim to podařilo, došlo by k otravě tisíců lidí. Neštěstí zabránil operátor, který se po příchodu do práce přihlásil k počítači a všiml si na něm podezřelé aktivity. Zaměstnanec sledoval na monitoru volně se pohybující myš počítače. Hackeři tímto způsobem během chvíle navýšili koncentraci hydroxidu sodného a zmizeli. „Pokud by si toho pracovník nevšimnul, mohlo dojít ke katastrofě. Faktem je, že podobných případů je ve světě mnoho. Akorát se jimi nikdo moc nechlubí, takže se o nich nedozvíme,“ podotýká Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT specialista společnosti Soitron.

Zaměstnanci nevědomky posílali hackerům data

Jak je ale možné, že se útočníkům něco takového povedlo? Důležitá infrastruktura je přece důkladně hlídaná? „Ukázalo se, že v tomto případě získali útočníci citlivé informace i díky taktice, tzv. watering hole. Představte si oázu v poušti, kterou útočník obrazně řečeno otráví a pak jen čeká, až se oběť přijde osvěžit a nevědomky se nakazí sama. V kyberprostoru takovou „oázou“ může být často navštěvovaná webstránka či online diskusní fórum. To byl i případ ve zmiňované americké vodárně.,“ vysvětluje Martin Lohnert.

Útočnici před útokem na Oldsmar infikovali web jiné společnosti – a nahráli do něj škodlivý software. Kód se objevoval v zápatí webu, který často navštěvovali zaměstnanci vodáren (i té v Odsmaru.) Byl provozovaný na systému WordPress. Útočníci prolomili ochranu webstránky díky jednomu z mnoha zranitelných pluginů. Na ní umístili škodlivý kód, který z PC návštěvníků bez jejich vědomí sbíral data.  Tyto informace pak zřejmě využili k naplánování a provedení samotného útoku na Oldsmar.

Zranitelnost nultého dne

Výhodou pro hackery je, že watering hole je technika, která nevyžaduje osobní účast útočníka. Hacker naruší bezpečnost obětí často navštěvovaných webových stránek. Na web umístí škodlivý kód nebo obsah ke stažení. „Útočník následně vyčkává, dokud jeho oběť stránky nenavštíví a pak provede injektáž kódu do počítače návštěvníka skrze web,“ říká Martin Lohnert.

Watering hole provádějí elitní hackeři a státy sponzorované skupiny. Často využívají takzvanou zranitelnost nultého dne. V informatice se tak označuje útok, který se v počítači snaží využít zranitelnosti používaného softwaru, která není ještě obecně známá a neexistuje proti ní obrana prostřednictvím konkrétního softwaru či počítačového systému. Díky tomu je schopen některé ochranné řešení obejít. „Hackeři pokračují v osvědčených tricích, šíří vyděračské a jinak škodlivé viry. Je důležité tyto v úvozovkách pupulární nástroje, aby uživatelé věděli, jak se chránit,“ doporučuje závěrem Martin Lohnert.

Jak se tak sofistikovaným útokům bránit?

Firmy musí být v rámci ochrany svých systémů velmi aktivní. Důležité je nastavení a pravidelné kontrolování procesů zaměřených na zjištění kybernetické bezpečností v dané firmě. Podstatný je i reakční čas, pokud monitoring kybernetické bezpečnosti zachytí průnik do systémů firmy. „Ne každý incident musí mít špatný konec, když se začne situace řešit okamžitě, minimalizujete škody, např.  odpojením napadeného zařízení v provozu,“ říká závěrem Martin Lohnert. Odpovědi na otázky, co dělat před útokem a po útoku, jsou podrobně popsány ve článku: Víte, na co se ptát, pokud jste obětí kyberútoku?


Tagy článku

-->