Kdo hacknul Univerzitu obrany? ‚Nástupci skupiny, která se rozpadla kvůli podpoře Ruska,‘ říká expert
V úterý vypršela lhůta, do kdy měla Univerzita obrany zaplatit výkupné za ukradené soubory. Kyberzločinci vyhrožují, že na 150 tisíc souborů zveřejní. K útoku se přihlásila skupina Monti, říká Boris Mutina, bezpečnostní expert firmy Excello. „Zaměřují se hlavně na cíle, které jsou spojené s vládou nebo státními organizacemi,“ vysvětluje v rozhovoru pro iROZHLAS.cz. Univerzita kvůli vyšetřování zatím žádné detaily o kyberútoku nezveřejnila.
Na Univerzitu obrany v září zaútočili kyberzločinci a údajně ukradli desítky tisíc souborů. Teď vyhrožují zveřejněním, pokud univerzita nezaplatí. Víme, kdo to udělal?
Podle informací, které byly zveřejněny na Darknetu, je za tím skupina Monti. Poprvé se objevila někdy začátkem léta 2022. Informací o ní není moc. Není jich tolik jako u ostatních velkých skupin. Víme, že opakovaně využili útočné nástroje, respektive i text jiné skupiny. To byla skupina CONTI. A jak už ten název trochu napovídá, nejspíš povstali z popela této skupiny. Protože skupina CONTI se přibližně v tomto čase rozpadla.
Univerzitu obrany napadli hackeři. Unikla data pracovníků a vyučujících včetně finančních výkazů
Číst článek
Jsou i jiné důvody, proč si myslíte, že jsou to ti samí útočníci?
Ano, i jiné bezpečnostní firmy analyzovaly podobné znaky obou skupin. Časem se ale Monti začala vyvíjet. Zaměřují se na celou škálu cílů. Začínají být aktivnější vlastně až teď, v tomto období. I když tedy už v minulém roce skupina oznámila, že má několik desítek cílů za sebou. Ale že by byli nějak extra známí, to se nedá říct. Určitě nepatří mezi top 10 útočících skupin.
Na koho se Monti zaměřuje, na koho útočí?
U této skupiny je to velmi zajímavé. Zaměřují se hlavně na cíle, které jsou spojené s vládou nebo státními organizacemi. Tento rok se třeba zaměřili na Americký institut pro kvalitu zdravotní péče nebo Regionální dopravní podnik v Chicagu. Ale cílili třeba i na maďarskou agenturu pro podporu investic. A pak samozřejmě na zmiňovanou Univerzitu obrany.
Ale abychom ten vzdělávací sektor nenechali stranou, tak krátce po útoku na Univerzitu obrany potvrdili útok i na Technologickou univerzitu v Aucklandu. Skupina se zaměřuje na státní instituce, výzkumné společnosti.
Antivirus: Kyberzločinci útočí i na vysoké školy, jde jim o výkupné i informace z výzkumu
Číst článek
Víme, co je to konkrétně za lidi? Kdo jsou tito kyberzločinci?
Na své darknetové stránce tvrdí, že vlastně dělají jakýsi audit, za který si samozřejmě nechají zaplatit výpalné v kryptoměně. Ten, kdo odmítne, tak jeho data zveřejní. Odkud ale jsou, to těžko soudit. Domnívám se, a více společností, které se zabývají výzkumem internetových zločinců, taky, že je to v podstatě nástupce skupiny CONTI.
Ta se rozpadla někdy začátkem války na Ukrajině, kdy se skupina CONTI otevřeně přihlásila k podpoře ruského režimu. To se pravděpodobně nelíbilo jednomu ze členů skupiny. Tyto skupiny jsou vlastně tvořené lidmi, kteří se nikdy ani mezi sebou neviděli. Komunikují v rámci Darknetu, komunikují šifrovaným způsobem.
Jeden člen CONTI nesouhlasil s podporou Ruska a rozhodl se, že bude zveřejňovat vnitřní komunikaci skupiny. Ta kromě podpory Putina obsahovala i antisemitismus, homofobii a tak dále. U skupiny Monti ale nevidíme žádnou politickou afinitu k nějakému státu nebo ideologii.
Pedofilie i zneužívání dětí
A jejich předchůdce, skupina CONTI, o ní je známé co?
O nich víme dost. Víme, co dělali, kdo byly jejich cíle i jakým způsobem pracovali. Zaměřovali se hlavně na maloobchodní sektor, kde měli nejvíce obětí. Potom se zaměřovali na pojišťovací sektor. To jsou asi jejich dva nejčastější cíle. Samozřejmě někdy zasáhli i jiný cíl ve výrobním sektoru, telekomunikaci, zdravotnictví.
Průzkumníci musí kličkovat, tank projede přímo. V Brně vyvíjejí vojenskou aplikaci na plánování trasy
Číst článek
Například CONTI je skupina, které se podařilo absolutně odstavit irský systém zdravotního pojištění. To bylo v roce 2021, v čase, kdy se irské autority snažily testovat lidi na covid a očkovat. Ten útok výrazně ochromil poskytování zdravotní péče v desítkách nemocnic v Irsku.
Jak se do systému dostali?
Zpráva z vyšetřování ukázala, že škodlivý kód pronikl do systému dva měsíce před útokem. A to prostřednictvím přílohy v e-mailu. Bohužel je to nejčastější útočný vektor, tedy cesta, jak se útočník do systému dostane.
CONTI se tedy rozpadla kvůli podpoře režimu Vladimira Putina?
Skupina měla problémy už předtím. Měli spolu víc rozkolů. Útok na Ukrajinu už byl, řekl bych, poslední kapkou. Hodně se mezi sebou hádali. Víme to ze zveřejněné komunikace. Dokonce v některých zprávách lze najít i odkazy na pedofilní pornografii, zneužívání dětí. Nejsou to dobré věci. Tito lidé jsou doslova sociopati. S takovými lidmi je potřeba počítat, pokud se bavíme o kyberzločincích.
‚Hledáme desítky kyberbojovníků.‘ Armáda nabere hackery, kteří budou objevovat díry v systémech
Číst článek
Kolik členů tyto skupiny mají?
To se těžko počítá. Víme, že tyto skupiny fungují systémem „ransomware as a service“. To znamená, že poskytují nejen útok vyděračským škodlivým kódem, ale komplexní služby komukoli, kdo si to dokáže zaplatit. Mají kapacity na vývoj a testování škodlivého kódu, poskytují hostingové služby, které jsou těžko prolomitelné, phishing (hromadné rozesílání e-mailu se zavirovanou přílohou nebo odkazem – pozn. red.).
Skupina poskytuje i služby, jako je vyjednávání s obětí, a nakonec umí vydělané výkupné v kryptoměně takzvaně vyprat. Můžeme si je představit jako firmu, která klasicky funguje, jen tam chybí účetnictví nebo marketing, protože si reklamu dělají někde v undergroundových fórech na darknetu.
Takže se bavíme o desítkách lidí?
Jádro skupiny bude určitě do deseti lidí. Ostatní si budou najímat. Tyto lidi je ale velmi těžké deanonymizovat.