České Radiokomunikace

Když je malware v počítači, není čas na hrdinství

Když je malware v počítači, není čas na hrdinství

V okamžiku, kdy hackeři nepozorovaně propašují malware do počítače nebo do sítě, mají už z větší části vyhráno. Mají uvnitř agenta, a ten má obvykle dost času na to, aby mohl škodit nebo i ovládnout IT infrastrukturu oběti.

Než se malware podaří odhalit, uplyne v průměru 280 dní. V malých a středních firmách to často trvá ještě mnohem déle, poslední studie uvádějí děsivou hodnotu až 800 dní. Jen těžko si člověk dokáže představit, kolik je za bezmála tři roky schopen takový špión napáchat škody, kolik ukradne cenných dat a kolik jeho podvratná činnost může nejenom firmu, ale i její zákazníky a partnery stát.

Co dokáže škodlivý kód

Úmysly hackerů a spektrum způsobů jejich realizace neznají hranic. Malware vpuštěný do počítače má k dispozici široké pole působnosti. Může začít škodit hned, třeba mazat disky, krást data nebo šifrovat soubory, může se zamaskovat, obalamutit antivirus, otevřít zadní vrátka, spojit se se svým řídícím centrem a čekat na další pokyny. Může se rozhlížet nejen po počítači, ale postupně mapovat celou architekturu sítě, infikovat další a další počítače, stahovat další škůdce a nakonec převzít vládu nad celým firemním IT. A to aniž by si toho někdo všiml. Stačí jen přezíravý postoj k IT bezpečnosti. Malware často slouží právě jako prostředník pro zanášení dalších a dalších škůdců a postupně připravuje půdu pro definitivní drtivý útok. Uveďme si pár příkladů ze života.

Ransomware zastavil správu města
Ransomware nazývaný Robin Hood poměrně nedávno na několik týdnů zastavil všechny aktivity města Baltimore včetně výběru daní, převodů nemovitostí a zasílání emailů mezi organizacemi veřejné správy. Dosavadní ztráty způsobené útokem činí 18 milionů USD a neustále rostou. Stejný typ malware napadl v roce 2018 Atlantu v USA a způsobil škodu za 17 milionů USD. Co dokáže ransomware koneckonců známe i z českých nemocnic.

Utajení záškodníci
Astaroth
ze skupiny bezestopých malwarů napadá uživatelské počítače přes odkazy obvykle z infikovaných webových stránek. V počítači spustí několik systémových, a tudíž pro antivirus důvěryhodných programů. Ty již zcela legálně stáhnou další malware, který jim Astaroth podstrčí. Astaroth je velmi těžké odhalit, neboť se po spuštění zase vymaže a nezanechá žádné stopy. Antivirus navíc nepovažuje legálně systémem stažený malware za škodlivý a v jeho nekalých aktivitách mu nebrání.

Nejen velký bratr umí sledovat
Zdánlivě neškodný addware s názvem Fireball v roce 2017 infikoval 250 milionů počítačů a dalších zařízení. Usadil se v jejich webových prohlížečích, změnil adresy vyhledávačů a sledoval webové aktivity uživatelů včetně přístupů do bank. Analýza navíc ukázala, že Fireball je schopen vzdáleně spouštět programy a stahovat další škodlivé soubory.

Temný hotel
V hotelových a veřejných Wi-Fi sítích číhává spyware označovaný jako DarkHotel. Do počítačů obětí instaluje keylogger, který krade a odesílá jejich přihlašovací údaje, popř. i další citlivá data.

Neviditelný webový prohlížeč
Rootkit Zacinlo infikuje počítače a mobilní zařízení, která k připojení používají podvodné VPN a další rádoby bezpečná připojení, nabízená na internetu různými obskurními firmami. Nejprve zneškodní antivirus a antimalware, pak otevře neviditelný internetový browser, který mu umožňuje brouzdat internetem a klikat stejně, jako to dělá uživatel počítače. Prohlížeč běží na pozadí, nezobrazuje se na monitoru a nevidí ho ani ochrana počítače, která sleduje nezvyklé chování systému. Internetový prohlížeč přece není nic neobvyklého. V nejjednodušším případě může Zacinlo jen klikat na reklamy a zvyšovat příjmy webům poskytujícím prostor pro reklamu, prakticky si může s neviditelným prohlížečem dělat, co se hackerům zlíbí.

Nástroj v rukou hackerů
Cílem hackerů nebývá vždy a za každou cenu hned jen škodit. Malware může sloužit třeba jen k tomu, aby hackeři propašovali do počítače tzv. bot, aplikaci, která většinou neškodí, ale jen čeká na příkaz. Uživatel počítače přitom vůbec netuší, že jeho stroj se stal součástí některé z rozsáhlých hackerských sítí, tzv. botnetů, které na příkaz svých tvůrců mohou např. rozesílat spamy nebo se podílet na DDoS útocích.

Často vědí víc než správce
Komunikace v počítačů síti probíhá prostřednictvím tzv. portů. Představíme-li si počítač třeba jako bytový dům, pak místo, kde je připojena síť, je hlavní vchod do domu, a porty jsou dveře jednotlivých bytů. Každý port má svoje číslo. Některé porty jsou navíc pevně přiděleny určitým službám nebo aplikacím. Špatně zabezpečený port představuje zranitelnost a pro malware je otevřenou vstupní branou. Např. port číslo 445 slouží ve Windows ke komunikaci počítače se servery. Útočník přes zranitelný port jednoduše do počítače zkopíruje červ, který se vydává za požadavek na komunikaci. Nic netušící Windows pro něho připraví všechny nezbytné prostředky, aby komunikovat mohl. Červ nějakou dobu spí, aby nevzbudil pozornost, pak stáhne a spustí miniaturní webový server. Ten poté skenuje další počítače v síti a hledá v nich zranitelnosti umožňující je infikovat. Jak se šíří, podle možností stahuje další škodlivé programy, které např. mohou analyzovat celou IT infrastrukturu a výsledky předávat hackerům k jejímu úplnému ovládnutí.

Není čas na hrdinství

Malware v počítači, v serveru či v síti je vždycky špatně. Začne-li škodit nebo podaří-li se ho objevit, je třeba ihned jednat. Malware i vše ostatní, co do systému natahal, je třeba důkladně a hlavně důsledně odevšad odstranit. Je to mnohdy doslova mravenčí a dlouhotrvající práce, která nezřídka vyžadující kromě očisty softwaru i obnovení dat ze záloh, jsou-li ovšem zálohy k dispozici. I poctivé a dobře naplánované zálohování je proto součástí IT a kybernetické bezpečnosti. Moderní malwary jsou velmi sofistikované a místa, kam jednou vstoupily, opouštějí velice neochotně. Když už nic jiného, snaží se aspoň nechat si v počítači nebo v síti dobře utajená zadní vrátka, jimiž by se mohly zase vrátit. Je znám příklad malware, který vložil do programu notepad.exe (poznámkový blok) kód, který by se při otevření textového souboru s určitým, byť na pohled zcela neškodným textem, spustil, otevřel skrytá zadní vrátka a začal znovu škodit. Stačilo by, aby uživatel dostal takový textový soubor třeba emailem a otevřel ho. Odhalen byl právě díky pozornosti a důslednosti administrátora.

Hrozbám se musí předcházet a malware zastavit včas

Průnik a aktivity malware každodenně působí mnoha firmám i organizacím nejenom nemalé ztráty, ale i obrovské problémy. Obzvlášť jsou-li jejich aktivity bytostně závislé na IT a připojení k internetu. Vždy je mnohem lepší před kybernetickými útoky zajistit preventivní ochranu, než později honit bycha nebo splakat nad výdělkem. České Radiokomunikace sestaví bezpečnostní řešení i s ohledem na specifické potřeby konkrétního oboru podnikání. Různé formy ochrany, snadná volba řešení s odpovídající propustností, vysoké dostupnosti služeb a odborník, který je vždy nablízku a na něhož je možné se obrátit, kdykoliv je potřeba. Začít je možné třeba s bezpečnostním auditem, který reálně zhodnotí stav obrany před kybernetickými zločinci.