Krysa ve stínu

Na mapě počet cíků útoku v jednotlivých zemích světa.

Laboratoře McAfee Labs publikovaly jednu z nejkomplexnějších studií o dlouhodobé akci počítačových zločinců, jejichž cílem bylo získávat tato cenná data. Studie Operation Shady RAT mapuje posledních pět let útoků proti 70 velkým nadnárodním firmám, vládám i neziskovým organizacím. Zkratka RAT současně znamená nástroje pro vzdálený přístup (remote access tools), což vyjadřuje jeden ze způsobů, jímž se útočníci dostávají do napadených systémů.
Jak vyplývá ze studie, velké firmy se dnes dělí de facto na dvě kategorie: na ty, které vědí, že byly napadeny, a na ty, které sice byly rovněž napadeny, ale nevědí o tom. Společnost McAfee získala informace o probíhajících útocích, když ve spolupráci s bezpečnostní komunitou objevila jeden z jejích řídicích (command-and-control) serverů, které využívali podvodníci. Pouze na tomto jediném serveru se nacházela ukradená data v objemu petabajtů (1 015 B). Všechny tyto akce provedla, zdá se, jediná skupina podvodníků, možná i s podporou nějaké vlády nebo obdobné instituce disponující dostatečnými zdroji pro akci podobného rozsahu.

V rozporu s častým přesvědčením se počítačoví podvodníci nezajímají v první řadě o informace o bankovních účtech nebo platebních kartách. Největší cenu dnes pro podvodníky mají jedinečné informace firem a vlád. Může se jednat např. o státní tajemství, zdrojové kódy softwaru, databáze softwarových chyb, archivy důvěrných e-mailů, znění právních smluv, technickou dokumentaci k výrobkům nebo o údaje o konfiguraci systémů SCADA (systémy pro řízení průmyslových procesů).

Jak se ukazuje, operace Aurora – útok proti Googlu – i Night Dragon – útok proti energetickým firmám – jsou jen špičkou ledovce. Akce typu APT (Advanced Persistent Threats, pokročilé přetrvávající hrozby) jsou dnes mnohem častější, než si řada potenciálních obětí připouští. Útočníkům se v rámci operace Shady RAT podařilo kompromitovat celou řadu velkých firem i dalších organizací, a to bez ohledu na jejich geografické umístění nebo obor podnikání. Útok byl ovšem velmi komplexní, neomezoval se na jediný typ malwaru nebo zneužití konkrétní zranitelnosti. Akce byla přesně cílená (spear phishing), útočníci jsou navíc podle všeho stále aktivní.

Plnou verzi studie Operation Shady RAT naleznete na webu laboratoří McAfee Labs na adrese http://blogs.mcafee.com/mcafee-labs, k dispozici je ale pouze v anglickém jazyce.