Čínští hackeři ve vaší kanceláři

Autorka: Nicole Perlrothová, Zdroj: The New York Times

Projíždíte kolem mléčných farem, polí s obilím a koňských pastvin a nakonec dorazíte do Cate Machine & Welding, malé firmy Gena a Lori Cateových a jejich synů. Za 46 let Cateovi svařili mnoho věcí – zásobníky na hnojiva, díly na stíhačky, formy na sýry a dokonce také rozbité brýle farmáře ze sousedství.

Nicméně na tom jejich se odehrává neobvyklá bitva špionů proti špionům: počítač ovládli čínští .

Hackeři počítač používají k plánování a simulaci útoků. Nevědí však o tom, že je zde v reálném čase monitoruje start-up ze Silicon Valley, sleduje každý jejich pohyb a v některých případech blokuje jejich úsilí.

„Když nám to poprvé řekli, odpověděli jsme, že to v žádném případě,“ říká Gene Cate, když si připomíná moment, kdy se poprvé dozvěděl o tom, že server, používaný léta jeho rodinou k vyřizování administrativy jeho podniku, byl tajně ovládnut hackery. „Totálně nás to vystrašilo,“ dodává Lori Cate. „Netušili jsme, že by nás mohli použít jako infiltrační jednotku pro čínské útoky.“

V jeden krásný čtvrtek se mezi cíli hackerů objevil start-up zabývající se rozvozem jídel v Silicon Valley, významná manhattanská advokátní kancelář, jedny z největších světových aerolinek, prominentní univerzita a spleť menších cílů v Thajsku a Malajsii. Deník New York Times sledoval akci na počítači Cateových za podmínky, že nezveřejní žádná jména.

Aktivita měla všechny znaky čínských hackerů, známých jako Skupina C0d0s0, tlupa nájemných hackerů, které bezpečnostní složky sledovaly několik let. Skupina se během nich nabourala do bank, právnických kanceláří a technologických společností a jednou ovládla webové stránky Forbes s cílem nasadit malware do počítačů jeho čtenářů.

V posledních letech se začal rozvíjet nový, nepřehledný průmysl, spočívající v prodeji zpravodajství o útočných skupinách jako C0d0s0. Až donedávna zaujímaly společnosti obvykle pouze obrannou strategii, spočívající v tom, že jejich sítě budou natolik nepropustné, že to odradí případné útočníky. V současné době takzvaní poskytovatelé zpravodajství o ohrožení prodávají služby, které, jak tvrdí, umožňují firmám přejít do útoku. Sledují hackery a za roční paušály, které mohou jít do milionů, se snaží odhalit a zmařit útoky dříve, než k nim dojde.

Úspěchy těchto společností se liší případ od případu. Společnost pro výzkum trhu Gartners přesto po letech vysoce medializovaných incidentů očekává, že trh informací o ohrožení dosáhne v příštím roce výše 1 mld. dolarů (255 mil. USD v roce 2013).

Pozoruhodné je, že útočníci spoléhají na zamotané spleti napadených počítačů včetně těch z drobných obchůdků a podniků jako Cate Machine & Welding. Hackery nezajímají data Cateových. Pouze používají jejich server, a spoustu podobných, jako odpalovací rampu pro své útoky.

Tyto servery nabízejí dokonalé krytí. Nejsou nijak zvlášť dobře chráněné, a zřídka, pokud vůbec, jejich majitelé zjistí, že jejich počítače používají špioni a digitální zloději. A kdo by kdy podezíral rodinu Cateových?

Před dvěma lety navštívil Cateovy muž, který je informoval, že jejich server používají čínští špioni. „Vy jste z Národní bezpečnostní agentury?“ zeptali se Cateovy.

Jeden z mužů ve skutečnosti pracoval v Národní bezpečnostní agentury (NSA) před tím, než se zaměstnal v startupové společnosti Area 1, která se zaměřuje na sledování digitálních útoků proti podnikům. „Je to jako být knězem,“ říká Blake Darché, vrchní bezpečnostní ředitel Area 1 o své předchozí práci pro NSA. „Lidé si myslí, že jste nikdy z této své profese neodešel.“

Darché chtěl připojit server Cateových do sítě padesáti 50 dalších serverů, napadených hackery. Area 1 monitoruje aktivity a data proudící dovnitř a ven z těchto počítačů a studuje tak metody, nástroje a webové stránky útočníků, aby jim mohla zabránit zaútočit na sítě jejích klientů nebo je varovat několik dnů, týdnů nebo dokonce měsíců před útokem.

Cateovi svolali rodinné setkání. „Lidé tvrdě pracují a přitom jsou okrádáni,“ říká paní Cateová. „Tohle je to nejmenší, co můžeme udělat.“ Area 1 uhradila náklady na instalaci ve výši cca 150 dolarů. Krátce po instalaci čidla na počítači Cateových jim Darché oznámil, že jeho podezření se potvrdilo. Senzor rozsvícením potvrdil útoky. Experti Area 1 rozpoznali postupy známého protivníka, skupiny C0d0s0.

Společnost Area 1 založili tři bývalí analytici NSA Darché, Oren Falkowitz a Phil Syme. Všichni tři seděli v jedné kanceláři ve Fort Meade, sledovali zbraňové systémy protivníků a v některých případech do nich pronikali. Před cca dvěma lety se rozhodli založit si vlastní firmu a získali financování ve výši 25.500.000 dolarů od investorů a podnikatelů v oblasti počítačové bezpečnosti v Silicon Valley včetně Kleiner Perkins Caulfield & Byers a Cowboy Ventures a veteránů této oblasti jako ředitele RedSeal Raye Rothrocka a Dereka Smithe, výkonného ředitele Shape Security.

Area 1 je novým hráč v oboru zpravodajství o ohrožení inteligenci, rodícím se pododvětvím podnikání ve sféře bezpečnosti počítačů a internetu, která zahrnuje firmy jako iSight Partners a Recorded Future, které sledují útočníky na ilegálních internetových fórech a v sociálních médiích a shromažďují o nich informace.

Zpravodajství o ohrožení je stále více umění než věda. Nikomu není zatím jasné, jsou-li tyto společnosti vybaveny tak, aby mohli využít toto zpravodajství k zabránění útoku ze strany hackerů. Area 1 tvrdí, že může odvrátit útoky přes hacknuté servery, které sleduje. Může také využít své výhodné pozorovací místo a pozorovat, kde na webu se útočníci zabydlují a jakým způsobem hodlají zaútočit na své zamýšlené oběti.

Několik zákazníků Area 1 potvrdilo, že její technologie pomohly odvrátit útočníky. Jeden z klientů, šéf informační bezpečnosti velkého poskytovatele zdravotní péče, řekl, že sektor zdravotní péče napadli digitální zločinci a vlády v posledních letech několikrát. Požádal o neuvedení jména společnosti, aby se nestal ještě viditelnějším cílem. Ocenil, že senzory Area 1 zablokovaly několik útoků na jeho síť a pomohly jeho společnosti vyhnout se osudu zdravotní pojišťovny Anthem, kterou před rokem napadli čínští hackeři, a také čím dál vyššímu počtu nemocnic, které byly nuceny zaplatit výkupné, aby dostaly důležité hacknuté informace zpět.

P. Smith, výkonný ředitel společnosti Shape Security, uvedl, že Area 1 varovala jeho společnost před třemi útoky před tím, než k nim došlo, se stalo, a poskytla jí dostatek času na jejich zablokování. Zdůraznil, že byl natolik okouzlen její prací, že se rozhodl do Area 1 zainvestovat. „Mnohé z těch drobných firmiček a obchodů jsou lhostejné, neboť útoky nemají přímý vliv na jejich podnikání a příjmy,“ řekl. „Mezičasem nevědomky používají tuto nabouranou infrastrukturu.“

Avšak obchodní model Area 1 může představovat etické dilema. Co udělá společnost, když zjistí útok proti významným firmám a vládním agenturám, které nejsou zákazníky Area 1? „Považujeme se za bodyguarda, ne za policii, která by všechny informovala, že jsou oběťmi,“ říká Falkowitz, výkonný ředitel Area 1. „Působíme v byznysu prevence.“

Přesto, jak později uvedl, některé oběti varují. Dali tip například advokátní kanceláři, výrobní firmě, finanční instituci i technologické společnosti, které byly napadeny prostřednictvím serveru Cateových, když viděl, jak je okradli o jejich duševní vlastnictví hackeři skupiny C0d0s0. Některé z těchto obětí včetně advokátní kanceláře si později objednaly služby Area 1.

Ne všechny společnosti varování dbaly. Bezpečnostní poradce pro jednu z obětí, který byl vázán mlčenlivostí, takže hovořil pod podmínkou anonymity, uvedl, že jeho klient se loni rozhodl ignorovat upozornění Area 1 z obavy, že skandál s úspěšným hacknutím sítě společnosti by ohrozil její nedávnou akvizici, protože nový nabyvatel by určitě nebyl nadšený z toho, že patentovaná technologie start-upu je nyní v rukou čínského hackera.

Na zdi centrály Area 1 v historickém domě v kalifornském Redwood City je umístěn seznam „45 věcí, které jsou těžší než .“ Zahrnuje létání, solární energii, vakcínu proti chřipce, operaci mozku, internet, transplantace srdce, mrakodrapy, termosky a vatové tyčinky do uší.

Falkowitz nesouhlasí s narůstajícím znepokojením, že zastavit útoky je příliš obtížné nebo nemožné. S růstem sofistikovanosti útočníků přestává mnoho bezpečnostních společnosti věřit, že dokáže blokovat útoky tradičními ochrannými prostředky, jako antivirový software. Místo toho se mnohé zaměřují na úsilí detekovat hacknutí „v reálném čase“ a chytit tak hackery před tím, než ukradou příliš mnoho.

Dle Verizonu, který sleduje úniky dat, 80 % obětí zjistí, že byly hacknuty až tehdy, když je navštíví policie nebo někdo jiný s jejich ukradenými daty.

Na NSA pracoval Falkowitz s týmy, které detekovaly odpalování severokorejských raket. Většina tehdejšího monitorování probíhala pomocí satelitů, které vyhledávaly náhlé výbuchy tepla.

Falkowitzův tým se snažil o proaktivnější přístup. Kdyby se jim podařilo hacknout počítače, které řídí systémy odpalování raketových střel, mohli by získat časové plány spuštění. Area 1 dnes používá podobný přístup k digitálním útokům, sleduje a raději odposlouchává odpalovací rampy útočníků, než by čekala na útok.

Hackeři nepracují tím způsobem, že by prostě najednou zmáčkli velké červené tlačítko s popiskem Útok. Dělají průzkum, pročesávají zaměstnance na LinkedIn, připravují pečlivě formulované e-maily, aby zlákali nic netušící zaměstnance k tomu, aby je otevřeli a kliknuli na odkazy nebo přílohy e-mailu, který poté zahájí škodlivý útok. Poté, co cíl přesvědčí, aby kliknul – a dle Trend Micro 91 procent útoků začít tímto způsobem – potřebují nějakou dobu na prošmejdění sítě oběti a nalezení něčeho, cop stojí za to zcizit. Pak vytahají ze sítě všechna data. Tento proces může trvat týdny, měsíce, ba dokonce i roky, a zanechává digitální stopu.

Area 1 sleduje tento druh aktivity a poté se spojí s firmami zabývajícími se bezpečností web, jako je Blue Coat, aby vestavěla to, co zjistila, do bezpečnostního softwaru, který se pokouší blokovat útoky.

Majitelé Cate Machine & Welding říkají, že je zvláštní pocit žít s čínskými útočníky ve vaší kanceláři. Nedávno manažeři Area 1 navštívili podnik a ukázali majitelům část toho, co zjistili ze sledování jejich počítače. Skupina C0d0s0 použila jejich server k zcizení due diligence advokátní kanceláře k blížící se akvizici, důvěrných obchodních plánů společnosti poskytující finanční služby, proprietárního zdrojového kódu pro mobilní platby start-upu, některé plány a žádosti o úvěr hypoteční společnosti.

Když to Gene Cate slyšel, vyjádřil hrdost – a možná i náznak škodolibosti. Jeho podnik, chléb a máslo jeho rodiny, se po celá léta přesouval do Číny. Nyní jeho rodina pomáhá americké podniky chránit. „Chceme pro tyto podniky udělat tu správnou věc,“ říká Cate. „Pro naši zemi.“

Překlad: Robert Nerpas   Úvodní foto: Espionage/We hope , Commons Wikimedia.org/