Bezpečnostní tým Talos pro Cisco jako první odhaluje zero-day a zero-hour útoky a zajišťuje threat inteligence, své poznatky aktualizuje každých 3 až 5 minut. Cisco Talos Intelligence Group je také jeden z největších komerčních threat intelligence týmů na světě.
Talos v loňském roce jako první identifikoval útoky na Olympijské hry v jihokorejském Pchjongčchangu, malware VPNFilter (ovládal okolo 500 000 zařízení), nebo třeba mobilní aplikaci Gplayed, která se tvářila jako Google Market, ale sloužila k distribuci mobilního malware.
S jeho viceprezidentem Mattem Watchinskim, který minulý týden navštívil Prahu, jsme mluvili o evoluci malwaru, hrozbách pro mobilní zařízení, ale také třeba o tom, jaké jsou poslední trendy v oblasti spamu.
Jak se proměnil trh s malwarem za poslední, řekněme, dva roky?
V posledních dvou, nebo řekneme spíše třech letech byl asi nejvíce patrný obrovský nárůst ransomwaru. V posledních 6 až 12 měsících ale množství ransomwaru dramaticky spadlo a nahradil jej cryptomining. Je zde vidět také jeden zajímavý fenomén, zatímco ransomware je hlavně doménou Windows zařízení, která napadá nejčastěji, software těžící bez vědomí majitele populární non-ASIC kryptoměny se nevyhýbá prakticky žádnému systému a zařízení, nechybí mezi nimi různé Android gadgety, chytré ledničky a celá škála IoT přístrojů (záleží pochopitelně na tom, jak definujete IoT). Určitě ale můžeme říci, že tento druh útoků se rozvinul do velmi sofistikované podoby a je opravdu velmi široký. Toto bych označil asi jako největší změnu, není nicméně jediná.
Jako druhou největší změnu v povaze útoků posledních dvou let vidím hlavně cílenou povahu útoků. Jejich nárůst je také nepřehlédnutelný. Typickým příkladem je DNS messenger, který úspěšně útočí na DNS infrastrukturu a e-mail a mohli jste se s ním setkat ve velmi specifických cílených útocích na konkrétní subjekty v konkrétních částech světa.
Můžete ten útok trochu rozvést?
DNS messenger je takzvaný DNS Remote Access Trojan (RAT), který otevře zadní vrátka do systému, takže hackeři mohou ovládat napadené stroje na dálku. Útok byl cílený na veřejně obchodované společnosti a vyžadoval určitou detailní znalost daného prostředí, protože částečně spoléhá na sociální inženýrství.
Probíhá tak, že nejprve do společnosti dorazí phishingový e-mail s dokumentem v Microsoft Wordu. Na rozdíl od podobných útoků dokument neobsahuje sám o sobě žádný škodlivý kód, ale namísto toho zneužívá funkce, která vyzve uživatele ke stáhnutí souboru z externího zdroje.
Ten působí na první pohled v pořádku, neboť je hostovaný na podvržené stránce některé z vládních agentur nebo ministerstev a obsahuje škodlivý kód, jde o typický man-in-the-middle útok. Malware má také několik zajímavých technických vlastností, například se neukládá v systému ve formě samostatného souboru, ale zapíše sám sebe do systémového registru, takže je pak mnohem obtížněji detekovatelný konvenčními antiviry a k jeho úspěšnému odhalení musí nastoupit víceúrovňová ochrana.
Talos mimo jiné dlouhodobě monitoruje světový spam, mění se nějak výrazně i tato oblast?
V poslední době jsme zaznamenali především obrovský nárůst vydíracích e-mailů.
Klasickým příkladem je spam, který částečně kopíruje příběhovou linku ze seriálu Black Mirror. Útočník předkládá obecný popis aktivit, o kterých si útočník myslí, že je mohl uživatel dělat před webkamerou počítače při návštěvě pornoserveru, a vyžaduje určitou částku v bitcoinech, jinak hrozí tím, že zveřejní uživatelovo video nebo fotografie a odkaz rozešle jeho kontaktům. Tato kampaň byla přes svoji jednoduchou a relativně průhlednou povahu velmi úspěšná. Podle transakcí v blockchainu lidé zaplatili útočníkům tisíce dolarů.
Dalším typem populárního spamového e-mailu z poslední doby jsou bombové výhrůžky, scénář je podobný jako v předchozím případě, pouze jsou útoky mnohem více cílené. Obvykle cílí na americké školní instituce, e-mail obsahuje hrozbu, která říká, že někde v areálu školy je bomba, která bude odpálena, pokud škola do určité doby nezašle stanovenou částku opět v bitcoinech na tu a tu adresu. Opět se jedná o relativně úspěšnou kampaň.
Kampaně tohoto typu jsou pozoruhodné i tím, že útočníci často poskytují něco na způsob „oddělení péče o zákazníky“, kdy někdo na druhé straně pečlivě naviguje méně technicky uvědomělé oběti, aby platbu správně provedly.
Takovým povšechným šumem pak je Emotet, což je pokročilý bankovní trojský kůň, který slouží k průniku dalšího škodlivého kódu do systému, případně k vydírání. A v neposlední řadě se stále větší oblibě těší také cílený phishing, což je v podstatě „lov na velryby“, který cílí na data specifických organizací. Mnoho těchto phishingových e-mailů se například snaží získat firemní přístupové údaje do Office 365. Cílem většinou není na místě škodit, ale získat přístup k duševnímu vlastnictví nebo získat základnu pro další sofistikované typy útoků v budoucnu.
Posledně jmenované příklady nevypadají jako úplně běžná kriminální aktivita. Dá se říci, že za množstvím dnešních phishingových útoků tak stojí APT (Advanced Persistent Threat) skupiny napojené na vlády a zpravodajské agentury jednotlivých států?
Moderní phishingové útoky využívají s úspěchem obě skupiny, tedy jak APT skupiny, tak běžné sítě kybernetických zločinců.
Jaký je trend co do objemu? Klesá, nebo naopak navzdory stále sofistikovanějším metodám obrany proti spamu jeho množství stoupá?
Co určitě stoupá poměrně rapidním tempem, je množství spamu v přílohách. Globální objem spamu ovšem klesá. Například v prosinci 2018 bylo podle našich dat globálně odesláno asi 53 miliard legitimních e-mailů, zatímco spamů bylo rozesláno 311,24 miliard. Spam tedy tvořil 85,48 % všech e-mailů. Pro srovnání v prosinci 2017 bylo odesláno 406,25 miliard spamů.
Jak je to co se týče nebezpečnosti spamu, je větší, nebo menší, než před řekněme pěti lety?
To se velmi těžko posuzuje, ale faktem je, že v posledních letech zmizelo několik útočných vektorů (například webové prohlížeče se dnes aktualizují automaticky, lidé nepoužívají Flash, z řady počítačů zmizela Java). To logicky vede k přesunu pozornosti zločinců na ty zbývající. V posledních několika letech tak například několikanásobně narostl počet hrozeb spojených s e-maily. Stouplo ale také množství útoků zaměřených na jiná koncová zařízení, než je tradiční PC.
Jak jsou na tom s malwarem dnešní mobilní zařízení?
Tato kategorie je poměrně konzervativní a malware se zde příliš nemění. Můžeme rozlišit dvě velké kategorie, jednu tvoří aplikace, které se soustředí na kradení obsahu (kontakty, SMS, uložená data), a pak jsou zde aplikace, které generují svůj příjem tím, že z telefonů bez vědomí uživatele klikají na reklamy.
Mobilní telefony jsou ale také využívány pro dvoufaktorovou autentizaci (2FA), na tu žádný malware necílí?
Nevšimli jsme si toho, že by někdo cílil přímo na 2FA.
Minulý rok dost zamával s cenou kryptoměn a v posledním čtvrtletí roku na to doplatila řada regulérních navázaných byznysů, zejména těch, které se objevily během roku 2017. Jak je to s cryptominery, tedy softwarem bez vědomí uživatele těžícím kryptoměny? Ptám se hlavně proto, že tento software se také objevil s rychle vzrůstající popularitou kryptoměn.
V roce 2018 se navzdory propadu cen kryptoměn cryptominerům neskutečně dařilo, byly všude. Z našeho pohledu jsme vypozorovali především postupný odklon od ransomwaru právě ke cryptominerům, hlavně těm zaměřeným na Monero.
Je to dáno tím, že útočníci uvažují velmi ekonomicky a dívají se na ROI (Return of Investment, návratnost nákladů – pozn. redakce). Pokud útočník stojí před volbou spustit cryptominer, jehož provoz jej nic nestojí, protože veškeré náklady jdou na vrub oběti, vs. varianta vyrukovat s ransomware, kde má vysoké počáteční náklady, a ještě musí řešit uživatelskou podporu, neboť většina běžných obětí není schopna zaplatit kryptoměnou (nejčastěji bitcoinem nebo monerem), zvolí si cryptominer.
Pokud půjde hodnota kryptoměn i nadále strmě dolů, dojdeme (pravděpodobně ještě letos) do bodu, kdy se začne tento trend zase obracet.