Pokud si to uvědomíme, stane se představa úspěšného kybernetického úderu na tyto klíčové sítě stejně děsivá a vážná jako představa vojenského konfliktu či teroristického útoku. A právě ten se stává skutečností kvůli kinetickým malwarům.
Odborníci varovali, že kybernetické hrozby mohou vážně ohrozit fyzický svět už v roce 2001, ale pro většinu bezpečnostních expertů to bylo jen sci-fi. Nyní se však jejich výstrahy staly realitou. Donedávna byly kinetické (neboli fyzické) útoky doménou jen reálného světa, v posledních letech však pronikly i do virtuálního prostředí. Kybernetické hrozby překonaly hranici kyberprostoru a přidaly se do skupiny moderních zbraní, které mohou mít fatální následky pro jakoukoli společnost. Pojďme se společně podívat, co přesně kinetický malware znamená a jakému nejhoršímu napadení svět čelil a čelí.
Kinetický útok a jeho kybernetický protějšek
Co přesně je kinetický incident? Zjednodušeně lze říci, že se tento termín používá především pro popis vojenských útoků, které na nepřítele působí fyzicky. Řadí se sem konvenční operace využívající zbraně a klasické bojové techniky, ale i útoky využívající bezpilotní letadla, akce odstřelovačů a raketové či letecké útoky. V širším měřítku sem může spadat i fyzický teroristický útok, ať už zaměřený na důležité zařízení (jadernou, tepelnou či jinou elektrárnu, vodárnu, vládní budovu a podobně), nebo provedený sebevražedným atentátníkem s cílem zabít a zranit co nejvíce lidí.
Kinetický kyberútok není nic jiného než výše popsaný incident, jen převedený do kyberprostoru. Může být definován jako přímý nebo nepřímý útok, který způsobí poškození, zranění nebo smrt pouze tím, že využije slabiny v informačních systémech a procesech infrastruktur nejkritičtějších odvětví lidského společenství. V širším, nevojenském, pojetí se však do stejné skupiny řadí i útoky, které nevedou k úmrtí, ale způsobí škody na fyzickém majetku. Nemusí jít jen o zařízení, která jsou rozhodující pro bezpečnost státu, či o taková, která při poruše mohou ohrozit život či jinak významně zhoršit životní úroveň obyvatel, ale i o soukromé podniky.
V roce 2015 magazín Wired vydal video, ve kterém dva hackeři, Charlie Miller a Chris Valasek, představili jimi vytvořený malware, s jehož pomocí dokázali nabourat elektronický systém vozidel firmy Jeep a ovládat v něm téměř vše, od klimatizace až po kontrolu nad volantem či pedály. V případě, že by šlo o skutečné kyberzločince, a ne o výzkumníky, mohli by mít v rukou životy statisíců lidí a poškodit Jeep do takové míry, že by se nejspíš už nevzpamatoval. Toto je jen jeden příklad za všechny. Na následujících řádcích vám představíme další, tentokrát již skutečné případy, při kterých hackeři zásadně ovlivňovali fyzický svět.
Nejen kinetické malwary mohou vážně ohrozit fungování životně důležitých infrastruktur. Například WannaCry zablokoval počítače napříč nemocnicemi ve Velké Británii, ale žádný z „klasických“ kyberútoků nebyl veden přímo za účelem fyzicky zničit jejich technické vybavení či ho na nějakou dobu vyřadit z provozu.
Právě tím se vyznačují kinetické útoky a tím povyšují kyberkriminalitu na úroveň militantních nebo paramilitantních agresí. Proto nejspíš není velkým překvapením, že většina takovýchto útoků byla financována či přímo vedena jinými státy.
Útoky, které otřásly světem
Stuxnet: první vlaštovka
První škodlivý kód, který byl přímo zaměřený na fyzické poškození, a především byl ve svém úkolu úspěšný, byl objeven v roce 2010. Toto nechvalné prvenství patří malwaru jménem Stuxnet, který napadl systémy íránského závodu pro obohacování uranu Natanz a po dobu několika let likvidoval jeho centrifugy. Svůj název získal podle částí názvů souborů, které se v kódu objevovaly.
Malware byl přitom nalezen jen náhodou: v lednu 2010 prováděli vyšetřovatelé Mezinárodní agentury pro atomovou energii (IAEA) rutinní inspekci, při které si všimli, že v hale s téměř 9 000 centrifugami je něco v nepořádku. Všechny překvapilo, že namísto očekávaných 800 odepsaných zařízení ročně musí íránští technici vyměňovat kolem jednoho až dvou tisíců odstředivek během pouhých několika měsíců. Ani vyšetřovatelé však nedokázali zjistit, proč k tomu dochází.
Až za půl roku běloruská společnost VirusBlokAda zjistila, že se počítač jejich zákazníka z Íránu příliš často restartuje, a brzy detekovali nákazu. A ta byla skutečně děsivá. Červ využíval čtyři dosud neznámé bezpečnostní slabiny a dva ukradené bezpečnostní certifikáty, což z něj dělalo snad nejsofistikovanější malware vůbec. Stuxnet byl navržený tak, aby infikoval jen zařízení se softwarem průmyslových řídicích systémů (ICS – obecný název pro různé typy) Siemens, na kterých jediných se taky aktivoval. Nicméně ne na všech, jen v těch s ovládacím rozhraním používaným téměř výhradně u pump a plynových centrifug – a to převážně v Íránu. Bylo tedy více než jasné, že virus byl navržen konkrétně pro útok na íránský jaderný program. Statistika to jen potvrdila: ze 38 tisíc počítačů napadených v prvním týdnu od počátku analýzy bylo 22 tisíc v Íránu, necelých sedm tisíc v Indonésii a čtyři tisíce v Indii.
Při dalších průzkumech vyšlo najevo, že Natanz musel být Stuxnetem nakažen už v roce 2007. Nebýt chyby v jeho kódu, ke které muselo dojít při aktualizaci, nejspíš by se o jeho existenci nikdy nikdo nedozvěděl. Brzy začalo být jasné, že takto vyspělý malware nemohl být vyvinut bez patřičného zázemí a financí, vše tedy ukazuje na to, že šlo o plánovaný útok jiného státu. Ačkoliv se žádná země oficiálně nepřihlásila, všechny důkazy naznačují, že vývoj Stuxnetu byl společnou prací armád a špionážních agentur z Izraele a USA.
Havex: pozdravy z Ruska
Hackerská skupina Dragonfly (operuje také pod názvy: Energetic Bear, Koala nebo Iron Liberty), která je zaštiťována ruskými bezpečnostními složkami, se v roce 2013 dostala do podvědomí odborné veřejnosti poté, co byl objeven malware jménem Havex. Podle výzkumníků však k prvnímu napadení muselo dojít již v roce 2010. Šlo o vysoce komplexní škodlivý software, který kombinoval tři různé vektory (způsoby nákazy), aby infikoval přes 1 000 společností působících v energetickém sektoru. Havex se zprvu soustředil na útoky proti leteckým společnostem a proti obrannému průmyslu, později se zaměřil na energetické firmy především v Evropě (k nejvíce napadením došlo ve Španělsku, Francii, Itálii a Německu) a USA. Konkrétně cílil na zabezpečení jejich průmyslových řídicích systémů (ICS), což je jeden z několika typů kontrolních systémů používaných pro monitorování průmyslových zařízení. Může se skládat z několika řadičů, ale také z celé soustavy interaktivních řídicích systémů.
Hackeři útoky rozdělili do tří fází, v té první se zaměřili na cílený phishing (tzv. spear phishing), při němž zasílali vedoucím pracovníkům personalizované PDF soubory. Druhá fáze, trvající přibližně rok, se vyznačovala takzvanými „watering hole attacks“. Při těchto napadeních útočník umístí malware na vybraný legitimní web, který jeho oběť často navštěvuje. V případě Havexu šlo o weby spojené s energetikou. Do nich nasadili bota, který návštěvníka automaticky přesměroval na stránky se škodlivým obsahem, a tak jeho počítač infikovali malwarem. Dragonfly použili trojan umožňující vzdálenou správu (RAT), kterým otevírali zadní vrátka do sítě a následně ji zcela ovládli.
Třetí fáze útoku pokročila ještě dál. Při ní malware napadl aktualizace systému SCADA/ICS (SCADA je zkratka pro „Supervisory Control And Data Acquisition“ neboli dispečerské řízení a sběr dat. Jde o software, který ovládá technická zařízení a procesy z centrálního pracoviště). Každý zákazník, který si aktualizace dodávané třemi firmami sídlícími v Německu, Belgii a Švýcarsku stáhl, mohl v balíčku získat i malware Havex. Tyto aktualizace byly na oficiálních stránkách k dostání od 10 dnů do 6 týdnů, než byl škodlivý kód detekován, za tu dobu si je mohly stáhnout tisíce společností. Proto se jen velmi těžko odhaduje, jak velká a rozsáhlá šíře nákazy byla.
Poté, co došlo k infikaci, mohli útočníci nejen ovládat celý řídicí systém, ale zároveň také ukrást veškeré informace o využívaných průmyslových zařízeních. To byl taky, jak se ukázalo, nejspíš hlavní účel Havexu. Po zkušenostech se Stuxnetem celý svět čekal na nějaký velký a destruktivní útok, nicméně k ničemu zásadnímu nedošlo. Malware byl však nalezen i v jiných než chemických a průmyslových společnostech, například v několika nemocničních zařízeních. IT experti proto věří, že měl především prověřit zabezpečení firem a otestovat různé způsoby, jak kyberneticky ovládnout klíčová odvětví každého státu. Jen sotva však lze vyloučit i kyberšpionáž.
Triton: překročení hranice
Žádný malware o sobě nemohl prohlásit, že by splňoval striktní, vojenskou definici kinetického kyberútoku – až do objevení Tritonu (někdy také nazývaného Trisis). Tato mnohem děsivější, vylepšená varianta kódu Stuxnet je vytvořena tak, aby způsobila nejen škody na majetku, ale především na životech. Jde tak o nejnebezpečnějšího červa současnosti. Pojmenován je podle blokovacího systému (řídicího systému bezpečnosti a zabezpečení proti poruchám a selhání, nezávislého na ostatních přístrojích) Triconex, který slouží jako poslední záchrana před katastrofou, když selže lidský i mechanický faktor.
Když v roce 2017 došlo v petrochemickém závodě Petro Rabigh v Saúdské Arábii k prvnímu nouzovému odpojení, technici si mylně mysleli, že se jedná o ojedinělou mechanickou závadu. Druhý incident o dva měsíce později však vzbudil podezření, a proto zavolali bezpečnostního IT experta, Australana Juliana Gutmanise, který pracoval pro ropnou společnost. A ten se naprosto zhrozil. Šest systémů nouzového odpojení (ESD) bylo napadeno neznámým virem, a to i když se do té doby věřilo, že Triconex nelze napadnout jinak než fyzickým kontaktem infikovaného zařízení se systémovým počítačem. Dosud se neví, jak k nákaze došlo, ale nejpravděpodobnějším způsobem je phishing.
Hackeři po úspěšném nabourání Triconexu získali plnou kontrolu nad systémem a mohli téměř vše. Naštěstí zasáhla prozřetelnost, útočníci nedostali možnost svůj plán, ať už byl jakýkoli, dokončit, jelikož se v jeho kódu objevil bug – právě ten způsoboval odstávky. Pokud by svou činnost dokončili, hrozila by exploze či únik nebezpečného sulfanu do ovzduší, kterým by už nikdo nedokázal zabránit. Nakonec bylo nutné provoz celého závodu dočasně ukončit.
Systémy Triconex nejsou využívány jen v ropném průmyslu, jsou poslední obranou mnoha zařízení včetně vodáren, jaderných elektráren nebo dopravních systémů. Naštěstí ale stále není důvod k panice, každý řídicí systém Triconex je navrhován a upravován podle potřeb jednotlivých průmyslových procesů, proto úspěšné napadení jednoho podniku nutně neznamená, že je v nebezpečí každá další společnost. Spíše jde o varování, že se přiblížila doba, ve které bude kyberkriminalita způsobovat i ztráty na životech, zvlášť když i v případě původu Tritonu několik nepřímých důkazů ukazovalo na Ruskou federaci.
Bezpečnostní experti i policie potvrzují slova Juliana Gutmanise: „I když byl tento útok první, byl bych překvapen, kdyby byl poslední.“