Konec leta 2023 smo priča odmevnemu primeru napada z izsiljevalskim virusom na Holding slovenskih elektrarn. O sami preiskavi seveda iz SI-CERT ne moremo izdajati podrobnosti, vendar pa je ta incident lahko vzpodbuda, da se ozremo na vlogo nacionalnega odzivnega centra, ocenimo sodelovanje z različnimi deležniki v državi, pogledamo povezanost v mednarodno CSIRT skupnost in opišemo druge aktivnosti SI-CERT, ki so morda širši javnosti niso vidne. Gre za splošne informacije, kakšno pomoč lahko ponudi SI-CERT, ki s konkretnim incidentom niso povezane.
Izsiljevalski virusi
O izsiljevalskih virusih (ransomware) smo prvič pisali že leta 2013. Ciljali so široko, med žrtvami so bili najprej individualni uporabniki, velik porast pa smo lahko spremljali v letih 2016 in 2017, zato smo jim poseben razdelek posvetili takrat v dvojnem letnem poročilu. Virusa WannaCry in NotPetya iz leta 2017 sta izsiljevanje uporabila kot krinko, saj je kmalu postalo jasno, da je njun namen uničevanje podatkov in povzročanje motenj v delovanju okuženih sistemov. Kasneje so kriminalne skupine spremenile pristop: namesto ciljanja na široko javnost in odkupnin višine nekaj sto evrov, so začeli iskati bolj bogate tarče: podjetja, ki jim izpad poslovnih sistemov pomeni večjo škodo in so zato pripravljena izplačati veliko višje odkupnine.
O poteku napada in posledicah, nasvetih za zaščito in zmanjševanje tveganj smo spisali tehnični zapis SI-CERT TZ011 / Napredni napadi z izsiljevalskimi virusi, ki ga redno posodabljamo.
Če povzamem na kratko: najpogostejši vstopni vektorji so: nezaščiten oddaljen dostop, nezakrpane ranljivosti izpostavljenih storitev, kraja poverilnic (sploh v kombinaciji z VPN dostopom) in virusi v priponkah elektronske pošte.
Pomoč SI-CERT
Vstopni vektor (kako so storilci prišli do omrežja) je ponavadi tudi prvi cilj preiskave. Želimo namreč ugotoviti in potrditi, da vemo, kje je bila izvorna točka vstopa v omrežje žrtve. Ker so nam znane tehnike storilcev, vemo, da potem skušajo priti do čimveč sistemov na omrežju, dragulj pa jim predstavlja dostop do Windows domenskega strežnika; skozi njega se ponavadi lahko “odklene” dostop kar do večine omrežja. Storilci nadaljujejo z eksfiltracijo podatkov, katerih javna objava bi lahko škodila podjetju, ter na koncu zašifrirajo sisteme, kar onesposobi delovanje podjetja. Vprašanje, ki ga pogosto dobimo na SI-CERT, je: “Kako lahko sploh pomagate v takšnem primeru?”
Res je, načrta omrežij žrtve in seznama tam uporabljenih programskih rešitev ponavadi nimamo in dejstvo je, da se je nemogoče prilagoditi čisto vsem možnim okoljem, sploh v kratkem času in v urgentnih razmerah. Izsiljevalski virusi so se razvili skozi leta do stopnje, kjer le izjemoma obstaja rešitev mimo uporabe ključa, ki je v posesti storilcev. Čudežev ne moremo pričakovati. Pomagamo pa lahko z nabranimi izkušnjami metod storilcev (TTP – tehnike, taktike in postopki) iz primerov, ki smo jih obravnavali sami, kot tudi na podlagi izkušenj kolegov v CSIRT skupnosti, sorodnih centrov v EU in širše. Kadar se zloraba začne z okužbo posameznega računalnika, lahko opravimo analizo sistemskih dnevnikov in zlonamerne kode, za kar imamo vzpostavljen ustrezen laboratorij in na voljo strokovne kadre.
Preiskava ponavadi razkrije različne indikatorje zlorabe (IoC, Indicators of Compromise), ki jih je pametno deliti z drugimi vpletenimi v incident tako v državi, pa tudi v CSIRT skupnosti (tu gre izpostaviti EU Mrežo CSIRT, ki je bila ustanovljena ob sprejemu prve direktive NIS). Ker mora izmenjava potekati hitro, se izvaja skozi mrežo sistemov MISP, ki so povezani med seboj.
Na SI-CERT upravljamo centralno vozlišče MISP v državi in smo dobro povezani v mednarodno skupnost.
Doma želimo k uporabi te platforme vzpodbuditi čimveč zavezancev po Zakonu o informacijski varnosti (kar nekaj jih je že povezanih), podatke izmenjave lahko namreč povežejo v svoje SIEM sisteme in sporočene indikatorje upoštevajo pri zaščiti svojega omrežja. Izmenjava pa nima samo tehnološke komponente, ampak gre pogosto tudi za odločitve, katere indikatorje bomo v katerem trenutku delili s kom. Na SI-CERT smo načeloma na stališču, da prej širše in hitreje, kot ožje in kasneje, ampak se zraven zavedamo, da obstajajo tudi drugi utemeljeni pogledi na to in da naš ni vedno edini najbolj pomemben. Hitra izmenjava IoC je v tudi med pomembnimi aktivnostmi v načrtu za naslednje leto.
Krpanje ranljivosti
V današnjih pospeških digitalizacije je vedno bolj jasno, da je odpravljanje ranljivosti postalo izredno pomembno. To izpostavlja tudi direktiva NIS2 in SI-CERT bo v skladu z njo postal koordinator za ti. usklajeno razkrivanje ranljivosti. Ranljivosti so tudi eden od vstopnih vektorjev in stalno lahko spremljamo, kako se te začnejo zelo hitro izkoriščati v kibernetskih napadih. Ameriška CISA (Cybersecurity and Infrastructure Security Agency) vodi seznam ranljivosti, ki se aktivno uporabljajo v napadih (Known Exploited Vulnerabilities Catalog) in zraven tudi označuje, ali se izrabljajo v napadih z izsiljevalskimi virusi. Kot nacionalni odzivni center na SI-CERT dobivamo podatke o ranljivih sistemih v državi in te potem posredujemo upraviteljem sistemov (ali pa ponudnikom, če se upravitelja ne da ugotoviti prek drugih podatkov). Gre za rezultat zajema iz honeypot mrež, širokega pregledovanja interneta in zaseženih botnetov, ki nam jih posredujejo tuji partnerji. Kadar pa ocenimo, da gre za pomembno in razširjeno ranljivost, pripravimo tudi lastne preglede. Kako je potekal eden od teh, si lahko preberete v našem članku Krpanje MS Exchange strežnikov iz leta 2021. Zakaj tega ne počnemo vedno, izveste na koncu tega članka.
Glede na trende pri številu novoodkritih ranljivosti se zavedamo, da bomo v naslednjih letih morali delati na hitri identifikaciji prizadetih sistemov in njihovih skrbnikov, čemur bo sledilo hitro obveščanje. Ko razpošiljamo navodila za krpanje, lahko sproti tudi spremljamo, kako hitro se stanje spreminja. Zanimivo je, da je nekaterim naslovnikom opozorila najbolj pomembno, od kod nam je na SI-CERT sploh znano, da imajo ranljiv strežnik. No, na koncu je vedno sam skrbnik ali lastnik sistema odgovoren za to, kako upravlja s svojimi digitalnimi viri.
Pod črto
Milan Gabor iz podjetja Viris, d.o.o., je 29. novembra 2023 v Odmevih na TV Slovenija na koncu prispevka omenil, da v konkretnem primeru HSE vseeno ni prišlo do izpada dobave elektrike, kar je pomembno, in tu se z njim popolnoma strinjam. Če kibernetski napad nima vpliva na naša življenja, ostane sicer res še vprašanje stroškov odprave posledic, kjer sicer vsakodnevno spremljamo zgodbe velikih sistemov v tujini, z neprimerljivo večjimi proračuni za kibernetsko varnost, ki so vseeno utrpeli posledice. Ampak to je nekaj, za kar so pristojni drugi organi v državi. Kar pa je jasno nam na SI-CERT, je dejstvo, da gre za vprašanje, ki mu bo treba posvečati konkretne ukrepe in oblikovati vizijo razvoja, ki bo pripeljala do tega, da bomo lahko zaveze, ki jih pišemo v državne strategije, dejansko tudi uresničili. Če namreč pogledamo na različne mednarodne indekse, ki merijo pripravljenost držav na področju kibernetske varnosti, ne moremo biti zadovoljni. Sam stojim močno za trditvijo, da tega zaostanka ni povzročil en človek v nekem danem trenutku, ker gre bolj za desetletja zanemarjanja tega področja v državi. Vsak dan lahko sicer v medijih beremo, kako je kibernetska varnost resno in zelo pomembno področje, vendar se mora to na koncu tudi preslikati v konkretne in premišljene ukrepe.
Gorazd Božič
vodja SI-CERT
december 2023