Primárním motivem kybernetických útoků jsou finance, ať už získané vydíráním nebo prodejem odcizených dat a duševního vlastnictví. Zejména v obranném průmyslu mají tyto informace, v podobě technologických inovací, vojenských strategií nebo výrobních procesů, obrovskou hodnotu.

Dle studie společnosti Black Kite z roku 2022, která analyzovala kybernetickou odolnost 100 nejvýznamnějších amerických dodavatelů v oblasti obrany, byla technická připravenost společností v oblasti zabezpečení přenosu dat a aplikací znepokojivě nízká. 17 % dodavatelů využívalo zastaralé IT systémy a více než 32 % společností bylo zranitelných vůči ransomwarovým útokům.

V tomto kontextu hrají významnou roli APT (Advanced Persistent Threat) skupiny, jejichž cílem je mimo jiné ochromit výrobu zbrojních systémů a oslabit obranyschopnost napadených států.

APT skupiny = Typicky státní nebo státem podporované, vysoce organizované, dobře financované subjekty, známé svou nenápadností, trpělivostí a schopností vést dlouhodobé kyberneticko-špionážní kampaně.

Variabilita ve způsobu i provedení

Státem podporované skupiny stály například za medializovanými útoky na největšího německého výrobce zbraní, společnost Rheinmetall, v roce 2023. První útok, organizovaný proruskou hackerskou skupinou Killnet, se zaměřil na externě dostupné IT služby společnosti, ve snaze je přetížit. Robustní IT infrastruktura Rheinmetallu však dokázala dopad DDoS útoku minimalizovat. 

DDoS (Distributed Denial of Service) útok = Forma kybernetického útoku, při němž se zločinci snaží poškodit stránky nebo jiné online služby tím, že je zahltí velkým množstvím falešných nebo nevyžádaných požadavků a tím znemožní zpracování validních požadavků. 

Druhý útok na Rheinmetall, ve formě ransomwaru, provedla ruská skupina Black Basta a za následek měl krádež firemních dat z civilní části IT systému. Díky přísnému oddělení v rámci IT infrastruktury nedošlo k průniku do systémů obsahujících údaje o zbrojních aktivitách společnosti.  Dle finanční ředitelky společnosti, Dagmar Stehinert, i přesto útok způsobil společnosti škody ve výši nejméně 10 milionů dolarů.

Ransomware = Typ škodlivého softwaru neboli malwaru, který zablokuje oběti přístup k datům nebo systémům (typicky prostřednictvím zašifrování), s tím, že pokud oběť nezaplatí výkupné, přístup jí nebude obnoven.

Pozor na “známé tváře“

Další využívanou a velmi sofistikovanou hackerskou taktikou je sociální inženýrství.

Mediálně známým příkladem je operace Dreamjob, severokorejské kyberzločinecké skupiny Lazarus, která primárně cílí na klíčové zaměstnance společností z oblasti obrany a státní správy.

Jedná se o dlouholetou, dosud trvající kampaň, v rámci které si zločinci vytvářejí falešné profily na sociálních sítích a pracovních portálech a komunikují s obětí - dny, týdny nebo i měsíce, dokud si nevybudují důvěryhodný vztah. Ve vhodném okamžiku odešlou zaměstnanci PDF s pracovní nabídkou. Tento soubor je však infikován malwarem, který skupině umožňuje sbírat informace o činnosti společnosti a také o jejích financích, za účelem jejich odcizení. Jedná se tedy o kombinaci špionáže a krádeže.

Operaci Dreamjob odhalila v roce 2020 společnost ClearSky, a to po sérii útoků na desítky společností po celém světě. Nabídka “práce snů“ byla údajně zasílána jménem některých z nejvýznamnějších obranných a leteckých společností v USA, včetně společností Boeing, Lockheed Martin nebo BAE.

V září 2023 tímto způsobem Lazarus úspěšně zaútočil na zaměstnance španělské letecké společnosti. V tomto případě se útočník vydával za náboráře pro společnost Meta, oslovil zaměstnance prostřednictvím profesní sítě LinkedIn a přiměl jej otevřít škodlivý soubor, který prezentoval jako kódovací výzvu – součást výběrového řízení.

Sociální inženýrství = Netechnický způsob útoku, při kterém se útočník vydává za autoritu, známou instituci nebo osobu a pomocí manipulace (např. vyvoláním strachu, studu či radosti) přiměje oběť k předání citlivých údajů nebo peněz. Často nabádá k rychlé reakci a obcházení bezpečnostních pravidel.

Slabý článek v řetězci

Oblíbenou „ aktivitou“ hackerských skupin jsou také útoky na dodavatelské řetězce výrobních firem. Ty pro útočníky představují často snadnější cestu k proniknutí do páteřních systémů výrobce.

Infosecurity Magazine zařadil mezi TOP10 útoků v USA za loňský rok útok na společnost Ivanti, poskytovatele virtuálních privátních sítí (VPN) a Zero Trust Network Access sítí (ZTNA).

Čínská skupina UNC5325 v tomto případě zneužila dvou zero-day zranitelností v bránách Ivanti Connect Secure a Policy Secure. Zmiňované brány měli zabezpečovat šifrované spojení a přenos dat a chránit tak firmy, zákazníky společnosti Ivanti, před zneužitím citlivých údajů.

Útok měl dopad na subjekty napříč různými sektory, včetně vládního, vojenského, telekomunikačního, technologického, finančního, poradenského a leteckého průmyslu.

Zero-day zranitelnost = Bezpečnostní slabina v softwaru, která již byla objevena, ale dosud nebyla vývojáři opravena. Název "zero-day" odkazuje na skutečnost, že vývojáři mají "nula dní" na to, aby zranitelnost opravili, než ji útočníci začnou zneužívat.

Prevence a plán

Otázka ochrany před těmito útoky je poměrně komplexní a v případě cílů v oblasti kritické infrastruktury komplikovanější o politický podtext některých útoků.

Základními pilíři kybernetické bezpečnosti společností by však měly být: 

Investice do technologií: využívání pokročilého šifrování, pravidelné bezpečnostní audity a zavedení systémů pro monitorování hrozeb v reálném čase.

Striktní oddělení IT systémů: důsledná segmentace IT Infrastruktury, které pomůže bránit rozšíření útoků mezi jejími jednotlivými segmenty.

Audit dodavatelů: zpřístupnění systémů společnosti pouze dodavatelům, kteří splňují stanovené požadavky na úroveň zabezpečení proti kybernetickým útokům. 

Školení zaměstnanců: kontinuální vzdělávání zaměstnanců, simulování kybernetických útoků a zvyšování povědomí o taktikách hackerských skupin.

IT Business Continuity Plan: definice procesů a akcí, které společnosti pomohou rychle reagovat na vzniklou situaci a minimalizovat škody.

V posledním zmíněném bodě mohou pomoci také rychle dostupné služby odborníků, které jsou v ideálním případě součástí uzavřeného pojištění kybernetických rizik.