Milan Pikula zo SKCERT-u priblížil zákulisie riešenia kybernetických incidentov na konkrétnych príkladoch. Od cielených phishingových kampaní pripisovaných GRU cez prípad kamier na hraniciach až po únik prihlasovacích údajov do štátneho systému. Opakované posolstvo bolo jasné: podozrenia treba hlásiť a postupovať tak, aby sa dali incidenty dôkladne vyšetriť.
Od phishingu po kamery: ako sa skladá mozaika
Keď SKCERT dostal rozsiahly report, prvým krokom bolo porovnanie s existujúcimi tiketmi a znalosťami. Zhruba polovica prípadov už bola priradená rovnakej skupine, ďalšie sa podarilo stotožniť vďaka novým súvislostiam. Typickým vektorom boli cielené phishingové e-maily, ktoré sa tvárili dôveryhodne a snažili sa získať prístup do infraštruktúry obete. Pikula vyzval, aby ľudia nahlasovali aj „banálne“ podozrivé správy, lebo môžu byť súčasťou koordinovanej kampane.
Mediálne pozornosti sa dočkala téma kamier na hraniciach, ku ktorej SKCERT cielene varoval organizácie v riziku. Paralelne požiadal partnerov o nezverejnené informácie, aby si overil detaily a širší kontext. Pomohli aj kontakty špeciálneho vyslanca NBU vo Washingtone, ktorý otvoril dvere k správnym ľuďom. Príbeh ukazuje, že efektívna reakcia stojí na prepájaní dát, spolupráci a rýchlej výmene informácií.
Koordinácia cez ISKB stojí na kvalitných dátach
V inom prípade, tzv. transferovom incidente, prebiehalo nahlásenie aj koordinácia cez Jednotný informačný systém kybernetickej bezpečnosti (ISKB). Útočnícku skupinu sa podarilo identifikovať už z textu výkupného, pričom závery potvrdila forenzná aj malvérová analýza. Vzorka škodlivého kódu a jeho správanie sedeli na známe stopy. Prípad ilustruje, že technické dôkazy a centrálna koordinácia dávajú rýchlej reakcii pevný rámec.
Problémom však bolo, že údaje v ISKB boli vyplnené chaoticky, najmä v poliach typu „analýza útoku“ a „plán“. Analytikom to zbytočne skomplikovalo prácu a predĺžilo riešenie. Pikula preto apeloval na prevádzkovateľov, aby formuláre vypĺňali presne a prehľadne. Lepšie dáta znamenajú rýchlejšiu pomoc a menšie škody.
Infostealer a štyri kontá na predaj: lekcia z praxe
Prvý incident priamo súvisiaci s ISKB odhalil monitoring únikov: na darkwebe sa predávali prístupy do systému. Išlo o štyri účty – troch štatutárov a jedného manažéra kybernetickej bezpečnosti – pričom tri firmy zdieľali toho istého manažéra, čo je na Slovensku bežné. SKCERT okamžite zablokoval všetky účty a skontroloval prihlásenia. Ukázalo sa, že prihlasoval sa iba manažér a len zo slovenských adries, čo mierne znižovalo bezprostredné riziko.
Podľa formátu uniknutých dát išlo pravdepodobne o malvér Luma Stealer a obeti uniklo takmer 300 prihlasovacích údajov. Dotknutý používateľ spomenul nečakané prihlasovacie okno a následnú preinštaláciu počítača, čím znemožnil analýzu pamäte a disku. Následne sa ukázalo, že škodlivý kód v systéme pôsobil dlhšie, než si všimol. Kľúčové poučenie: incidenty treba bezodkladne nahlásiť a nezahladzovať stopy – experti potom vedia metodicky poradiť, čo urobiť, aby sa škody minimalizovali.
