Pre kybernetických útočníkov môže byť zaujímavá akákoľvek obeť. Stačí, ak nájdu slabé miesto a dôkladne ho využijú ku svojmu pochybnému účelu. Ovládnutie siete a zašifrovanie dát im umožní firmu vydierať. Množstvo spoločností totiž vyradenie prevádzky aj len na niekoľko hodín, nie to ešte dní alebo dokonca týždňov dosť zabolí. A s tým práve útočníci ransomwarom počítajú.

Pre niekoho možno nenápadná štátna spoločnosť, akou sú Lesy Slovenskej republiky, by sa mohla zdať ako nepravdepodobný terč kybernetického útoku. Podnik, ktorý hospodári so štátnym lesným majetkom, ale jednému takému bezpečnostnému incidentu musel čeliť v roku 2022.

Na konci letných prázdnin skupina útočníkov po niekoľkodennej príprave zahájila rozsiahle šifrovanie dát. Útok ransomwarom sa rozšíril do celej podnikovej siete, od infraštruktúry dátového centra v centrále až po servery a počítače na lesných závodoch a lesných správach. Došlo k prieniku do doménových účtov, služby Active Directory a šifrovanie podnikových a užívateľských dát a niektorých záloh. Siedmy deň sa ozvali útočníci s podmienkami.

Výsledkom útoku bolo odstavenie celej podnikovej IT infraštruktúry. Nič menej nasledovalo jej postupné a bezpečné obnovenie. Piaty deň po útoku bol odoslaný prvý e-mail, siedmy deň boli spustené prvé podnikové aplikácie, dvanásty deň bola sprevádzkovaná väčšina centrálnych systémov a do mesiaca a pol od útoku došlo ku kompletnej reinštalácii celého prostredia vrátane pracovných staníc a notebookov. Prvé dva týždne ale prebiehal obchod a prevádzka podniku výhradne na papieri.

Každá výzva ma riešenie

Prvým krokom po zaregistrovaní útoku, okolo 6:30 ráno, bolo vypnutie dátového centra, zastavenie vnútornej sieťovej komunikácie a neskôr úplná izolácia celej siete. A zavolanie spoločnosti AUTOCONT na pomoc. Behom niekoľkých hodín sa zapojilo sedem špecialistov, z nich sa niekoľko vydalo fyzicky do sídla slovenských Lesov v Banskej Bystrici. Bol vytvorený krízový štáb, ktorý koordinoval spoločne tímy a postup obnovovacích prác.

V prvých hodinách sa snažili postupnou analýzou všetkých zložiek infraštruktúry zistiť, ako útok prebiehal, kedy sa dáta začali šifrovať, čo mu predchádzalo, a aký je celkový rozsah poškodenia a použiteľnosť dát v zálohách a replikách. Hľadali pevný bod, na ktorý by sa ICT infraštruktúra Lesov SR mohla po útoku spoľahnúť. Tu sa ukázalo, že garantovaný a neprepisovateľný centrálny logovací systém, ktorý by bol odolný aj voči zásahom samotných správcov, by výrazne ušetril čas.

Analýza rozsahu a dopadu incidentu zistila, že sa útočníkom nepodarilo preniknúť do sieťových prvkov. Použiteľné a overené zálohy systémov a dát zostali k dispozícii a bol identifikovaný pravdepodobný čas prvých rozsiahlych aktivít útočníka. Na základe podrobných analýz bol stanovený ‘‘bezpečný‘‘ stav, teda doba, do ktorej budú dáta a systémy obnovené. Prioritným spôsobom bolo obnovených zhruba 40 TB dát.

V rámci obnovy jednotlivých prostredí boli podľa dohodnutých postupov všetky obnovené systémy preverené na známe zraniteľnosti špecializovanými penetračnými testami, každý systém bol preverený na kompromitáciu útočníkom a predovšetkým naši špecialisti aplikovali všetky doporučené konfiguračné zmeny vedúce ku zvýšeniu bezpečnosti daného prostredia (hardening). Išlo napríklad o spevnenie služby Active Directory, rekonfiguráciu firewallov, spevnenie operačného systému, stupňovanie účtov správcov domény, zmenu hesiel lokálnych správcov na koncových zariadeniach (LAPS), nasadenie nového antivírusového a dohľadového riešenia, zmenu všetkých hesiel v doméne (užívateľských, systémových aj správcovských) a ďalšie kroky.

Súbežne prebiehalo vyšetrovanie a komunikácia s príslušnými organizáciami zodpovednými za formálne pokrytie, vyšetrovanie a riešenie incidentu – NSA, CSIRT, Úrad pre ochranu osobných údajov a samozrejme slovenská polícia.

Prvým významným míľnikom obnovy bolo na piaty deň po útoku spustenie elektronickej pošty, aj keď väčšina zamestnancov si ju mohla zatiaľ čítať len na svojich telefónoch. Druhým bolo spustenie podnikových aplikácií a spracovanie mesačnej uzávierky. A tretím bola reinštalácia poslednej pracovnej stanice. Plné sprevádzkovanie centrálnych komponentov po útoku trvalo dvanásť dní. Po siedmych týždňoch sa všetko podarilo sprevádzkovať.

‘‘Hoci sa fyzická obnova prevádzky informačných systémov počíta na dni a následná kontrola všetkých pracovných staníc na týždne, kľúčové rozhodnutia a plán obnovy prevádzky bol konzultovaný a odsúhlasený v zásahovom tíme behom niekoľkých hodín a správnosť rozhodnutia sa v priebehu obnovy potvrdila a nebolo nutné ju zásadne meniť,‘‘ dodal Andrej Melicher, vedúci správy systémov Lesy SR.

Príbeh skončil happy endom a potleskom v stoji. Každopádne poslúžil ako veľmi cenná lekcia. Útokom sa zabrániť nedá a stať sa to môže v akomkoľvek podniku. Bezpečnostný incident, takéhoto rozsahu, aký sa odohral v štátnom podniku Lesy Slovenskej republiky, plne odhaľuje, ako krehká je bezpečnosť v prostredí informačných technológií a ako dôležité je neustále vzdelávanie všetkých zamestnancov, ktorí so systémami pracujú.

Čo sme sa naučili
 

• Existuje veľa malých zmien v infraštruktúre IT, ktoré môžu mať veľký vplyv na bezpečnosť. Vie sa o nich, ale často sa nestihnú previesť. Pritom je stokrát lepšie požiadať o ich implementáciu externú firmu, ako to nespraviť vôbec. 
• U väčšiny zákazníkov je nutné prepracovať nasadenie zálohovania tak, aby existovala aspoň jedná kópia záloh, ktorú nemá nikto, ani miestny správca, možnosť zničiť.
• V dnešnej dobe nie je ‘‘zero trust‘‘ frázou, ale nutnosťou.