Červencová událost, při které íránští hackeři napadli několik univerzit na Blízkém východě, připomněla, jak křehké je v dnešní době bezpečí toho, na čem stojí naše civilizace – tedy na našem vzdělání. Univerzity byly zároveň v tomto roce častým terčem kybernetických útočníků.
V červenci tohoto roku došlo k sofistikovanému útoku sociálního inženýrství, který byl veden skupinou hackerů z Íránu. Byl zaměřený na vzdělance z Blízkého východu pohybující se v akademickém prostředí, a to jak na univerzitní profesory, tak na novináře nebo členy různých think tanků. Kybernetický útok byl maskován jako pozvánka na debatu Londýnské univerzity Orientálních a Afrických studií (světově známý pod zkratkou SOAS) a jeho cílem bylo získat citlivé informace pro Íránské revoluční gardy (IRGC), které jsou např. federálními autoritami v USA vedeny jako teroristická organizace.
Samotný útok odhalila bezpečností firma Proofpoint a připisuje ho nebezpečné organizaci označované jako TA453 nebo jednodušeji jako Phosphorus, která je známá získáváním údajů a dat právě pro IRGC. Dle odborníků se jedná o doposud vůbec nejsložitější útok, který se kdy TA453 povedl. Na první pohled se sice zdá jednoduchý, protože funguje na principu falešného odkazu, který je obvyklým postupem při podobných operacích. Útočníci rozeslali emaily skupině velmi specificky vybraných obětí s pozvánkou na akademickou on-line konferenci s příslibem toho, že se jí zúčastní spousta světových intelektuálů, a tak by neměli chybět. Už samotný výběr ale dle odborníků implikuje, že akce musela probíhat za použití algoritmu, který odhalil nejdůležitější postavy blízkovýchodního akademického světa.
Zásadní je ale to, že samotný phishingový odkaz vedl na skutečné legitimní stránky Londýnské univerzity SOAS, ta byla ovšem kompromitovaná útočníky. Zde se mohli jednotliví účastníci registrovat a nic tak nevypadalo podezřele. Aby ještě podtrhli autenticitu registrace, byly odkazy personalizované, a tak se jednotlivým obětem zdálo, že je stránka vytvořena přímo pro ně. „Použití legitimní univerzitní infrastruktury k provedení kyberútoku značí, že se sofistikovanost skupiny TA453 neustále vyvíjí a pokračuje ve stále schopnějším získávání citlivých informací pro IRGC,“ řekl jeden z výzkumníků bezpečnostní firmy Proofpoint. Tím, že jsou Íránské gardy mnoha státy vedeny jako teroristická organizace, je to hrozba o tolik větší.
O tomto prvním případu informoval server Hacker News. Tím se ale dostáváme obecněji k útokům na univerzity.
Proč jsou univerzity pro hackery ideální cíl?
Univerzity jsou po celém světě vhodným cílem útoku. Často nejsou dostatečně chráněné, protože jejich vedení podceňuje nebezpečí. Není to ale jen nepřipraveností. Hlavním problémem zabezpečení akademického prostředí je, že většina univerzit má svůj vlastní informační systém a spoléhá na své IT pracovníky, kteří na útoky v tak velké škále nemohou být připraveni.
Další problémem jsou studenti, kteří přicházejí a odcházejí každý rok, tudíž se jako uživatelská skupina špatně kontrolují. V dnešní době navíc řada z nich aktivně používá sociální sítě, kde můžou lehce kliknout na odkaz s malwarem, skrz který se hackeři dostanou do sítě. Učit studenty o kyberbezpečnosti je pak komplikované právě tím, že se pořád střídají, což vyžaduje kontinuální a opakované lekce.
Navíc ochrana celého univerzitního prostředí trpí tím, že se jedná o velmi svobodné a otevřené sítě. Akademici si zakládají na svobodném přístupu k informacím a navíc na technologicky zaměřených fakultách jsou jakákoliv omezení nežádoucí a mohou kolidovat se studiem nebo výzkumem. V takto benevolentním prostředí je ochrana koncových zařízení a uživatelů opravdovou výzvou, kterou musí zvládnout tým často podfinancovaných specialistů.
Nejde pak jen o vyděračské útoky ransomware. Podle výzkumu vedeném novináři Wall Street Journal útočili hackeři loni na více jak 27 univerzit po celých Spojených státech, Kanadě a jihovýchodní Asii, kdy bylo jejich cílem ukrást citlivé informace v oblasti výzkumu námořních technologiích pro válečné účely jiných států. Další motivací jsou velké počty studentů, jejichž osobní informace pak mohou hackeři dále využívat.
Další případy
V loňském roce musela Kalifornská univerzita v San Franciscu zaplatit hackerům výkupné o částce 1,14 milionu dolarů po tom, co napadli jejich fakultu medicíny. To školu přinutilo zastavit veškeré vyučování a praktika, protože se útočníci dostali do samotného informačního systému a byli schopni ho ovládat a vytahovat z něj všechny citlivé informace. Po několika pokusech útok zastavit se nakonec vzdali a částku museli zaplatit.
Podobně na tom byla i kanadská Univerzita Simona Frasera, která přišla loni o informace více jak 250 tisíc lidí, kteří na ní studují a pracují. Byli navíc napadeni ransomware útokem 2.0, což znamená, že pokud by se jim podařilo data získat od hackerů zpátky, útočníci je stejně mají zálohované a mohou nadále hrozit, že je bez výkupného zveřejní. Informace, které získali, obsahovaly nejen čísla občanských průkazů, ale také data narození, jména a kontaktní informace. Univerzitě se podařilo získat od útočníků vše zpátky, nicméně vedení odmítlo odpovědět na otázku, zdali platili výkupné.
Naše zkušenost
Whalebone chrání Vysokou školu ekonomickou v Praze (VŠE), kde se staráme o bezpečnost více jak 13 tisíc studentů a stovky pracovníků. Nasazení Whalebone proběhlo rychle a efektivně, bez jakéhokoliv zdržení provozu školy, a celou síť nyní chrání proti malwaru, phishingu, ransomwaru a jiným hrozbám. Daří se nám dvě zásadní věci:
1) Chráníme všechna zařízení školy včetně těch, která VŠE nemá ve správě. Kromě zaměstnanců využívá sítě VŠE spousta uživatelů, jejichž zařízení nemá univerzita pod kontrolou. Mohou to být například studenti, kteří se odkudkoliv přihlašují k WiFi infrastruktuře eduroam nebo studenti na kolejích. Je mimo moc univerzity, aby je přiměla chovat se zodpovědně, případně mít v zařízeních aktualizované antivirové programy.
2) Zjednodušujeme administrativní práci. Mít kontrolu nad provozem sítě, do které se připojují desítky tisíc zařízeníz různých míst vyžaduje používání přehledných a funkčních nástrojů. Cílem bylo výrazně zvýšit přehled pro správce sítě a umožnit jim pracovat v intuitivním, snadno ovladatelném prostředí, které jim umožní identifikovat a řešit případné problémy.
Závěr
Je zcela jasné, že kyberútoky na akademické prostředí budou nadále růst, neboť se tak děje rok od roku. Jediným řešením je, aby školy začaly bezpečí v on-line prostoru brát vážně a zaváděly patřičná opatření. Podcenění bezpečnostní situace může vést i ke krádežím informací a technologií, přičemž některé z nich mohou být zneužity velmi radikálně.
