Kybernetický útok může jít i skrz falešné faktury

Na odstranění následků hackerského útoku bylo na lokalitě Darkov zřízeno i krizové pracoviště s předsunutým service deskem a službou vzdálené podpory. Foto: pixabay.com

Data v počítačové síti OKD zašifroval škodlivý kód ani ne deset dnů po útoku hackerů na nemocnici ve středočeském Benešově. Martin Straka, vedoucí IT oddělení těžební společnosti, v rozhovoru pro Měsíčník Horník vyslovil mínění, že odstraňování škod bude obtížnější, jelikož firemní infrastruktura je složitější, než u zdravotnického zařízení.

Dá se už komentovat, co se přesně stalo?

S ohledem na vyšetřování případu kriminalisty Policie ČR a počítačovými experty NÚKIB se musíme omezit jen na některá fakta. První vlna takzvaného phishingu – tedy rybaření, kdy hacker zkouší, kdo se nechá chytit a napadnout – přišla v pátek 20. prosince. V noci z neděle 22. na pondělí 23. následoval hlavní nápor, kybernetický útok. Virus zašifroval veškerá data napadených počítačů, čímž znemožnil jejich činnost. OKD, ve spolupráci s hlavním ICT dodavatelem DXC/ATOS, samozřejmě v rámci bezpečnosti implementovala řadu opatření, která v konečném důsledku pomohly následky zmírnit, přesto ale byly zejména pro serverovou, aplikační a technologickou infrastrukturu fatální. Ztrátu dat v počítačích, které neměly offline zálohu, můžeme považovat za nevratnou.

Čtěte také:
Další podivnosti kolem bytů OKD
Soud posvětil převod pozemků Bakalovi

Je náhoda, že hackeři útočili o víkendu?

Zkušenosti ze světa nám napovídají, že nikoliv! Naopak, hrají o čas a využívají volné dny a období, kdy jsou delší plánovaná volna. Načasovávají útoky tak, aby uživatelé a následně počítačoví specialisté nebyli na pracovištích a reagovali až s určitým zpožděním.

Podařilo se zjistit, co síť OKD napadlo?

Ano, jednalo se o botnet Emotet, v kombinaci s malwarem TrickBot a ransomwarem Ryuk. První ze tří škodlivých kódů se pomocí spuštěného makra dostává do počítače, druhý krade uživatelská oprávnění a poslední – ten nejhorší – je vyděračský software zašifrovávající data. Podle zjištění NÚKIB se navíc jednalo o novou mutaci, které antiviry neznaly. IT technici se proto ihned spojili i s antivirovými laboratořemi a odeslali spoustu gigabytů vzorků z napadených stanic, aby se na tuto hrozbu dalo reagovat. Ve středu 25. prosince jsme měli první nástroj na detekci, následovaly další a v tuto chvíli máme obranu na původní škodlivý kód. Objevují se ovšem další verze, proto bylo nutno přistoupit k restrikcím např. v podobě velmi omezeného rozsahu internetových stránek, plošného zákazu maker v MS Excel a Word. Zároveň je plánována implementace dalších bezpečnostních systémů.

Jak probíhalo odstraňování následků?

Neprodleně jsme začali obnovovat nezbytně nutné bezpečnostně-provozní systémy, aby se v pátek 27. prosince obnovila těžba. Což se podařilo. V pondělí 30. jsme měli kontrolu obvodní báňské správy prověřující opatření v souvislosti s kyberútokem. V té jsme obstáli. Postupně se začalo s obnovou datových center s důrazem na legislativní povinnosti OKD a zpracováváním mezd zaměstnanců za prosinec. Do pondělí 13. ledna jsme díky nasazení lidí z kmenového IT oddělení i dodavatelů z firem DXC, Atos, ProSystem, Cutter a ZAM Servis obnovili na 160 serverů a zprovoznili 1400 počítačů.

Pomohlo v tomto případě zálohování?

V případě OKD se přistoupilo ke kompletní obnově dat jak ze záloh, tak i takzvanými čistými instalacemi, stejně jako v případě benešovské nemocnice. Nicméně konečná obnova bude zřejmě náročnější, protože naše firemní infrastruktura je několikrát složitější, než ta ve zdravotnickém zařízení. Zdůraznit zde musím, že precizně fungovalo zejména zálohování – veškerá serverová a sdílená data jsou obnovena. Na odstranění následků hackerského útoku bylo na lokalitě Darkov zřízeno i krizové pracoviště s předsunutým service deskem a službou vzdálené podpory.

Doporučíte něco uživatelům počítačů?

Především se dobře vyškolit ohledně politiky phishingu – podvodné techniky na internetu pro získávání citlivých údajů. Část podvodných emailů totiž může projít přes antivirové a antispamové nástroje, které jsou vždy o krok pozadu za utočníky. Tyto emaily se pak tváří jako například nezaplacená faktura, s jejím odkazem do internetu, nebo přímo dokumentem s příponou .pdf, .xls, .doc.

Je nutno bezpodmínečně dodržovat následující pravidlo: Neotevírat přílohy podezřelých e-mailů a neklikat na žádné odkazy v nich.

Mohlo by vás zajímat:
Elektrotahač má spotřebu jako malé město
VIDEO: Sci-fi bagr z Jižní Koreje
Služební auto obra Koloděje