Červený kříž se stal obětí přesně cíleného a velmi pokročilého kybernetického útoku. Neznámí útočníci získali osobní údaje půl milionu lidí, kterým tato humanitární organizace pomáhá. Za útokem by mohl být některý stát.
Mezinárodní výbor Červeného kříže (ICRC, International Committee of the Red Cross) zveřejnil podrobný popis dosavadních zjištění.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekPodle nich byly 9. listopadu 2021 napadeny počítačové systémy ICRC. Útok byl přesně cílený konkrétně na servery ICRC, Červený kříž nebyl náhodnou a nezamýšlenou obětí. Nástroje použité útočníky měly zadány konkrétní MAC adresy (výrobní čísla síťových karet) serverů Červeného kříže.
Útočníci použili softwarové nástroje, které nejsou volně dostupné. Používají je zejména APT (Advanced Persistent Threat) skupiny, tedy skupiny typicky spjaté se státy nebo státy přímo provozované.
ICRC se o útoku dozvěděl 18. ledna 2022, když nasazoval další pokročilejší nástroje na ochranu svých serverů. Útočníci využili chyby CVE-2021-40539 v programu ADSelfService Plus od společnosti ManageEngine, který slouží ke správě autentizace uživatelských účtů v Active Directory. Chyba byla opravena již v září 2021, ale ICRC nestihl své servery včas aktualizovat.
Jedná se o chybu typu RCE (Remote Code Execution, vzdálené vykonání kódu), umožňující útočníkovi, aby na server nahrál vlastní kód, který bude vykonán na serveru oběti. V tomto případě se útočníkův kód spouští typicky pod speciální identitou NT AUTHORITY\SYSTEM, což je vůbec nejvyšší úroveň oprávnění, kterou lze v systému Windows získat. Je to identita operačního systému jako takového, lapidárně řečeno je to „víc než Administrator“.
Útočníci tedy měli více než dva měsíce na to, aby získali nad systémy ICRC kontrolu. Získali osobní údaje více než půl milionu lidí, kteří jsou nebo byli klienty Červeného kříže ve světě. Jedná se o informace o osobách pohřešovaných a o jejich rodinných příslušnících, o osobách zadržovaných a vězněných a podobně. Červený kříž pomáhá v oblastech zasažených přírodními katastrofami, ale také ve válečných konfliktech.
O identitě útočníků nejsou k dispozici žádné informace. ICRC nijak nekontaktovali (třeba s požadavkem výkupného), data nebyla zveřejněna a nejsou ani žádné informace o tom, že by se s nimi jakkoliv obchodovalo. Není to ani příliš pravděpodobné, protože komerční potenciál těchto údajů je prakticky nulový. Jediná jejich hodnota je politická, a je tedy pravděpodobné, že útok je dílem některého státu, nikoliv na něm nezávislé zločinecké skupiny.
Digitální ženevské konvence
Hnutí Červeného kříže bylo založeno v říjnu 1863 v Ženevě (na což odkazuje i jeho znak, který nemá nic společného s křesťanskou symbolikou, ale jedná se o inverzní podobu švýcarské vlajky). Série mezinárodních dohod se zabývá pravidly vedení války tak, aby byl pokud možno minimalizován její dopad na nezúčastněné civilisty. Stanoví také ochranu raněných, nemocných a zdravotníků a „nedotknutelnost“ Červeného kříže a jeho personálu.
Základní principy těchto mezinárodních dohod jsou teoreticky nezávislé na metodách vedení boje a útok na ICRC by se patrně dal považovat za porušení minimálně jejich ducha, když ne litery. Nicméně to je toliko akademická diskuse, neboť je velmi nepravděpodobné, že by identita útočníků byla odhalena, natož že by byli postaveni před libovolný soud.
Již léta se vedou debaty o potřebnosti jakýchsi „digitálních ženevských konvencí“, které by měly vzít v potaz kybernetickou válku a její možné dramatické následky v reálném světě. Například už před pěti lety na toto téma hovořil na konferenci RSA Brad Smith z Microsoftu. Nicméně zatím tyto debaty neměly žádného viditelného efektu.
Příkladná reakce Červeného kříže
Veřejná reakce Mezinárodního výboru Červeného kříže byla příkladná. K bezpečnostnímu incidentu se postavil čelem. Vytvořil a aktualizuje webovou stránku, kde velmi otevřeně publikuje veškerá svá zjištění, stejně jako speciální stránku určenou pro lidi, jejichž osobní údaje byly vyzrazeny. Ty se také snaží různými prostředky kontaktovat a informovat – to ale může být vzhledem k okolnostem velice náročné.
Oceňuji, že komunikace ICRC je velice konkrétní a věcná. Neschovává se za fráze a bezobsažná prohlášení typu „bezpečnost je pro nás důležitá“ ve chvíli, kdy je bolestně zřejmé, že v praxi až tak důležitá nebyla.
Mnohé komerční firmy by si z něj minimálně v tomto ohledu měly vzít příklad. Neboť při současném stavu kybernetické bezpečnosti není otázkou jestli, ale kdy se jakákoliv větší firma stane obětí podobného incidentu. A právě úroveň následné komunikace vypoví hodně o tom, jaká organizace skutečně je.
