Európsku časť Organizácie spojených národov zasiahol minulý rok rozsiahly kybernetický útok. O kybernetickom útoku nevedeli ani samotní zamestnanci napadnutých úradov.
Podľa správy o incidente, ktorú sa podarilo získať v novembri minulého roka, sa terčom útoku stali sídla OSN vo Viedni a Ženeve a úrad Vysokého komisára OSN pre ľudské práva. Niekoľko mesiacov zatajovanú udalosť napokon v stredu potvrdil hovorca generálneho tajomníka OSN Stéphane Dujarric. Podľa TNH sa páchateľom v júli 2019 podarilo preniknúť do viac ako štyridsiatich serverov OSN. Útok im mala umožniť zraniteľnosť v neaktualizovanom programe Microsoft SharePoint, vďaka ktorej bolo možné obísť prihlasovací proces a vzdialene spustiť škodlivý kód. Útočníci následne mapovali sieť a navýšili svoje práva na úroveň správcu.
„Útok viedol ku kompromitácii komponentov základnej infraštruktúry. Keďže presnú povahu a rozsah incidentu nebolo možné určiť, [kancelárie OSN v Ženeve a vo Viedni] sa rozhodli neinformovať o tomto incidente,“ vysvetlil Dujarric s tým, že podľa interných predpisov OSN mal IT tím nainštalovať aktualizáciu programu do mesiaca od jej uverejnenia v apríli 2019. „Nemáme dôkazy o tom, že útok zasiahol aj iné sídla alebo úrady,“ dodal.
Zamestnanci o úniku dát nevedeli
Podľa Dujarrica nie je jasné, čo presne útočníci okrem zoznamu používateľských účtov stiahli. Nemenovaný vedúci IT pracovník OSN však pre TNH povedal, že organizácia únik bagatelizuje, pretože práve tento zoznam poslúžil ako prístupový kľúč k približne 400GB dát, ktoré si páchatelia údajne stiahli. Zo správy o incidente naviac vyplýva, že hackeri získali interné dokumenty, databázy, e-mailovú komunikáciu, obchodné informácie či záznamy o zamestnancoch a informácie o ich zdravotnom poistení.
Únik sa potencionálne mohol týkať až 4-tisíc pracovníkov, ktorých napadnuté inštitúcie zamestnávajú. Tí však neboli o ničom informovaní a úrady ich po odhalení útoku v auguste len požiadali o zmenu hesiel. Dujarric tvrdí, že o incidente vedeli len interné IT tímy a vedúci kancelárií OSN v Ženeve a vo Viedni. O stanovisko k prípadu sme požiadali Ministerstvo zahraničných vecí SR aj Stálu misiu SR pri OSN v Ženeve. Do uzávierky sa však úrady nestihli vyjadriť.
Slabé stopy
OSN medzičasom podnikla viacero workshopov a posúdení, aby zaistila, že zraniteľnosti zneužité pri tomto útoku boli odstránené. Mimo to prestavala „významné prvky infraštruktúry“, implementovala „dodatočné technické a procedurálne kontroly“ a zmenila kľúče a prihlasovacie údaje. Súčasťou protiopatrení bol aj akčný plán kybernetickej bezpečnosti, ktorý organizácia prijala v decembri 2019. Nepodarilo sa jej však získať dostatok informácií na prisúdenie útoku konkrétnemu vinníkovi. Podľa AP ale útok viedol cez rumunské IP adresy a páchatelia po sebe vymazali logy zo siete.
V súvislosti s odstránením logov sa Jake Williams, výkonný riaditeľ kyberbezpečnostnej firmy Rendition Infosec, domnieva, že útočníci neboli práve najsofistikovanejší. Skúsenejší hackeri zo Spojených štátov, z Ruska alebo Číny totiž po sebe stopy zametajú upravením týchto logov a nie ich odstránením. Jedna z použitých IP adries naviac podľa neho už v minulosti hostila malvér.
Zdroj: Cybersec