Vir coviper, který útočníci rozesílali zejména v minulém týdnu na e-mailové adresy některých českých nemocnic, mohl být vytvořen za pomoci nástroje od ruských hackerů. Vyplývá to ze zjištění antivirové firmy Eset. Jeho stopa podle ní vede i na čínské IP adresy.
„Původ útoku nelze jednoznačně určit, nicméně nástroj MBR Locker, pomocí kterého byl vytvořen, je v ruském jazyce. Stejně tak jsou instrukce k použití tohoto nástroje k dispozici na ruských hackerských fórech. Digitální stopu jsme rovněž zaznamenali na čínských IP adresách,“ uvedl technický ředitel Esetu Miroslav Dvořák.
Ukázka jedné z prvních verzí programu MBR Locker z roku 2011
Generátor MBR Locker je nástroj, do kterého mohou útočníci snadno nastavit potřebné údaje, například hlášku, která se má zobrazit po zablokování počítače, a následně je vytvořen spustitelný exe soubor, který je pak samotným škodlivým programem. Nejde tedy podle Dvořáka o nijak sofistikovaný způsob vytvoření škodlivého kódu.
„Zpětnou analýzou jsme v dubnu detekovali jednotky detekcí, ze kterých vyplývá, že škodlivý kód byl použit cíleně. Poprvé jsme se s tímto kódem setkali v lednu, ale s žádným bezpečnostním incidentem jej nespojujeme,“ dodal Dvořák.
Zavirovaná příloha
Právě cílené e-maily byly jednou z hlavních cest, jak se útočníci pokoušeli dostat do systémů nemocnic. Když se uživatel nechal nachytat a otevřel infikovanou přílohu s coviperem, ten se začal instalovat do počítače.
Ukázka útoku viru coviper
Po prvním restartování počítače, které vir automaticky spustí, a opětovném přihlášení uživatele se zobrazí aplikace s ilustračním obrázkem detailu koronaviru s anglickým popisem, že zařízení bylo infikováno koronavirem, uvedl Dvořák.
Škodlivý kód kromě zobrazení obrázku s koronavirem rovněž přepíše Master Boot Record neboli MBR, tedy zavaděč na pevném disku, který je zodpovědný za správné spuštění operačního systému.
Nejproblematičtější část této hrozby, která má za cíl znemožnit spuštění operačního systému, není po technické stránce příliš pokročilá. Jednak se dá tato blokace obejít stisknutím kláves Ctrl+Alt+Escape, ale i kdyby tomu tak nebylo, zkušený administrátor dokáže obnovit MBR a zamezit opakovanému spuštění škodlivého kódu coviper poměrně snadno a rychle, řekl Dvořák.
Nejen před takovými útoky na nemocnice varoval minulý čtvrtek Národní úřad pro kybernetickou a informační bezpečnost (PDF). Hackeři v nedávné minulosti napadli například zdravotnická zařízení v Brně nebo Kosmonosech, v minulých dnech jejich útok odrazila ostravská nemocnice, pokusy o útok zaznamenaly také Fakultní nemocnice Olomouc nebo Nemocnice Pardubického kraje. Dvěma útokům čelila také Karlovarská krajská nemocnice, ale ty jí nezpůsobily žádné škody. Loni byla podle odhadů expertů napadena asi pětina tuzemských nemocnic. Bezpečnostní incidenty v poslední době nahlásila i společnost ČEZ nebo Letiště Praha.
V pondělí se v Lidových novinách s odkazem na důvěryhodné zdroje objevila informace, že za útoky stojí zřejmě Rusko. To prostřednictvím svého velvyslanectví v Praze popřelo, že by za útoky stálo a označilo to za výmysl, špinavý protiruský výpad a otevřenou provokaci.
