Špionáž pohání globální kyberútoky

V uplynulém roce se kybernetické útoky dotkly až 120 zemí, přičemž jejich zdrojem bývá vládou sponzorovaná špionáž a také rostoucí počet vlivových operací. Téměř polovina těchto útoků byla někdy zaměřena na členské státy NATO a více než 40 % bylo vedeno proti vládním organizacím nebo organizacím soukromého sektoru, které se podílejí na budování a údržbě kritické infrastruktury. Zatímco útoky z minulého roku, které se dostaly na titulní stránky novin, byly často zaměřeny na ničení nebo finanční zisk pomocí ransomwaru, údaje ukazují, že převažující motivace se opět změnila na snahu krást informace, skrytě sledovat komunikaci nebo manipulovat s tím, co lidé čtou. Například:

• Ruské zpravodajské služby přeorientovaly své kybernetické útoky na špionážní činnost na podporu války proti Ukrajině a zároveň pokračují v destruktivních kybernetických útocích na Ukrajině a v širších špionážních akcích;
• Íránské snahy, které se kdysi soustředily na likvidaci sítí svých cílů, dnes také inklinují k posilování manipulativních zpráv za účelem prosazování geopolitických cílů nebo k proniknutí do dat proudících citlivými sítěmi;
• Čína rozšířila využívání špionážních kampaní k získávání zpravodajských informací, které slouží k podpoře její iniciativy Belt and Road nebo regionální politiky, ke špionáži USA, včetně klíčových zařízení americké armády, a k získání přístupu do sítí subjektů kritické infrastruktury;
• Severokorejští aktéři se snaží pomocí špionáže dostat ke státním i firemním tajemstvím; zaměřili se na společnost zabývající se ponorkovou technologií a samostatně použili kybernetické útoky k odcizení stovek milionů v kryptoměnách.

To jsou některé z poznatků ze čtvrté výroční zprávy Microsoft Digital Defense Report, která zahrnuje trendy mezi červencem 2022 a červnem 2023 v oblasti aktivit národních států, kybernetické kriminality a obranných technik.

Útoky na další země a odvětví

Přestože jsou USA, Ukrajina a Izrael stále nejčastěji napadány, v posledním roce se zvýšil celosvětový rozsah útoků. Týká se to zejména zemí globálního Jihu, zejména Latinské Ameriky a subsaharské Afriky. Írán zvýšil své operace na Blízkém východě. Organizace podílející se na tvorbě a provádění politiky patřily k nejčastějším terčům útoků, což je v souladu s přesunem zaměření na špionáž.

Nejčastějšími cílovými zeměmi podle regionů* byly:

*Plnější rozpis údajů naleznete ve zprávě

Rusko a Čína se více zaměřují na diaspory

Rusko i Čína zvyšují rozsah svých vlivových operací proti různým diasporám.  Rusko se snaží zastrašit globální ukrajinské komunity a zasít nedůvěru mezi válečné uprchlíky a hostitelské komunity v řadě zemí, zejména v Polsku a pobaltských státech.  Naproti tomu Čína nasazuje rozsáhlou síť koordinovaných účtů na desítkách platforem k šíření skryté propagandy.  Ty se přímo zaměřují na globální čínsky mluvící a další komunity, očerňují americké instituce a propagují pozitivní obraz Číny prostřednictvím stovek vícejazyčných lifestylových influencerů.

Konvergence vlivových operací s kybernetickými útoky

Aktéři národních států stále častěji využívají vlivové operace spolu s kybernetickými operacemi k šíření oblíbených propagandistických narativů. Jejich cílem je manipulovat národním a globálním míněním a podkopat demokratické instituce v zemích, které jsou vnímány jako protivníci – nejnebezpečnější je to v kontextu ozbrojených konfliktů a národních voleb.  Například po invazi na Ukrajinu Rusko důsledně časovalo své vlivové operace s vojenskými a kybernetickými útoky.  Podobně Írán v červenci a září 2022 navázal na ničivé kybernetické útoky na albánskou vládu koordinovanou vlivovou kampaní, která stále pokračuje.

Trendy z jednotlivých států

Ačkoli došlo k celkovému nárůstu aktivity v oblasti hrozeb, byly pozorovány trendy u nejaktivnějších státních aktérů.

Rusko se zaměřuje na ukrajinské spojence v NATO

Ruské státní subjekty rozšířily své aktivity související s Ukrajinou a zaměřily se na spojence Kyjeva, především na členy NATO. V dubnu a květnu 2023 zaznamenala společnost Microsoft nárůst aktivity proti západním organizacím, z nichž 46 % bylo v členských státech NATO, zejména ve Spojených státech, Velké Británii a Polsku.  Několik ruských státních aktérů se vydávalo za západní diplomaty a ukrajinské úředníky a pokoušelo se získat přístup k účtům.  Cílem bylo získat informace o západní zahraniční politice vůči Ukrajině, obranných plánech a záměrech a vyšetřování válečných zločinů.

Čína se zaměřuje na obranu USA, státy Jihočínského moře a partnery iniciativy Belt and Road

Rozšířené a sofistikované aktivity Číny odrážejí její dvojí snahu o globální vliv a shromažďování zpravodajských informací.  Jejich cílem je nejčastěji obrana a kritická infrastruktura USA, státy sousedící s Jihočínským mořem (zejména Tchaj-wan) a dokonce i vlastní strategičtí partneři Číny. Kromě četných sofistikovaných útoků na americkou infrastrukturu, které jsou ve zprávě podrobně popsány, zaznamenala společnost Microsoft také útoky aktérů z Číny na partnery čínské iniciativy Belt and Road, jako je Malajsie, Indonésie a Kazachstán.

Írán přináší nové útoky do Afriky, Latinské Ameriky a Asie

V uplynulém roce někteří íránští státní aktéři zvýšili sofistikovanost svých útoků.  Írán se zaměřil nejen na západní země, o nichž se domnívá, že podněcují nepokoje v Íránu, ale rozšířil svůj geografický záběr i na další asijské, africké a latinskoamerické země. Na frontě vlivovými operacemi Írán prosazoval narativy, jejichž cílem bylo posílit palestinský odpor, zasít paniku mezi izraelské občany, podnítit šíitské nepokoje v arabských zemích Perského zálivu a bránit normalizaci arabsko-izraelských vztahů.  Írán se rovněž snaží o větší koordinaci svých aktivit s Ruskem.

Severní Korea se zaměřuje mimo jiné na ruské organizace

Severní Korea v posledním roce zvýšila sofistikovanost svých kybernetických operací, zejména v oblasti krádeží kryptoměn a útoků na dodavatelský řetězec. Kromě toho Severní Korea využívá spear-phishingové e-maily a profily na síti LinkedIn, aby se zaměřila na odborníky z Korejského poloostrova po celém světě a získávala zpravodajské informace. Navzdory nedávnému setkání Putina a Kim Čong-una se Severní Korea zaměřuje na Rusko, zejména v oblasti jaderné energetiky, obrany a sběru zpravodajských informací o vládní politice.

AI vytváří nové hrozby – a nové příležitosti pro obranu

Útočníci již využívají umělou inteligenci jako zbraň k vylepšování phishingových zpráv a zlepšování vlivových operací pomocí syntetických snímků. Umělá inteligence však bude mít zásadní význam i pro úspěšnou obranu, protože automatizuje a rozšiřuje aspekty kybernetické bezpečnosti, jako je detekce hrozeb, reakce, analýza a předvídání. AI může také umožnit vytváření velkých jazykových modelů (LLM), které budou generovat poznatky a doporučení v přirozeném jazyce ze složitých dat, což pomůže zefektivnit a zefektivnit reakce analytiků.

Již nyní jsme svědky toho, že kybernetická obrana poháněná umělou inteligencí odráží příliv kybernetických útoků; například na Ukrajině pomohla umělá inteligence při obraně proti Rusku.

Vzhledem k tomu, že transformační umělá inteligence mění mnoho aspektů společnosti, musíme se zapojit do odpovědných postupů v oblasti umělé inteligence, které jsou zásadní pro zachování důvěry uživatelů a jejich soukromí a pro vytváření dlouhodobých přínosů. Generativní modely AI vyžadují, abychom vyvíjeli postupy kybernetické bezpečnosti a modely hrozeb s cílem řešit nové výzvy, jako je vytváření realistického obsahu – včetně textu, obrázků, videa a zvuku -, který mohou aktéři hrozeb využít k šíření dezinformací nebo vytváření škodlivého obsahu. Abychom si udrželi náskok před těmito novými hrozbami, jsme i nadále odhodláni zajistit, aby všechny naše produkty a služby AI byly vyvíjeny a používány způsobem, který dodržuje naše zásady AI.

Stav kyberkriminality

Hra na kočku a myš mezi kyberzločinci a obránci se stále vyvíjí. Zatímco skupiny hrozeb v posledním roce výrazně zrychlily tempo svých útoků, vestavěné ochrany v produktech Microsoft zablokovaly desítky miliard hrozeb malwaru, zmařily 237 miliard pokusů o útok hrubou silou na heslo a zmírnily 619 000 útoků typu DDoS (distributed denial of service), jejichž cílem je vyřadit server, službu nebo síť zahlcením záplavou internetového provozu.

Zločinci se také snaží zvýšit svou anonymitu a efektivitu pomocí šifrování na dálku, aby účinněji zakryli své stopy, a také pomocí cloudových nástrojů, jako jsou virtuální počítače.  Silnější partnerství soukromého a veřejného sektoru však znamená, že se stále častěji ocitají v hledáčku orgánů činných v trestním řízení. Například provozovatel ransomwaru známého jako Target byl odhalen a podařilo se ho zatknout a obvinit. Zločinci však i nadále hledají místa nejsnazšího vstupu do systémů a je třeba vyvíjet neustálé a stále rychlejší úsilí, abychom před nimi byli o krok napřed.

Útoky ransomwaru jsou stále sofistikovanější a rychlejší

Telemetrie společnosti Microsoft ukazuje, že organizace zaznamenaly od září 2022 nárůst útoků ransomwaru řízených lidmi o 200 %. Tyto útoky jsou obecně spíše typem útoku „hands on keyboard“ než automatizovaným útokem, který se obvykle zaměřuje na celou organizaci s přizpůsobenými požadavky na výkupné.

Útočníci také vyvíjejí útoky tak, aby minimalizovali svou stopu, přičemž 60 % z nich používá vzdálené šifrování, čímž snižují efektivitu následného dohledávání pachatelů.

Tyto útoky se vyznačují také tím, že se pokoušejí získat přístup k nespravovaným zařízením nebo k zařízením, která si můžete přinést sami. Více než 80 % všech sledovaných kompromitací pochází z těchto nespravovaných zařízení. Provozovatelé ransomwaru stále častěji využívají zranitelnosti v méně obvyklém softwaru, což ztěžuje předvídání útoků a obranu proti nim.

Pachatelé ransomwaru také vyhrožují zveřejněním ukradených informací, aby na oběti vyvíjeli nátlak a vynutili si platbu. Od listopadu 2022 jsme zaznamenali zdvojnásobení počtu případů potenciální exfiltrace dat po kompromitaci prostředí ze strany nebezpečných aktérů. Ne všechny krádeže dat jsou však spojeny s ransomwarem; může jít také o sběr osobních údajů nebo špionáž ze strany jednotlivých států.

Útoky založené na heslech a vícefaktorovém ověřování (MFA) prudce rostou

MFA je stále častěji používaná metoda ověřování, která vyžaduje, aby uživatelé pro získání přístupu na webovou stránku nebo do aplikace zadali dva nebo více „faktorů“ identifikace – například heslo spolu s rozpoznáním obličeje nebo jednorázový přístupový kód.  Ačkoli je nasazení MFA jednou z nejjednodušších a nejúčinnějších obranných metod, které mohou organizace proti útokům nasadit, a snižuje riziko kompromitace o 99,2 %, aktéři hrozeb stále častěji využívají „únavy z MFA“ a bombardují uživatele oznámeními o MFA v naději, že je nakonec přijmou a poskytnou jim tím přístup.

Společnost Microsoft zaznamenala za poslední rok přibližně 6 000 pokusů o útok cílící na „únavu z MFA“ denně.  V prvním čtvrtletí roku 2023 navíc došlo k dramatickému desetinásobnému nárůstu počtu útoků na cloudové identity založené na heslech, zejména v oblasti vzdělávání, a to z přibližně 3 miliard měsíčně na více než 30 miliard.

„Vidíme znepokojující trend narůstajícího kyberzločinu. Například kyberútoky na hesla uživatelů se za poslední rok zdesetinásobily a nyní dosahují v průměru 4 000 útoků za sekundu. Microsoft a další technologické společnosti stále inovují bezpečnostní opatření, která chrání uživatele v rovině jedinců, společností i států,“ říká Dalibor Kačmář, technologický ředitel Microsoft ČR. 

Jedinou bezpečnou obranou bude kolektivní obrana

Rozsah a povaha hrozeb popsaných ve zprávě Microsoft Digital Defense Report mohou působit skličujícím dojmem.  Na technologické frontě však dochází k obrovským pokrokům v boji proti těmto útočníkům a zároveň se vytvářejí silná partnerství, která překračují hranice, odvětví a rozdělení na soukromý a veřejný sektor. Tato partnerství mají stále větší úspěch při zajišťování bezpečnosti nás všech, a proto je nezbytné, abychom je i nadále rozšiřovali a prohlubovali.  V příštím roce a půl bude mít v demokratických zemích možnost volit 75 % oprávněných občanů.  Udržení bezpečnosti voleb a síly demokratických institucí je základním kamenem naší společné obrany.