Hackeři ze ShinyHunters mají vaše hesla. Teď jdou po českých elektrárnách.

Když se ráno přihlásíte do firemního portálu, čekáte e-maily nebo pracovní úkoly. Hackeři ze skupiny ShinyHunters tam ale vidí něco jiného. Vidí otevřené dveře k vašim bankovním účtům, citlivým datům a v nejhorším případě i k ovládání rozvodné sítě. Poslední týdny ukázaly, že masivní útoky na přihlašovací portály platformy Canvas nejsou jen problémem univerzit v USA. Je to varovný výstřel pro každého, kdo spravuje kritickou infrastrukturu. Včetně té české.

ShinyHunters nejsou žádní začátečníci. Mají na svědomí úniky dat z gigantů jako Microsoft, AT&T nebo Ticketmaster. Tentokrát si vzali na mušku Canvas. Pokud tuhle platformu neznáte, vězte, že ji používají tisíce institucí pro správu výuky a firemní vzdělávání. Pro útočníka je to ideální cíl. Tisíce uživatelů, kteří používají stejná hesla pro přístup k e-mailu, VPN i k systémům pro řízení energetických toků.

Jak vypadá cesta do pekla: Anatomie útoku

Zapomeňte na složité prolamování šifer. Hackeři jsou líní a efektivní. Většina útoků začíná banálně. Phishingem, který vypadá jako legitimní výzva k resetu hesla v portálu Canvas. Uživatel zadá údaje a v tu chvíli se rozjíždí řetězec, který končí zašifrovanými servery a požadavkem na výkupné v bitcoinech.

Tento proces, kterému říkáme "Ransomware Attack Chain", má jasná pravidla. Prvním krokem je získání přístupu. ShinyHunters k tomu využívají takzvaný credential stuffing. Zkoušejí miliardy uniklých kombinací jmen a hesel z jiných databází na nových portálech. Pokud nemáte zapnuté dvoufaktorové ověření (MFA), máte problém.

Jakmile jsou uvnitř, začíná fáze průzkumu. Útočník se nerozhlíží jen v Canvasu. Hledá cestu dál do sítě. A tady přichází na řadu další kritická zranitelnost, před kterou aktuálně varuje i americká CISA nebo náš NUKIB. Jde o chybu v Ivanti Endpoint Management (EPMM).

Ivanti jako časovaná bomba v kapse

Ivanti nedávno přiznalo novou zranitelnost typu zero-day. Ta umožňuje útočníkům ovládnout systémy pro správu mobilních zařízení. Představte si to: hacker získá přístup přes portál Canvas, najde v síti server Ivanti a skrze něj ovládne všechny firemní telefony a notebooky. To není scénář z filmu, to je realita posledních dnů.

Pro energetiku je to noční můra. Dispečeři a technici v terénu dnes běžně používají tablety a telefony k monitorování stavu sítě nebo k ovládání prvků v trafostanicích. Pokud útočník ovládne nástroj pro správu těchto zařízení, má pod kontrolou celou infrastrukturu. Může vypínat jističe, měnit konfiguraci solárních střídačů nebo prostě jen sledovat komunikaci.

Energetika pod palbou: Proč zrovna my?

Možná si říkáte, proč by někdo útočil na českou fotovoltaiku nebo teplárnu. Odpověď je jednoduchá: peníze a chaos. Energetika je kritická infrastruktura. Pokud přestanou fungovat systémy pro řízení spotřeby, škody jdou do milionů korun za hodinu. To je pro vyděrače jako ShinyHunters ideální páka.

V Česku navíc zažíváme boom decentralizované energetiky. Tisíce firem a domácností mají vlastní zdroje, baterie a chytré řídicí systémy. Všechno je to propojené přes internet. Každý chytrý střídač je v podstatě malý počítač s IP adresou. A pokud výrobce podcenil zabezpečení přihlašovacího portálu, stává se z něj vstupní bod pro útok na širší síť.

NUKIB (https://nukib.gov.cz) ve svých varováních opakovaně zdůrazňuje, že útoky na dodavatelský řetězec jsou největší hrozbou dneška. Nemusí napadnout přímo vás. Stačí, když napadnou portál, který používáte pro monitoring nebo fakturaci.

Odolnost není luxus, ale nutnost

Jak z toho ven? Prvním krokem je přestat věřit, že "nás se to netýká". Pokud vaše firma používá jakýkoliv cloudový portál bez MFA, koledujete si o malér. Dvoufaktorové ověření je dnes naprosté minimum, ne nadstandard.

Důležitá je také segmentace sítě. Systémy, které řídí energii, nesmí být ve stejné síti jako portál pro vzdělávání zaměstnanců. Pokud hacker pronikne do Canvasu, musí narazit na zeď, která mu zabrání jít dál k řídicím systémům (SCADA).

V tomto ohledu hrají klíčovou roli moderní platformy, které na bezpečnost myslí už od návrhu. Například řešení SmartEnergyShare (https://smartenergyshare.com) ukazuje, jak lze chytře propojovat energetické zdroje a optimalizovat spotřebu pomocí AI, aniž byste přitom nechávali otevřená zadní vrátka pro hackery. Jejich přístup k ochraně infrastruktury a šifrování dat je přesně to, co v době útoků ShinyHunters potřebujeme. Kombinace inovativního řízení a robustního zabezpečení je jedinou cestou, jak využívat výhody moderní energetiky a přitom klidně spát.

Co dělat, když už hoří?

Pokud zjistíte, že vaše přihlašovací údaje byly kompromitovány, času není nazbyt. Prvním krokem je okamžitá izolace zasažených systémů. Žádné "dodělám to a pak to vypnu". Vypněte to hned. Útočníci používají automatizované skripty, které dokáží extrahovat data během sekund.

Změna hesel je samozřejmost, ale nesmí se zapomenout na kontrolu přístupových logů. Hledejte neobvyklé časy přihlášení nebo přístupy z cizích zemí. ShinyHunters často využívají VPN a proxy servery, aby zametli stopy, ale chyby dělají i oni.

Důležité je také sdílení informací. Pokud jste se stali terčem útoku, nenechávejte si to pro sebe. Nahlášení incidentu na NUKIB nebo policii může pomoci ostatním firmám v sektoru se připravit. Kybernetická bezpečnost v energetice je kolektivní sport. Buď vyhrajeme všichni, nebo všichni zhasneme.

Budoucnost: AI jako štít i meč

Inovace v podobě umělé inteligence jsou dvousečná zbraň. Útočníci už dnes používají AI k psaní dokonalejších phishingových e-mailů a k automatickému hledání děr v kódu portálů jako Canvas. Na druhé straně nám AI dává šanci tyto útoky detekovat dříve, než napáchají škodu.

Moderní bezpečnostní systémy dokáží rozpoznat anomální chování uživatele. Pokud se technik, který se běžně přihlašuje z Prahy v 8 ráno, najednou pokusí o přístup ve 3 v noci z adresy v jihovýchodní Asii, systém ho musí okamžitě zablokovat. Právě integrace AI do správy energetických sítí a jejich zabezpečení bude v příštích letech rozhodujícím faktorem.

ShinyHunters nám svou kampaní dali lekci. Ukázali nám, že i ten nejmenší a zdánlivě nedůležitý portál může být začátkem katastrofy. Je na čase, abychom v Česku přestali bezpečnost brát jako "otravnou povinnost od IT oddělení" a začali ji vnímat jako základní pilíř našeho podnikání. Protože až příště hackeři otočí vypínačem, už nemusí jít jen o ukradená hesla, ale o tmu v celém městě.

Zatím máme čas se připravit. Ale ten čas se krátí s každým novým zero-day exploitem. Takže, kdy jste si naposledy změnili heslo a zapnuli MFA? Pokud si nepamatujete, možná už je ve vaší síti někdo jiný. A věřte, že ShinyHunters nejsou hosté, které byste chtěli mít na večeři.