ShinyHunters: Digitální vyděrači v nejlepší formě
Stačí jedna chyba a vaše elektrárna patří hackerům. ShinyHunters vydírají svět a Canvas byl jen začátek
Představte si, že se ráno probudíte, chcete si zkontrolovat výrobu své solární elektrárny nebo stav baterií, ale místo přehledného grafu na vás vyskočí prázdná přihlašovací stránka. Nebo hůř, vzkaz, že vaše data byla exportována a pokud nezaplatíte pár desítek tisíc v bitcoinech, celá vaše historie i přístupy k ovládání sítě skončí na prodej na darknetu. Není to sci-fi. Je to realita posledních týdnů, kdy hackerská skupina ShinyHunters opět ukázala, že nikdo není v bezpečí. Tentokrát si vzali na mušku přihlašovací portály platformy Canvas, ale techniky, které použili, jsou mrazivě efektivní i v sektoru energetiky.
ShinyHunters: Digitální vyděrači v nejlepší formě
Pokud se v oblasti kyberbezpečnosti pohybujete delší dobu, jméno ShinyHunters pro vás není novinkou. Jsou to titíž lidé, kteří v minulosti potrápili Microsoft, AT&T nebo Ticketmaster. Nejsou to žádní amatéři v mikinách, co zkoušejí náhodná hesla. Je to vysoce efektivní kriminální podnik. Jejich aktuální kampaň zaměřená na Canvas, široce používaný systém pro správu výuky a administrativu, ukazuje nový trend: masivní automatizované útoky na přihlašovací portály, které využívají slabosti v implementaci SSO (Single Sign-On) a nedostatečné vícefaktorové autentizace.
Proč by to mělo zajímat někoho, kdo řeší energetiku? Protože Canvas je jen testovací polygon. Stejné portály, stejné API a často i stejné zranitelnosti najdete u dohledových systémů velkých fotovoltaických parků, trafostanic nebo dispečinků distribučních sítí. Pokud padne Canvas, padne i vaše webové rozhraní pro řízení sítě, pokud k němu přistupujete se stejnou bohorovností jako studenti k odevzdávání seminárek.
Trojský kůň v balíčku PyPI: ZiChatBot útočí
Zatímco jedna část týmu ShinyHunters buší do portálů, druhá připravuje mnohem rafinovanější cestu dovnitř. Nedávno byl na populárním repozitáři PyPI (Python Package Index) objeven škodlivý balíček s názvem ZiChatBot. Na první pohled užitečná knihovna pro automatizaci komunikace. Pod kapotou ale skrývala malware, který zneužíval Zulip API k exfiltraci citlivých dat z napadených systémů.
Tenhle útok je geniální ve své jednoduchosti. Vývojáři v energetických firmách, kteří píší skripty pro analýzu dat ze Smart Gridů, často sahají po hotových knihovnách. Stačí jeden překlep v názvu (typosquatting) nebo instalace "užitečného" doplňku a ZiChatBot začne v tichosti mapovat vaši síť. Na Windows i Linuxu se chová stejně agresivně. Krade tokeny, přihlašovací údaje a vytváří zadní vrátka pro budoucí ransomware útok. Je to klasický supply chain attack – útok na dodavatelský řetězec. Hackeři vědí, že vaše firewally jsou silné. Tak raději infikují nástroje, kterým věříte.
Největší riziko není virus, ale vaše důvěra
V bezpečnostních kruzích se říká, že nejslabším článkem je člověk. To je pravda, ale je tu ještě jeden, nebezpečnější faktor: slepá důvěra v systémy, které už v síti máte. Považujete vnitřní síť své elektrárny za bezpečnou? Věříte, že API vašeho střídače je dostatečně izolované? ShinyHunters a podobné skupiny sázejí na to, že jakmile se dostanou přes první bariéru (třeba přes phishing nebo infikovaný Python balíček), zbytek cesty bude procházka růžovým sadem.
Dnešní energetika je postavená na datech a konektivitě. Projekty jako SmartEnergyShare ukazují, jak obrovský potenciál má sdílení energie a chytré řízení spotřeby. Ale ruku v ruce s tím musí jít i paranoidní přístup k bezpečnosti. Pokud propojujete svoji domácí FVE nebo firemní energetický blok do širšího ekosystému, musíte počítat s tím, že se stanete terčem. Ne proto, že byste byli zajímaví jako jednotlivci, ale protože jste součástí kritické infrastruktury. A tam se výkupné platí nejrychleji.
Od phishingu k úplnému blackoutu: Jak vypadá řetězec útoku
Nenechte se zmást, ransomware není jen o zašifrovaných souborech na disku. U energetických systémů je cílem paralyzovat schopnost řízení. Útok většinou začíná nevinně: 1. Průzkum: Hackeři najdou vaše přihlašovací portály pomocí nástrojů jako Shodan. 2. Průnik: Použijí ukradené údaje z předchozích úniků (credential stuffing) nebo podstrčí infikovaný kód vývojářům (případ ZiChatBot). 3. Eskalace: Jakmile jsou uvnitř, hledají cestu k ovládacím systémům (SCADA/ICS). 4. Exfiltrace: Ukradnou data o konfiguraci sítě, zákaznících a platebních metodách. 5. Vydírání: Zašifrují klíčové databáze a pohrozí zveřejněním dat.
Tenhle řetězec je u ShinyHunters dotažený k dokonalosti. V případě Canvasu šlo "jen" o osobní údaje. V energetice jde o stabilitu sítě. Představte si, že útočník na dálku odpojí tisíce domácích baterií v jeden moment. Výsledkem může být frekvenční nestabilita, která položí celou distribuční soustavu.
Jak se bránit podle expertů (a NUKIB)
Není čas na hrdinství a improvizaci. Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) pravidelně vydává varování před útoky na kritickou infrastrukturu. Jejich doporučení jsou jasná a měla by být biblí pro každého, kdo provozuje cokoliv od chytrého elektroměru po větrný park. Podrobné analýzy hrozeb najdete přímo na webu nukib.cz.
Co byste měli udělat hned teď? - Zaveďte Zero Trust architekturu. Nevěřte nikomu a ničemu, ani v rámci vnitřní sítě. Každý přístup k API musí být ověřen. - Důsledné MFA. SMS už nestačí. Používejte hardwarové klíče (Yubikey) nebo ověřené autentizační aplikace. - Auditujte své závislosti. Pokud vaši programátoři používají PyPI, zaveďte nástroje pro kontrolu zranitelností v balíčcích. ZiChatBot by při pořádném skenu neprošel. - Izolace sítí. IT (kancelářské počítače) a OT (operační technologie řídící elektrárnu) nesmí být přímo propojeny.
Budoucnost: AI jako štít i meč
Inovace v energetice se neobejdou bez umělé inteligence. AI nám pomáhá predikovat výrobu ze slunce nebo optimalizovat nákup elektřiny na spotovém trhu. Bohužel, ShinyHunters už AI používají také – k psaní věrohodnějších phishingových e-mailů a k automatickému hledání děr v kódu.
Souboj se přesouvá do roviny algoritmů. Budeme potřebovat AI systémy, které v reálném čase detekují anomálie v provozu sítě. Pokud se váš střídač najednou pokusí odeslat 5 GB dat na neznámou IP adresu v Rusku nebo Číně, systém ho musí odříznout dřív, než stačí dokončit první paket. Bezpečnost už není produkt, který si koupíte v krabici. Je to nekončící proces učení a adaptace.
Závěr: Kdo šetří na bezpečnosti, zaplatí hackerům
ShinyHunters nám svou kampaní na Canvas připomněli, že digitální svět je propojenější, než si chceme připustit. Útok na školní portál a útok na energetickou síť používají stejné zbraně. Energetika je dnes nejlákavějším cílem, protože dopad úspěšného útoku je okamžitý a drtivý.
Můžete mít ty nejmodernější panely a největší baterie na trhu, ale pokud je k nim cesta chráněná heslem "heslo123" nebo neprověřenou knihovnou z internetu, stavíte svůj hrad na písku. Kybernetická bezpečnost v energetice už není volitelný doplněk pro geeky. Je to základní podmínka přežití v době, kdy se války vedou spíše u klávesnic než v zákopech. Moje předpověď? Do dvou let zažijeme v Evropě první velký blackout způsobený ransomwarem. Otázkou zůstává, jestli u toho vaše systémy budou jen bezmocnými diváky, nebo odolnou pevnou, která útočníky odradí hned v první vteřině.