S koncem roku 2025 završí národní bezpečnostní tým CSIRT.CZ patnáct let ve sdružení CZ.NIC. Jak se za tu dobu změnila naše činnost, jaké změny pozorujeme v nám reportovaných incidentech, jaké další služby provozujeme kromě samotného řešení incidentů a jaká poučení jsme si odnesli z našich nejzajímavějších incidentů? Na konkrétních službách a činnostech týmu CSIRT.CZ budu demonstrovat, jak velké změny se za posledních čtrnáct let v bezpečnosti staly.
CSIRT.CZ je provozován sdružením CZ.NIC od 1. ledna 2011. V první polovině roku 2011 probíhalo intenzivní předávání know-how od kolegů ze sdružení CESNET, kteří CSIRT.CZ založili na základě grantu nazvaného Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky.
Z počátku se většina činností CSIRT.CZ točila kolem samotného řešení incidentů, tedy jsme působili víceméně čistě reaktivně. Postupně s tím, jak jsme získávali zkušenosti, jsme viděli v řešených incidentech souvislosti, které nám z počátku unikaly, což vedlo ke vzniku našich prvních služeb, zaměřených na prevenci a vzdělávání.
Kromě phishingových stránek, které oproti těm dnešním byly i pro laika snáze rozpoznatelné, jsme měli to štěstí, že jsme se často dostali i k incidentům, které byly technickým provedením nebo rozsahem zajímavé a neotřelé. Až do vzniku Národního úřadu pro kybernetickou a informační bezpečnost jsme navíc plnili i funkci vládního CSIRT. Popisu vybraných incidentů se budu věnovat v závěru textu. Pokud bych měl uvést tři věci, které se změnily v procesu řešení incidentů, je to obecně schopnost internetových providerů v ČR na tyto incidenty reagovat. V prvních letech nás někteří poskytovatelé úspěšně ignorovali, respektive nejspíš na jejich straně abuse kontakt nikdo reálně nesledoval. Setkali jsme se dokonce i s případem, kdy provider změnil v databázi WHOIS kontaktní informace u IP adresy na svůj vlastní abuse kontakt, abychom jeho problémového zákazníka zbytečně „neobtěžovali“. V tomto ohledu nám pomohl vznik projektu FENIX, který mimo řady dalších užitečných nástrojů požaduje od zapojených providerů také funkční CERT/CSIRT.
Druhou výraznou změnou jsou samotné incidenty, kdy postupně pozorujeme, že v nám hlášených incidentech jsou čím dál méně složitější technické útoky, a naopak je stále více útoků nesoucích prvky sociálního inženýrství, typicky phishing, falešné e-shopy nebo „investiční“ platformy.
Poslední změna se pak týká samotného provedení phishingových stránek. Až do aféry „Snowden“ byla větší část námi řešených phishingových stránek umístěna na napadených webových serverech. V archivu mám z té doby například uložen snímek zachycující stránku napodobující servis24.cz, ovšem umístěnou na adrese hXXp://link.mukodono.jp/c/dispatcher24.php. Dnes má většinou phishing vlastní doménu (např. login-szn.cz, online-csas.cz). Důvodem této změny byl vznik certifikační autority Let’s Encrypt, u které je možné získat zdarma certifikát pro doménu a není přitom potřeba předkládat žádné doklady. Zároveň s tím se změnil přístup prohlížečů, které začaly aktivně upozorňovat na chybějící šifrování při zadávání citlivých dat na webových stránkách. To umožnilo útočníkům přejít na používání vlastních domén s platnými certifikáty. Všechny výše popsané změny se pak promítají i do námi poskytovaných preventivních služeb, které teď postupně popíši.
Aktuálně z bezpečnosti
Vůbec první službou CSIRT.CZ mimo incident handlingu bylo zřízení nové sekce na webových stránkách CSIRT.CZ, kde jsme každý den publikovali výběr informací souvisejících s kybernetickou bezpečností. Bylo to prováděno formou krátkého shrnutí obsahu původního článku a odkazu na původní zdroj. Dnes je situace jiná, ale před čtrnácti lety nebylo takových zdrojů tolik, a proto se v té době stala služba AZB populárním informačním zdrojem, ze kterého k naší radosti čerpali často i novináři. V prvních letech byl obsah zaměřený nejen na aktuální útoky směřující na české uživatele, ale zaměřovali jsme se také na pokrytí zranitelností produktů, které se u nás používaly nejčastěji, nebo na nové techniky útočníků. S tím, jak se postupně rozšiřovala nabídka podobných služeb, jsme energii nasměrovali do jiných projektů a v současnosti upozorňujeme především na typově nové útoky zaměřené přímo na uživatele v ČR.
Malicious Domain Manager
Malicious Domain Manager (MDM) je název aplikace, kterou pro nás naprogramovali kolegové z Laboratoří CZ.NIC a na které stála stejnojmenná služba, zaměřená na zvýšení bezpečnosti webů provozovaných v zóně .CZ. Aplikace MDM pro nás z několika zdrojů získávala informace o doménách v zóně .CZ, které byly buď zneužívány k phishingovým útokům, sloužily jako C&C server některého z botnetů nebo sloužily k šíření malware přes zranitelnosti v prohlížeči, operačním systému nebo jiných komponentách. Držitele takto kompromitovaných domén pak bylo možné v aplikaci, která zároveň sloužila jako ticketovací systém, přímo kontaktovat. V případě šíření malware bylo často třeba udržovat komunikaci delší dobu, neboť držitel domény se obvykle nerovná tvůrce webové prezentace, útočníci navíc svůj kód vložený do stránek různými technikami maskovali. Někdy proto bylo obtížné dosáhnout řešení problému. Postupně jsme aplikaci vlastními silami vylepšovali. Zásadní byla úprava, díky které aplikace sama prováděla analýzu zdrojového kódu stránky šířící malware, a dokázali jsme tak adresátům rovnou poskytnout i další informace potřebné k řešení. Navíc jsme mohli řešit i další části řetězce, tedy především web, na kterém běžel útočníkem používaný exploit kit.
V naší činnosti často vede řešení jednoho problému k objevení problému dalšího. Díky službě MDM jsme identifikovali dva obvyklé zdroje problémů napadených webových aplikací. Jedním bylo provozování zastaralé verze některého z content management systémů (CMS), jako Drupal, Joomla nebo WordPress. V aplikaci MDM se to projevovalo vlnami, kdy po oznámení nové zranitelnosti v některém z content management systémů se v MDM objevila vlna nových stránek zneužívaných k šíření malware. Na tuto hrozbu jsme v roce 2017 reagovali jednorázovou akcí, při níž jsme provedli neinvazivní sken všech domén .cz, a pokud jsme identifikovali zastaralou verzi, poslali jsme informaci o možných rizicích držiteli domény. Druhým častým zdrojem problémů byla webová aplikace s nějakou zranitelností z OWASP TOP 10. Proto jsme byli rádi, když kolega z oddělení testerů přišel s nabídkou, že nás naučí tyto zranitelnosti testovat, a navrhl nám spuštění služby, která by umožňovala primárně neziskovému sektoru a státním institucím požádat o provedení základních bezpečnostních testů právě na nejčastější zranitelnosti. Službu MDM jsme již přestali provozovat, neboť jeden z nejdůležitějších zdrojů informací pro tuto službu omezil své fungování a zároveň jsme vyhodnotili jako ekonomičtější převést část funkcí MDM pod projekt PROKI.
Skener webu
Třetí službou, kterou jsme obohatili fungování národního CSIRT, je služba Skener webu. Ta byla koncipována jako služba zaměřená na český internet. Tedy .CZ domény a weby, u nichž je jednoznačně zřejmé, že jsou určeny českým uživatelům. Služba je zatím poskytována za symbolickou jednu korunu a je primárně určena pro státní a neziskový sektor. V případě, kdy nám to dovolovala provozní situace a rozsah testování a zaměření webu, jsme výjimečně akceptovali i objednávky od fyzických osob a soukromého sektoru. Služba Skener webu splnila naše očekávání a spolu s aplikací Malicious Domain Manager a různými jednorázovými preventivními a vzdělávacími akcemi přispěla ke zvýšení povědomí o bezpečnosti webů a k jejich lepšímu zabezpečení. V současné době proto připravujeme přechod na nové obchodní podmínky a službu Skener webu přiměřeně zpoplatníme.
PROKI
Jako národní CSIRT máme přístup k velkému množství dat o bezpečnostních incidentech a událostech. Jedná se o zdroje jak veřejné, tak omezené pro určitý okruh příjemců a o velmi pestrou směs informací. Od informací o IP adresách figurujících v nějakém botnetu, přes IP adresy, které zkoušely útočit hrubou silou na konkrétní služby, až po domény hostující phishingový obsah. V průběhu roku 2014 jsme si začali uvědomovat, že není v našich silách tato data ručně zpracovávat. Zároveň by ale byla škoda, aby se provozovatelé sítí nedozvěděli, že v jejich síti je nějaký problém, kterým by se měli zabývat. Z toho důvodu jsme v průběhu roku 2015 postupně začali budovat projekt Predikce a ochrana před kybernetickými incidenty (PROKI). Zároveň se nám podařilo zajistit spolufinancování ze strany Ministerstva vnitra České republiky, které projekt podpořilo v rámci Programu bezpečnostního výzkumu České republiky 2015 – 2020. PROKI funguje na jednoduchém principu shromažďování dat z různých zdrojů, jejich převodu do jednotného formátu, distribuce a další analýzy. Byť je princip jednoduchý, bylo potřeba se v rámci projektu poprat s několika problémy.
Naprostou nutností bylo vyřešit různé formáty, ve kterých jsou data předávána (např. CSV, XML), ale také různé metody předávání dat (např. e-mail, HTTP). Dále bylo potřeba vyřešit problém vnitřní struktury informace. Incidenty se mohou vztahovat k IP adresám, ale i k doménovým jménům. Mohou nést informaci o strojích sloužících jako řídící server botnetu, ale zrovna tak i o zotročených počítačích. Kromě toho jsou data obohacována dle našich vlastních potřeb, nejčastěji o geolokační informace.
Dále bylo potřeba vytvořit nástroje, které budou schopny získaná data rozdělit podle sítí, ze kterých daný incident pocházel, zajistit, abychom nerozesílali duplicitní informace, a samozřejmě také zajistit samotné předání dat. To se v současnosti děje buď automaticky pomocí e-mailové zprávy a přílohy nebo prostřednictvím API, pokud o to správce sítě projevil zájem.
Kromě rozesílání se data také ukládají a v analytickém rozhraní s nimi pak můžeme dále pracovat. To v minulosti vedlo k případům, kdy jsme našli řídící server botnetu nebo infikované SCADA systémy. Díky dlouhodobému uložení dat slouží systém také jako reputační databáze svého druhu, která našim partnerům i nám umožňuje v případě potřeby zjistit, zda konkrétní IP adresa v minulosti byla spojena s nějakým incidentem. Službu neustále rozvíjíme, v roce 2024 jsme pak automatizovali část analytických funkcí, což nám umožnilo spustit naši zatím poslední službu, Deny listy. Také jsme v uplynulém roce rozeslali příjemcům informací z PROKI dotazníku, který nám potvrdil, že služba je i po devíti letech provozu stále relevantní. Například 75 procent respondentů s daty z PROKI pracuje pravidelně, za zcela užitečné je považuje 62,2 procent respondentů a více než 53 procent respondentů nenachází v našich reportech false positive.
Zátěžové testy
Až budu popisovat zajímavé incidenty, jistě se dostanu i k sérii mediálně vděčných (D)DoS útoků z roku 2013. Zajímavé na těchto útocích bylo, že nebyly nijak zvlášť silné, ale jejich dopady byly signifikantní. Tato série incidentů nás dovedla k myšlence nabídnout službu, díky které bude možné si otestovat chování vlastní sítě v případě DDoS útoku. Hlavní výhodou, oproti čekání, až infrastrukturu prověří útočník, je, že pokud při testování najde zákazník ve své infrastruktuře úzké hrdlo, dá nám vědět a my útok okamžitě ukončíme. Nabízíme několik způsobů testování, jako SYN a UDP flood, ICMP flood nebo slowloris. Jedná se zároveň o jednu ze tří služeb, které nabízíme na komerční bázi.
Penetrační testování
Druhou službou poskytovanou na komerční bázi je penetrační testování. Poskytování prémiových služeb za úplatu je jedním ze způsobů, kterými získává národní CSIRT část peněz na své ostatní veřejné služby. Jedná se navíc o službu, která je extrémně náročná na znalosti a zkušenosti členů týmu. I zde je však jednou z motivací k poskytování služby přispět ke kultivaci internetového prostředí v sítích v České republice, a proto institucím veřejného sektoru a neziskovým organizacím poskytujeme na penetrační testování slevy.
Deny listy
Nejmladší mezi našimi službami jsou Deny listy. I tato služba vznikla jako reakce na konkrétní incident, i když o její potřebnosti jsme interně i v rámci bezpečnostní komunity diskutovali několikrát i předtím. Jak už jsem zmínil v úvodu článku, v naší činnosti narážíme na řadu incidentů, které jsou spojené s doménovými jmény, jako je phishing, podvodné e-shopy a podvodné investiční platformy. Zatímco nebezpečné domény v zóně .cz umíme často detekovat předtím, než se na nich škodlivý obsah objeví, a umíme je také rychle „vypnout“, v případě jiných webů je doba reakce na incident velmi rozdílná, ale vždy je to minimálně v řádu hodin. Výjimkou nejsou ani domény, kde reakce může trvat i týdny nebo nemusí přijít nikdy.
Z toho důvodu už delší dobou rezonovala v našem týmu potřeba vytváření nějakého snadno nasaditelného blacklistu, který by dokázal rychle reagovat na aktuální hrozby na základě našich zjištění. Nakonec padlo rozhodnutí, že tento seznam bude produkován ve formě RPZ zóny. Data samotná jsou částečně získávána z našeho systému PROKI, kde jsme v minulém roce automatizovali vytěžování dat, která do PROKI dostáváme z projektu Turris, z našich honeypotů a z externích zdrojů. Tato část Deny listů obsahuje primárně domény, které jsou potenciálně škodlivé pro české uživatele, ale povětšinou směřují na obecně používané weby a služby jako Facebook, Gmail nebo Steam. Další část seznamu je tvořena incidenty nahlášenými národnímu CSIRT týmu a poslední část pak tvoří škodlivé domény, které detekujeme svou vlastní analytickou činností. Tyto dva zdroje přinášejí do Deny listů informace o útocích přímo cílících na české uživatele, ať už se jedná o balík u České pošty či Balíkovny, výpis z konta řidiče, vratku daní, příspěvek na bydlení nebo jiný podvod. Přístup k Deny listům poskytujeme od poloviny roku 2024 za úplatu providerům a dalším institucím, čímž efektivně pomáháme chránit uživatele v ČR před značnou částí hrozeb, založených na zneužití doménového jména.
Vzdělávací služby
Spolu s tím, jak jsme při řešení incidentů zjišťovali jejich nejčastější příčiny, uvědomili jsme si, že kromě prevence bude potřeba naše síly zaměřit také na vzdělávání. Protože v té době měla značná část námi řešených incidentů původ ve špatně zabezpečených síťových službách a špatně napsaných webových aplikacích, byl náš první kurz zaměřený na správce IT. Jednalo se o kurz „Počítačová bezpečnost prakticky“ a v rámci kurzu jsme posluchače seznamovali s celým procesem útoku, včetně různých specialit, a to na praktických cvičeních.
S příchodem projektu FENIX se také ukázalo potřebné vytvořit školení na míru pro zájemce o zapojení do komunity bezpečnostních týmů. Kurz s názvem „Základy fungování CSIRT týmu“ pomohl podpořit vznik nových bezpečnostních týmů.
Posledním počinem v oblasti vzdělávání je kurz „Bezpečnost a soukromí na Internetu“. Ten naopak vznikl jako reakce na bezprecedentní nárůst incidentů zahrnujících sociální inženýrství, se kterým se v posledních letech potýkáme. Tento kurz si u nás objednávají především instituce a firmy, které si jej přejí realizovat na míru přímo pro své zaměstnance. Jsme schopni jeho obsah částečně upravit tak, aby rozsahem odpovídal potřebám daného klienta. Zároveň ho pravidelně obohacujeme o nové poznatky z naší praxe, a uživatelé tak dostanou solidní přehled o útocích, se kterými se mohou v kyberprostoru setkat.
Kromě výše uvedených služeb, které provozujeme na pravidelné bázi, jsme realizovali několik akcí, které často reagovaly na konkrétní poznatek či incident. K některým zajímavým incidentům se nyní dostaneme.
Red October (2012)
Jeden z prvních incidentů, který vybočoval z naší běžné rutiny, nám byl oznámen kolegy z CERT-EU. Připomínám, že v prvních letech jsme plnili také roli vládního CSIRT. Neznámý útočník se tehdy zmocnil mailové schránky jednoho z bruselských úředníků a jeho jménem poslal několika významným institucím v ČR e-mailovou zprávu napodobující běžnou komunikaci mezi tímto úředníkem a příjemci. Ačkoliv naše běžná komunikace probíhá pomocí e-mailu, byli jsme požádáni o co nejrychlejší informování a zastavení příjemců tak, aby se předešlo otevření přílohy. Proto jsme všechny dotčené instituce okamžitě obvolali, a k otevření přiložených Word dokumentů tak nikde nedošlo. Při pozdější analýze vyšlo najevo, že wordovské přílohy byly součástí známé kampaně Red October. Pokud by příjemci přílohy otevřeli, došlo by k exploitování zranitelností ve Wordu a spuštění dropperu, který by se postaral o trvalou instalaci samotného malware a sám sebe by odstranil.
Série DDoS útoků
V roce 2013 došlo během jediného týdne k sérii DDoS útoků. Každý den přitom měl útok jiné cíle. V pondělí čtvrtého března to byly zpravodajské weby, v úterý největší český vyhledávač, ve středu byly cílem všechny velké české banky, ve čtvrtek mobilní operátoři. Ačkoliv útok nebyl nijak silný a pohyboval se pod hranicí 1 Gbps, zvládl způsobit i problémy, které možná útočník ani neočekával. Kromě výpadků samotných napadených služeb totiž došlo i k vedlejším škodám. Jeden den tak nebylo možné platit za použití MHD v Praze pomocí SMS, jiný den nebylo možné platit u obchodníků kartou. Technicky se přitom jednalo o SYN Flood s podvrženými zdrojovými adresami, a jak už bylo řečeno, nejednalo se o nijak významný provoz. Problém, jak se ukázalo při pozdějším zkoumání, byl spíše v nepřipravenosti některých dotčených subjektů. To zahrnovalo firewall s podporou SYN Cookies, kterou ovšem nikdo neaktivoval, umístění všech důležitých služeb do jednoho síťového segmentu nebo dlouhodobé provozování firewallu v zátěži na hraně propustnosti. Tyto útoky jsou zajímavé především svými důsledky. Vedly totiž ke vzniku projektu FENIX, a jak už zaznělo dříve, také naší služby Zátěžové testy.
Útoky na americké banky
Tento incident byl jedním z těch, které nás upozornily na nutnost větší edukace mezi správci a zároveň na potřebu větší prevence. Řada webových serverů provozovaných v českých sítích se v letech 2012 a 2013 stala nedobrovolně součástí operace Ababil, která byla namířena proti americkým bankám. Samotné technické provedení spočívalo ve využití malware Brobot, který byl na dané servery instalován typicky přes zranitelnosti v různých Content management systémech, a následném generování provozu, který dotčené služby bank efektivně vyřadil z provozu. Během dvou let, kdy jsme na řešení spolupracovali s FBI, jsme řešili tento malware na desítkách serverů v ČR.
Zranitelnost Rom-0
V roce 2014 jsme řešili incident, který se výrazně propsal do dalších let, mimo jiné snahou důrazněji upozorňovat na zranitelnosti s velkým potenciálem ke zneužití, ale i na snaze aktivněji vyhledávat potenciálně zranitelné stroje. Zranitelnost rom-0 se týkala routeru TP-LINK TD-W8901GB a její zneužití bylo poměrně triviální, stačilo přistoupit na URL http://verejnaIPadresaROUTERU/rom-0. To vedlo ke stažení souboru rom-0, ve kterém bylo uloženo admin heslo k danému routeru. Zároveň ve výchozí konfiguraci bylo konfigurační rozhraní přístupné i přes WAN a výrobcem nebyla vydána oprava této zranitelnosti. Neznámý útočník tuto zranitelnost využil k úpravě nastavení DNS serverů na zranitelných zařízeních tak, aby byl pro překlad používán jím ovládaný DNS server. Následně pak veškerá zařízení, která byla připojena před napadený router, dostávala v případě dotazu na domény seznam.cz a google.cz falešné odpovědi, které oběti nasměrovaly na webové servery provozované útočníkem. Zde byl pak uživatel pobídnut k instalaci „nové verze Flash Playeru“, což byl ve skutečnosti bankovní trojský kůň. Ve chvíli, kdy jsme získali o incidentu poznatky, se rozjelo několik akcí. Okamžitě jsme vydali varování pro koncové uživatele, včetně návodu, jak na routeru zakázat přístup přes WAN (a tím efektivně útoku zabránit). Dále byla vytvořena webová aplikace umožňující uživatelům otestovat, zda je jejich zařízení zranitelné. Spustili jsme také skenování, při kterém jsme identifikovali jen v českém internetu přes 5 000 těchto zařízení. Tyto výsledky jsme poskytli dalším subjektům, pro které to bylo relevantní. Například jedna z menších bank potom aktivně informovala své klienty, pokud k on-line bankovnictví přistupovali z IP adresy, kterou náš sken detekoval.
Black Hat SEO
Tento incident z roku 2014 dokládá, jak je důležité umět incidenty nejen vyřešit, ale také se z nich poučit. Jednalo se o incident, který jsme řešili v roli interního bezpečnostního týmu CZ.NIC-CSIRT, neboť jeho oznamovatelem byl tehdejší kolega a v počátku incidentu nebylo jisté, co je příčinou jevu, kvůli kterému se na nás obrátil. V kostce šlo o to, že na jednom webu viděl upravený obsah. Zatímco všichni ostatní uživatelé včetně provozovatele viděli stránky správně, kolega na nich viděl odkazy na různé on-line „lékárny“ a slovní spojení jako „to buy viagra cheap“ či „shop viagra phizer“. Vyhodnotili jsme to tehdy jako BlackHat SEO, kompromitaci serveru jsme oznámili provozovateli a incident interně uzavřeli s tím, že problém nebyl na kolegově PC.
O téměř deset let později jsme si na incident vzpomněli a s vědomím, že dnes máme větší možnosti, jsme se rozhodli podívat, zda je tato technika stále relevantní. V roce 2023 jsme tedy, již pod hlavičkou národního CSIRT, využili projektu ADAM (Advanced DNS Analytics and Measurements) kolegů z Laboratoří CZ.NIC, konkrétně jedné jeho součásti, nástroje DNS Crawler. Dotazováním na klíčová slova „Viagra“ v kombinaci s „erectile dysfunction“ jsme nalezli 95 webů v zóně .cz, které byly v daném okamžiku kompromitované. Mezi kompromitovanými doménami byl například i web soukromé školky nebo menšího města a i vzhledem k tomu, že jednou kompromitované domény mohou být v budoucnu zneužity k dalším útokům, například phishingu nebo šíření malware, rozhodli jsme se všechny držitele napadených domén informovat.
Důležitost sdílení informací s komunitou
Část analytické činnosti při práci s naším nástrojem Malicious Domain Manager vyžadovala lidskou obsluhu a využívali jsme při ní i některé doplňky do prohlížeče. Díky tomu si kolega v roce 2020 všiml, že se v testovacím prostředí děje něco podezřelého. Jeden z doplňků v prohlížeči, konkrétně „Video Downloader for FaceBook“ se připojoval bez zjevného důvodu na podezřele vypadající doménu. Během analýzy se nepodařilo zjistit konkrétní účel toho chování, nicméně bylo zřejmé, že natahuje javascript, který používal stejné maskovací techniky jako jiné vzorky kódu, které jsme znali z analýz napadených webů. Kolega své poznatky publikoval na našem blogu a podezřelý doplněk, který si stáhlo více než 200 000 uživatelů, reportoval společnosti Google.
Tím ovšem příběh našeho incidentu nekončí. Kolegova blogpostu si všimli analytici společnosti Avast a provedli analýzu řady dalších doplňků pro prohlížeče Chrome a Egde, přičemž odhalili dalších 28 doplňků s více než třemi miliony stažení.
Identifikace NAS v Botnetu
Podobně jako předchozí incident i tento pochází z analytické činnosti, v tomto případě kolegů z laboratoří sdružení CZ.NIC. Ti vytvořili nástroj pro identifikaci DGA (Domain Generation Algorithm) domén v DNS provozu. S jejich pomocí se jim podařilo objevit pokus o připojení na doménu naqsz.cz, kterou nástroj vyhodnotil jako potenciální DGA doménu. Nebylo však jasné, jakému botnetu by měla doména patřit a na jaké porty se bude připojovat. Doménu naqsz.cz jsme tedy zaregistrovali a koncem roku 2021 vytvořili univerzální „honeypot“. Na ten nám následně začaly chodit dotazy od nakažených strojů. To už nám umožnilo identifikovat, že se jedná o botnet QSnatch, postavený na zařízeních QNAP NAS. Celkem jsme identifikovali 4 028 unikátních IP adres, které jsme rozdělili a předali 56 různým národním či vládním CSIRTům. A tímto incidentem, který končí ukázkou důležitosti mezinárodní spolupráce, naši malou exkurzi do zajímavých incidentů ukončíme. Při výběru incidentů jsem zašel záměrně více do minulosti, protože aktuálně řešené incidenty jsou sice také někdy po technické stránce zajímavé, ale většinou zahrnují již zmiňované sociální inženýrství a jejich hlavním důsledkem byl již zmiňovaný vznik služby Deny listy.
Kam kráčí CSIRT.CZ?
Aktuálně nás čeká přechod na nový zákon o kybernetické bezpečnosti, který bude mít dopady také na naši práci. Na tento přechod se již připravujeme a s Národním úřadem pro kybernetickou bezpečnost řešíme, jak všechny procesy s tím spojené nastavit co nejlépe. V dohledné době také chystáme spuštění zcela nového projektu, který umožní komunitě uživatelů, kteří budou mít zájem, aktivně se zapojit do boje s některými druhy sociálního inženýrství a nám umožní na tyto útoky ještě rychleji reagovat. Zároveň plánujeme i nadále rozvíjet již existující služby.
Výše uvedené je jen výsekem naší činnosti, vyloženě zaměřeným na služby a incidenty. Je však třeba říci, že důležitou součástí naší práce je také podpora komunity v České republice, což obnáší například podporu týmů, které se chtějí stát členy mezinárodních organizací pro týmy typu CSIRT/CERT, nebo pravidelné organizování setkání komunity v rámci pracovní skupiny CSIRT.CZ. Významnou částí naší činnost je také mezinárodní spolupráce, kde máme v rámci bezpečnostní komunity velmi dobré postavení, čehož důkazem je i fakt, že naše kolegyně byla v roce 2023 zvolena do řídícího orgánu organizace TF-CSIRT.
Vše výše popsané by nebylo možné bez každodenní práce všech zaměstnanců sdružení CZ.NIC, které národní CSIRT provozuje. Jak je z výše řečeného doufám vidět, CSIRT.CZ jako národní CSIRT těží při řešení incidentů i prevenci často z praktických poznatků z dalších bezpečnostních projektů sdružení, využíváme aktivně data z projektů ADAM, Turris, HaaS. Pomáhá nám výzkumná činnost laboratoří sdružení a samozřejmě i možnost sledovat určité vzorce v registracích domén. Proto bych rád závěrem poděkoval všem kolegům ze sdružení CZ.NIC, kteří svou činností spolu s námi pomáhají chránit kybernetickou bezpečnost České republiky.
Poznámka: Článek „CSIRT.CZ – 15 let ve sdružení CZ.NIC“ vyšel původně v časopise DSM – Data Security Management.