Jak jsem hacknul hackery: Co se děje v hlubinách internetu, zatímco na něm pokojně klikáte

Tenhle vir měl namířeno na 1 213 817 webů po světě. Aby se tam rozšiřoval do dalších přístrojů: těžil kryptoměny, odposlouchával hesla, kradl data a platební karty. Díky populárnímu Drupalu, obdobě WordPressu, má skutečně povedený zásah. Že jste o něm neslyšeli, na webu bruzdáte, a nic? To proto, že mu v tom zabránil český kyberspecialista, který vystupuje pod přezdívkou 4n6strider. Teď vir v zásadě ovládá. Čtěte, jak se dokáže dostat do temnot internetu tak, že to zajímá hackery i třeba CIA.

Je jeden z několika, kteří tu na denní bázi, nenásilně, a celkem bez zájmu „obyčejných“ uživatelů počítačů lidi na dálku chrání. Ukrást hackerům nástroj na hackování je unikátní. Nástroj jim 4n6strider bere, jak říká, „rovnou od huby“. Tedy během vývoje. Díky tomu už zablokoval několik útoků dřív, než je vůbec mohli hackeři použít ve větším.

Hledat viry je součástí jeho práce v antivirové společnosti. Kromě toho je to ale jeho velký koníček. Síť sleduje každý den a na “zajímavé” viry naráží několikrát týdně. Nedávno jej zavedly na část webu jednoho muzea v Indii. Vedle zajímavostí tamní kultury si hackeři nahrávali své soubory. Takhle je měli po ruce anonymně, odkudkoliv a bez možnosti vystopování. Tedy, téměř.

“Byl mezi nimi i virus, který jsem nainstaloval na jeden počítač a čekal jsem, kam se připojí,” říká. Díky tomu našel server, který posílal instrukce zavirovanému počítači. Ten nastavil tak, aby mohl odposlouchávat i rozhovory jednotlivých členů skupiny. A tvářit se jako jeden z nich.

Zkratkou do zabezpečených korporací

Tak našel kit na hacking Drupalu, nástroje na správu obsahu využívaného pro mnoho internetových časopisů, blogů i třeba e-shopů. Je skoro tak populární jako třeba WordPress nebo Joomla. Používají ho cestovatelé, módní blogy, grafici i univerzity. Je základem pro microsity, promoakce i výzkumy a hlasování. „Než pustit třetí stranu do složitého ekosystému firmy, je snazší je nechat napsat úplně nový web a odkazovat na něj,“ říká 4n6strider. V tuzemsku ho využívá například Česká televize, Tesla nebo mnohá diskusní fóra, mezi jinými třeba proslulý Mimibazar.

A zmíněný kit zajišťuje, že se přes Drupal dostanete do jinak perfektně zabezpečených korporací. Stačí, když jej někdo použije na hlasování uvnitř firmy. „Například o tom, jaké má být příští téma měsíce pro HR akci – to jsem přesně zažil v praxi. Všichni musí povinně hlasovat a tedy navštívit stránku postavenou na Drupalu a mimo bezpečný perimetr firmy,“ vypráví 4n6strider.

Nástroj se maskuje jako MS Bing server, který prohledává weby – stejně jako Google. Najde si mezi nimi ty postavené na Drupalu, využije známou zranitelnost, a je hotovo.

„Podle dat, která jsem odposlechl od hackerů, měl nástroj namířeno na 1 213 817 webů. V případě úspěchu dal svým správcům vědět prostřednictvím jednoho ze 13 serverů. A co se s napadeným webe dělo dál, to už bylo jen na vůli hackerů,“ vysvětluje 4n6strider.

Beze mě nespláchnete

Zabránit nekalé činnosti, pomoct při hledání teroristů i spolupracovat s národními i nadnárodními agenturami je práce pro řádově stovky lidí v České republice. A ti jsou ve spojení se světem. V Evropské unii sdílíme společný prostor proti kyberkriminalitě, zaštiťovaný agenturou Agency for Network and Information Security (ENISA), v rámci které si státy vyměňují informace o hrozbách i o tom, co je nutné prověřit. Pár z těchto lidí musí být na telefonu 24 hodin denně pro služby typu FBI či CIA. Pro případ, že by se dělo něco akutního. „To se ale, pravda, mimo pracovní dobu příliš neděje. Většinou to nejsou věci, které by tak hořely, že nepočkají do rána,“ popisuje 4n6strider. On sám to nedělá – v týmu na to mají vyčleněného konkrétního člověka.

Druhá strana totiž nečeká. Hackeři, kteří si svojí činnosti přicházejí na slušné peníze, dostávají výkupné za přístup k datům (pokud vám nedovolí dostat se do vlastního počítače), ale i třeba užívání zařízení. Hacknutelné jsou totiž například i příliš chytré záchody v Japonsku – a útočníci můžou využít toho, že bez jejich svolení nespláchnou. Ne všichni na tuhle hru přistoupí. „I kdyby však zaplatil jeden člověk ze sta, ve chvíli, kdy má vir 100 milionů lidí, jsou to slušné peníze. A podobně je to se spamem,“ popisuje 4n6strider. Pro zisk prostě stačí dostatečný počet napadených zařízení. A zisky za „základní“ napadení se tak pohybují orientačně ve stovkách tisíc dolarů.

„Spousta škodlivých kódů je veřejně ke stažení. Lze dodat funkci a změnit text – antivirové programy změnou pár písmenek útočníci oklamou. Stačí přidat adresu svojí peněženky a napadení rozšířit,“ popisuje 4n6strider.

Pro to se hodí v této souvislosti často zmiňované kryptoměny, které jsou zároveň novým trendem mezi útočníky. Stále víc na internet věcí napojených přístrojů totiž zároveň znamená víc softwaru na těžbu virtuálních měn. Takže i taková lednička v sobě může mít malý webserver hostující stránku se špatným kódem. Vedle vašeho piva se tak možná tiše těží kryptoměny. „To je teď poměrně finančně zajímavé. Hardwarově to vytěžuje zařízení, které na takové používání nebylo stavěné. A to se často spálí,“ popisuje 4n6strider.

Pořád ve střehu

Zabránit všemu špatnému linoucímu se z virtuálního světa do toho reálného se snaží takzvaní white hat hackeři. Stojí proti těm označovaným jako black hat, případně občasně i grey hat – to je nálepka pro takové, kteří se pohybují na pomezí obou světů.

Etičtí hackeři však mají na své straně pár nevýhod. “Stačí udělat jedinou chybu a člověk se v podstatě prozradí bandě zločinců, kterým právě překazil plány a připravil je o zisk,” popisuje 4n6strider.

Sám se musí pohybovat anonymně. Mezi hackery se neprozradit neobvyklou aktivitou a chovat se a myslet jako oni. “Jenže já jsem limitovaný zákonem a etikou,” říká. A navíc je jeden proti mnoha. „Pořád je třeba být ve střehu. Napsal jsem si nástroj, který mi umožnuje sledovat v jejich systému změny přes mobil a tím s nimi držet tempo. Někteří členové totiž fungovali jen v pracovní době běžné pro ostatní lidi, to je pondělí až pátek od 9 – 17 hod. Ostatní fungovali spíše hekticky a klidně i během noci. Proto jsem si musel část procesu zautomatizovat,“ popisuje.

Konkrétně dostat se mezi škodící hackery trvalo několik měsíců. Analýza kódu Drupalu pak už necelých pět hodin. Konkrétně tento vir má ještě jednu zákeřnost: hackeři používají takzvané třídy, podle kterých dělili útoky, takže je mohly zamířit na konkrétní zemi. „To je důležité, protože jim to umožňuje vyvíjet specifický obsah pro danou lokaci a tím hodně zvýšit efektivitu. Pokud by vám přišel e-mail ‚Drahoušek zakazník, milovat vaši přízeň u nás‘, nejspíš jej smažete. Pokud by v něm ale byl bezchybný text simulující třeba oznámení z banky, na něj už řada lidí klikne a je těžší ho odhalit,“ popisuje 4n6strider.

Nástroj teď má v rukou – a upraví jeho kód tak, aby mu místo napadení webu jen ohlásil, o jaký web se jedná. „Uvědomím majitele těchto webů. Zbytek už je na nich,“ říká.

Co je cílem útočníků?

  • Instalovat kod, který bude používat pc a mobily návštěvníků webu k tomu, aby těžil kryptoměny
  • Odposlechnout uložená hesla v prohlížeči
  • Rozšiřovat prakticky libovolně škodlivý kod. Protože to jsou technckz vzato legitimní weby, není tak snadné je nechat zablokovat.
  • Sloužit jako tajný chat server pro hackery
  • Krást data o platebních kartách a hesla. Máte pro každý web unikátní heslo, nebo používáte všude jedno heslo, včetně sociálních sítí?
  • Stát se dalším command and control serverem a podílet se tak na řízení botnetu
  • Weby by mohly sloužit také jako základna pro DDoS útoky.
  • TZV defacement a nebo šíření fakenews
  • Tzv black hat SEO
  • Rozšiřování botnetu k páchání další trestné činnosti a případnému pronájmu třetím stranám.
  • Anebo všechno dohromady

Diskuze k článku