Článek
Podařilo se již odhalit nějaké stopy, které by Vás dovedly k samotnému útočníkovi, nebo útočníkům?
Všechno jsou zatím úvahy. Je strašně těžké útočníka vystopovat. Měl velice dobrou znalost českého prostředí, dobře volil cíle a dokázal si odhadnout, jakou sílu má a na koho může útočit. Tedy když cílil na zpravodajské servery, tak útočil všemi směry, když na Seznam, tak mu bylo jasné, že musí celou svou sílu koncentrovat do jednoho toku paketů (blok dat přenášených v počítačové síti, pozn. red.), protože je (Seznam) příliš silný.
Při útoku na operátory si vybral jen dva ze tří. Připadá mi to, jako by si spočítal, že kdyby útočil na všechny tři, tak by už ten útok nemusel být úspěšný. Navíc dokázal v průběhu i změnit taktiku útoku. Musel tedy počítat s tím, že bezpečnostní týmy již vědí, jak na něj.
Existuje tedy možnost, že to byl přímo někdo z Česka?
Můj osobní pocit je, ale je to čirá spekulace, že to bylo řízeno někým z Česka.
Odkud útoky pocházely, se již podařilo zjistit?
Zdá se nám, že to šlo z jednoho centra. Většina útoků, respektive hodně velká část těch toků přišla z ruské sítě RETN. Problém, který máme při současném vyšetřování, je, že tato strana s námi nekomunikuje. Nechtějí nám prozradit, jak ten tok vlastně dál vypadal.
Pokud útočník podvrhoval zdrojové adresy, tak vy vlastně nemáte jinou možnost zjistit, odkud to přišlo, než zpětně trasovat tu cestu a ptát se každého, jestli ty pakety neviděl. Z toho by se dalo rekonstruovat, kde je centrum útoku.
Pořád to neznamená, že centrum muselo být v Rusku, ale rozhodně to přišlo z ruského směru. To se zatím nedá stoprocentně říct. Všechno ale nasvědčuje zatím tomu, že to bude někde v Rusku.
Oni tedy na vaše požadavky vůbec nereagují? Existuje nějaká cesta, jak síť RETN přimět komunikovat?
Odpovídají, že tuto záležitost nemají zájem řešit. Přímá komunikace nevyšla, nyní se snažíme využít cestu národních CSIRT týmů. Budeme komunikovat s ruskou stranou, jestli by se nemohli ve vyšetřování angažovat.
Naší hlavní snahou je od RETNu zjistit, odkud dál zdroj paketů pocházel. To nám ale pořád nemusí ještě najít toho útočníka. Můžeme například zjistit, že to vzniklo v konkrétní serverovně, ale co dál? Může to ale samozřejmě něco naznačit.
Jaká je pravděpodobnost, že bude útočník dopaden?
Mám obavu, že poměrně malá. Pokud se někde nepochlubí nebo nepodřekne, tak bude velice obtížné ho vystopovat. Zkušenosti s dohledáváním podobných případů v Rusku jsou, že se většinou nic nedozvíme. Třeba i zjistíme, odkud útok šel, ale to nám stejně ještě neřekne, kdo byl zadavatelem útoku.
Jaká je historická úspěšnost dopadení nájezdníků po kybernetických útocích?
V tomto případě jsme téměř vždycky neúspěšní. Obvykle se ale dá vždycky vystopovat nějaký motiv útoku.
Jaký mohl být motiv útoků z minulého týdne?
Motiv je pro mě zatím nejasný. Ten důvod může být velice široký. Například dva kluci našli kreditku a rozhodli se pronajmout si botnet (síť zotročených počítačů, pozn. red.). Také může jít o podnikatelský záměr, protože to jistě ve firmách vyvolá zájem o lepší zabezpečení.