Škodlivý program coviper, ktorý najmä v minulom týždni útočil na niektoré české nemocnice, mohol byť vytvorený pomocou nástroja od ruských hackerov. Vyplýva to zo zistení antivírusovej firmy Eset. Jeho stopa vedie podľa nej aj na čínske IP adresy.
"Pôvod útoku sa nedá jednoznačne určiť, avšak nástroj MBR Locker, pomocou ktorého bol vytvorený, je v ruskom jazyku. Rovnako tak sú inštrukcie na použitie tohto nástroja k dispozícii na ruských hackerských fórach. Digitálnu stopu sme tiež zaznamenali na čínskych IP adresách," uviedol technický riaditeľ Esetu Miroslav Dvořák.
V pondelok sa v Lidových novinách s odkazom na dôveryhodné zdroje objavila informácia, že za útokmi stojí zrejme Rusko. To prostredníctvom svojho veľvyslanectva v Prahe poprelo, že by za útokmi stálo a označilo to za výmysel, špinavý protiruský výpad a otvorenú provokáciu.
Generátor MBR Locker je nástroj, do ktorého môžu útočníci ľahko nastaviť potrebné údaje, napríklad hlášku, ktorá sa má zobraziť po zablokovaní počítača, a následne je vytvorený spustiteľný exe súbor, ktorý je potom samotným škodlivým programom. Nejde teda podľa Dvořáka o nijak sofistikovaný spôsob vytvorenia škodlivého kódu.
"Spätnou analýzou sme v apríli detekovali jednotky, z ktorých vyplýva, že škodlivý kód bol použitý cielene. Prvýkrát sme sa s týmto kódom stretli v januári, ale so žiadnym bezpečnostným incidentom ho nespájame," dodal Dvořák.
Ak používateľ otvorí infikovanú prílohu e-mailu s coviperom, nastane napadnutie počítača. Po prvom škodlivým kódom vynútenom reboote a opätovnom prihlásení používateľa sa zobrazí aplikácia s ilustračným obrázkom detailu koronavírusu s anglickým popisom, že zariadenie bolo infikované koronavírusom, uviedol Dvořák.
Škodlivý kód okrem zobrazenie obrázku s koronavírusom takisto prepíše Master Boot Record čiže MBR, čo je tzv. hlavný spúšťací záznam na pevnom disku, ktorý je zodpovedný za správne spustenie operačného systému.
Deštruktívna časť tejto hrozby, ktorá má za cieľ znemožniť spustenie operačného systému, nie je po technickej stránke príliš pokročilá. Jednak sa dá táto blokácia obísť stlačením klávesov Ctrl + Alt + Escape, ale aj keby to tak nebolo, skúsený administrátor dokáže obnoviť MBR a zamedziť opakovanému spustenie škodlivého kódu coviper pomerne ľahko a rýchlo, povedal Dvořák.
Pred útokmi na nemocnice varoval minulý štvrtok Národný úrad pre kybernetickú a informačnú bezpečnosť. Hackeri v nedávnej minulosti napadli napríklad zdravotnícke zariadenia v Brne alebo Kosmonosoch, v minulých dňoch ich útok odrazila ostravská nemocnica, pokusy o útok zaznamenali tiež Fakultná nemocnica Olomouc alebo nemocnice Pardubického kraja. Dvom útokom čelila tiež Karlovarská krajská nemocnica, oba odrazila a nespôsobili jej žiadne škody. Vlani bola podľa odhadov expertov napadnutá asi pätina českých nemocníc.