Chyběl jenom Cowley. Zásahová jednotka vběhla do rozbitého vchodu paneláku na nekonečně smutném bahnitém sídlišti. Železné dveře v suterénu zastavily policisty jen na pár vteřin, než povolily odbornému vypáčení. Uvnitř našli policisté dva muže, desítky serverů, počítačů, drátů, volných harddisků a všelikých technologických hejblátek. Kromě toho tam byly i desítky zlatých cihliček a svazky dolarových a eurových bankovek, celkem za miliony v kterékoli měně.

Ten výjev zná veřejnost proto, že jej na videozáznamu zveřejnila ukrajinská policie, jejíž kybernetické oddělení jej 27. ledna pořídilo. Kde přesně se odehrál a jak se jmenují oni dva zatčení, už nevíme. Zato víme, že akce, která je dostala pod zámek, trvala celkem přes půl roku a zaměstnávala policisty i soukromé bezpečnostní experty z celého světa. Její lednové vyvrcholení proběhlo současně v 90 zemích světa s cílem zneškodnit Emotet, nejnebezpečnější malware planety.

Miliardový byznys

Operace Beruška, jak se akci říkalo, byla příkladem vzorné spolupráce různorodých bezpečnostních sil. Pod společným vedením Europolu a FBI se jí zúčastnili muži zákona ze Spojených států, Litvy, Ukrajiny, Francie, Německa, Británie, Nizozemska a Kanady. Na druhé straně stálo volné společenství počítačových zločinců, které dokázalo během šesti let své existence napadnout sedm procent veškerých světových institucí, komerčních i státních, velkých i malých, na Západě i v Orientu - a připravit je celkem zhruba o 2,5 miliardy dolarů.

Beruška se zakousla pořádně. „Mezinárodní vyšetřování a intervence zaměřená na narušení provozu Emotetu vyústily v zásah, při němž úřady získaly kontrolu nad jeho infrastrukturou a zneškodnily ji zevnitř,“ uvedlo strohé hlášení Europolu. Aby bylo zřejmé, proč je to důležité, je třeba popsat vývoj Emotetu (výraz se používá v technologickém kontextu jako jméno škodlivého počítačového programu, ale v kontextu kriminalistickém označuje zločineckou skupinu, která jej sestrojila a používá) od jeho vstupu na scénu v roce 2014.

Bylo to v době, kdy svět měl oči navrch hlavy z ruské anexe Krymu a propadu cen ropy. Zaměstnanci desítek bank především v Německu, Británii a ve Spojených státech tehdy začali dostávat e-maily s primitivním phishingovým obsahem. (To jsou ty, které z vás chtějí vylákat přístupová hesla a další soukromé údaje, obvykle proto, aby se jejich „zloděj“ mohl za vás vydávat a tím či oním způsobem z vás vytáhnout peníze.) Jiné takové e-maily obsahovaly trojany, software, jenž umí „v přestrojení“ proniknout do firemních infrastrukur za účelem ilegálního sběru informací, například přístupových hesel. Na tom nebylo nic převratného a nikdo se tomu zvlášť nevěnoval; z ruskojazyčné sféry se do civilizovaného světa hrne jeden takový útok za druhým.

Pak byl asi dva roky pokoj. Mezitím tým vývojářů (dodnes nevíme, jestli byl jedno-, nebo třeba dvacetičlenný) přišel s parádní inovací. Ti lidé dobře odhadli, že jejich síla spočívá ve schopnosti obejít firewally a veškeré další překážky, které organizace používají na obranu před útoky zvenčí. Co si ale počít uvnitř? Kdyby se další modus operandi neustále opakoval, začalo by to dříve či později na tvůrce-uživatele Emotetu ukazovat.

Malware jako služba

Ta povedená parta tedy začala nabízet Emotet na bázi MaaS, což je zkratka „malware as a service“, mírně ironická narážka na pojem SaaS, software as a service, ve světě IT byznysu běžně používaný. Znamená to, že Emotet začal fungovat jenom jako dopravce, jenž za úplatu přes firewall dopravil, co bylo třeba: phishingový útok, trojan nebo cokoli jiného.

Výsledek byl ten, že tisícovky online zlodějů a zlodějíčků si prostě koupily právo Emotet použít, podobně jako když si koupíte právo užívat Microsoft Office. Emotet to vedl jako skutečný byznys, včetně nabídky zákaznické podpory. Tak to fungovalo od října 2019 do loňské zimy, pak nastala zhruba pětiměsíční pauza a po ní v létě následoval další rozjezd (viz graf).

Daniel Deyl

Tato revoluční strategie z Emotetu udělala historicky nejpoužívanější produkt svého druhu; jen v období od dubna do října roku 2019 se takto dostal pod kůži několika stovkám velkých serverů a celkem 1,6 milionu počítačů (včetně chytrých telefonů) po celém světě. Celkem podle Europolu nadělal problémy sedmi procentům veškerých světových organizací.

Zjistilo se, že obzvlášť účinným nákladem Emotetu umí být ransomware, tedy program, který umožní lupiči dostat se k obsahu firemních serverů či jednotlivých počítačů a vyhrožovat. K nejčastějším fíglům patří uzamčení souborů nebo hrozba zveřejnění citlivého obsahu. Když nedostaneme, co chceme, buď už své e-věci nikdy neuvidíte, nebo je naopak uvidí na internetu každý, zní taková hrozba.

Útoků tohoto typu je ažaž. Americká firma Check Point, která se kyberkriminalitou zabývá, uvádí, že 63 procent veškerých útoků uskutečněných prostřednictvím Emotetu má finanční motivaci a že více než tři čtvrtiny takto motivovaných útoků probíhá pomocí ransomwaru. Vtip je v tom, že postižení se tím samozřejmě nechlubí. Ačkoli například americké úřady vyzývají napadené instituce, aby vyděračům nikdy neplatily, firmy mají sklon raději věc ututlat a zaplatit.

Neplatí za to málo - průměrná výše výkupného je okolo tři čtvrtě milionu dolarů. Málokterý subjekt se přitom odhodlá jít s vyděrači do veřejného sporu, jako to loni udělal výrobce počítačových her CD Projekt Red (k jeho největším hitům patří Cyberpunk 2077 a samozřejmě série Zaklínač, jestli vám to pomůže k lepší orientaci). Hackeři jej letos informovali, že mají v ruce kód mnoha jeho her; CDPR však problém vynesl na veřejnost a oznámil, že nic platit nebude. Minulý týden bylo drama v plném proudu, psal server darkreading.com, jenž se takovými věcmi zabývá.

Žádné vakuum

Že je Emotet zločinný vynález, bylo úřadům zjevné již dlouho. Méně zjevné ovšem bylo, co s tím. Kybergang totiž používá decentralizovanou modulární strukturu, aby systém nešlo jednoduše vyřídit úderem na jedno místo. Proto strážci zákona z výše uvedených osmi zemí akci připravovali od léta. Infiltrovali síť Emotetu, získali v 90 zemích světa kontrolu nad „nadřízenými“ servery (jinak C2, command-andcontrol) a zmapovali všechny cesty k záložním úložištím, aby znemožnili rychlou obnovu systému. Sedmadvacátého ledna pak všechny tyto servery C2 najednou zneškodnili a zároveň provedli několik razií podobných té z úvodu textu. Emotet přestal existovat.

To je ta dobrá zpráva. Ta špatná spočívá v tom, že úspěch je jen dílčí a prchavý. Zaprvé není jisté, jestli se správcům Emotetu přece jen nepovedlo nějaká data uložit. Zadruhé, i kdyby tomu tak bylo, poptávka po službě stejného typu kvůli jednomu úspěšnému zátahu nevyschne. „Krátkodobě vzato je to velký úspěch,“ řekl o akci Beruška časopisu Wired Lotem Finkelsteen z Check Pointu, „ale dlouhodobě víme, že žádné vakuum v kyberkriminálním prostoru tím nevzniklo. Musíme hledat další terč a zneškodnit jej dřív, než příliš vyroste.“

Článek vyšel v tištěném vydání týdeníku Hrot.