Cvičení mělo za úkol prozkoumat možnosti spolupráce mezi soukromým a veřejným sektorem v případě takovéto události a v neposlední řadě průběh cvičení vyhodnotit a najít tak slabá místa a problémy. Cvičení probíhalo pouze formou e-mailové a telefonické komunikace, v žádném případě nebyl prováděn žádný skutečný DDoS útok.
Českou republiku zastupovali celkem čtyři hráči, dva ze soukromého a dva z veřejného sektoru. Za privátní sektor se účastnilo sdružení CESNET a společnost ACTIVE 24, kteří během cvičení zastupovali internetové providery. Za veřejný sektor se účastnili zástupci Policejní akademie ČR a náš bezpečnostní tým CSIRT.CZ, který provozuje sdružení CZ.NIC, správce české národní domény .CZ. Ten také během cvičení plnil svou obvyklou roli, tedy koordinátora národní i mezinárodní komunikace a hlavní kontaktní bod pro získávání a sdílení informací o aktuální krizi. A jak takové cvičení vlastně probíhá?
Mezitím PA pokračovala v analýze útoku a kromě zdrojů, pocházejících z ČR, nalezla v logu také IP adresy z Dánska a Švýcarska. Z tohoto důvodu se rozhodla do řešení incidentu zapojit také tým CSIRT.CZ, kterému zaslala část logů s uvedenými IP adresami. Vzhledem k tomu, že se jedná o útok na PA, je o situaci informován také vládní CSIRT tým. S tím pak národní tým udržuje spojení a vyměňuje důležité informace po celou dobu trvání útoku.
9:00
Krátce po deváté hodině ranní obdrželi jednotliví hráči v ČR e-mailové zprávy od svých fiktivních IT a bezpečnostních oddělení. ISP byli informováni o neobvykle zvýšeném toku dat v jejich sítích, který by mohl naznačovat, že z jejich sítě probíhá nějaký útok, a také o podezřelém chování některých modemů, které bylo pozorováno jejich zákazníky. Přibližně v té samé době byla svým IT oddělením informována také Policejní akademie ČR (dále PA), jejíž systémy se ocitly pod náporem DDoS útoku. Protože PA byla v tomto scénáři zákazníkem uvedených ISP, rozeslala jim informaci o probíhajícím DDoS útoku a zároveň o něm informovala tým CSIRT.CZ. Chvíli před desátou hodinou už to začíná být skutečně zajímavé, CSIRT.CZ telefonicky přijal informaci o DDoS útoku na cíle ve Finsku, na němž se částečně podíleli také uživatelé IP adres z ČR. CSIRT.CZ požádal o zaslání logů, které by mu umožnily identifikovat a oslovit sítě, které jsou zdrojem útoku.
Díky analýzám bezpečnostního týmu ACTIVE 24 se ukazuje, že se jedná o novou variantu botnetu s hybridními řídícími servery (Comand and control server – C&C). Ukazuje se, že jedinou šancí na zrušení DDoS útoku je nalézt všechny C&C servery kontrolující botnet. Botnet využívá ke svému šíření chyby v modemech zákazníků ISP a některých menších routerů a dalších síťových zařízení. Bohužel po napadení znemožňuje jakékoliv další zásahy do nastavení routeru. V simulovaných médiích, do kterých mají přístup jen účastníci cvičení se začínají objevovat první znepokojivé zprávy, BBC informuje o problémech v řadě zemí EU a objevuje se také řada spekulací.
Tou dobou PA informuje další části státního aparátu a zároveň získává informace, které dokreslují celkový obrázek zkázy – i další veřejné instituce se potýkají s problémy s DDoS útokem a jeho následky.
Na základě informací o napadnutelných síťových zařízeních začíná PA eliminovat tato zařízení ve své síti. CSIRT.CZ, na kterém leží starost o komunikaci a plynulé předávání informací na všech úrovních, přijímá nabídku PA, která bude od teď informovat ostatní subjekty ze státní správy. V té době, na základě vyhodnocení všech dostupných informací, přistupuje PA k informování ministerstva vnitra, které se začíná připravovat na nasazení krizových plánů.
10:00
Okolo desáté přijímá CSIRT.CZ hlášení z Dánska, které je také pod velkým DDoS útokem, část IP adres je opět z ČR. BBC přináší nové informace, počet známých států pod „palbou“ se opět zvyšuje.
11:00
Kolem jedenácté hodiny je jasné, že situace si žádá bližší spolupráci. Zainteresované strany v ČR utvářejí pracovní skupinu, která jim umožňuje efektivněji sdílet získané informace.
V 11:30 přijímá CSIRT.CZ ze zahraničí první seznam odhalených C&C serverů. Při bližší analýze jeho členové zjišťují, že jeden z nich se nalézá v síti CESNET. Okamžitě jim tuto informaci předávají. Během chvíle pak přichází potvrzení – první C&C server v ČR je odpojen! Na bouchnutí láhve šampaňského to zatím není, ale karta se začíná pomalu obracet. Nicméně útok pokračuje.
CSIRT.CZ ovšem rozesílá informaci i ostatním státům, jejichž IP adresy byly v seznamu zatím odhalených C&C serverů a informuje tedy CSIRT týmy Německa, Litvy, Lucemburska a Irska.
Ukazuje se, že dalším zdrojem útoku jsou i PC uživatelů, kam se instaluje jiný botnet pomocí 0-day zranitelnosti jednoho z populárních prohlížečů. Zároveň bylo rozpoznáno několik hojně navštěvovaných stránek, které byly napadeny a nyní napomáhají v šíření botnetu. Proto je kontaktována vláda s žádostí o zveřejnění informací o útoku i seznamu webových stránek, jejichž návštěva může poškodit počítače uživatelů.
12:00
Před polednem obdržel tým CSIRT.CZ informace z Portugalska o dalším C&C serveru v síti CESNETu. Zařizuje hned jeho odpojení od sítě a okamžitě informuje Portugalsko o provedené akci. Zároveň přichází potvrzení z Litvy – reportovaný C&C server byl odpojen!
CSIRT.CZ dostává informace od Německého CSIRTu a dále distribuuje další seznam IP adres z ČR, které se podílejí na útoku na cíle v Německu.
Po poledni přichází ACTIVE 24 a CESNET s aktualizovaným seznamem IP adres, které se podílejí na tomto masivním útoku. Další zemí, jejíž počítače se nevědomky připojily k útoku, se stává Slovensko.
CSIRT.CZ přijímá potvrzení o odpojení dalšího jím reportovaného C&C serveru, tentokrát v Lucembursku. Členové týmu CSIRT.CZ také rozesílají ostatním dosud zapojeným zemím informaci o Slovensku, dalším zdroji útoku.
13:00
Kolem jedné hodiny odpoledne posílá Slovensko první informace o algoritmu pro generování doménových jmen, kterým si druhý z botnetů zajišťuje přístup ke svým řídícím serverům.
Protože zaslaný algoritmus není kompletní, dedikuje CESNET část svých sil na spolupráci při odhalování tohoto algoritmu.
Vzápětí ACTIVE 24 informuje CSIRT.CZ o další zemi, jejíž počítače se přidaly k útoku – Belgii. CSIRT.CZ se paralelně snaží odpovídat na otázky zasílané zástupci tisku a snaží se uvolňovat informace, které budou užitečné obyvatelstvu a přitom nepovedou ke zbytečné panice. Toto vše musí zvládat při extrémním stresu, kdy každou minutu dostává minimálně jednu další e-mailovou zprávu informující o situaci v ČR i dalších zemích.
Po jedné hodině přichází další problém, PA zachytí snahu útočníků o proniknutí k osobním dokumentům. Na základě těchto zjištění informuje členy vlády ČR, že budou v souladu s krizovými plány od sítě odpojeny vybrané citlivé systémy.
14:00
Před druhou hodinou informuje CESNET ostatní účastníky o značném posunu při hledání algoritmu pro generování domén. Informace je ihned předána také vládním autoritám v ČR. Vláda přistupuje ke zřízení krizové telefonní linky, kde mohou občané získat informace o probíhajícím útoku.
Na základě informací o algoritmu pro generování domén začíná ACTIVE 24 a CESNET filtrovat tyto domény na svých DNS serverech.
CSIRT.CZ dostává informaci z Nizozemí, které posílá seznam IP adres ACTIVE 24 a CESNETu, které útočí na tamější banky.
V půl třetí probíhá telekonference mezi všemi zainteresovanými státy. Každý z CSIRT týmů krátce shrne dosavadní vývoj ve své zemi a vyslechne si hlášení ostatních týmů. Během telekonference je vybrán takzvaný Crisis facilitator, který má za úkol řídit spolupráci mezi zainteresovanými stranami. Této úlohy se zhostil CERT-EU. Zároveň je domluveno, že každý z národních CSIRT týmů vytvoří report o dosavadním průběhu útoku za jeho zemi a zašle ji týmu CERT-EU, který se na jejich základě pokusí situaci vyhodnotit.
až 18:00
V dalších hodinách probíhá postupné dohledávání dalších IP adres C&C serverů prvního botnetu.
V této části projevila česká pracovní skupina největší iniciativu. Nejprve vyzvala ostatní k výměně informací, které o těchto serverech mají. Následně potom pomohla založit společnou platformu pro kompletaci tohoto seznamu. Díky tomu se českému týmu, jako jednomu z mála, podařilo ještě před koncem cvičení odpojit od sítě celkem čtyři C&C servery umístěné v ČR. Cvičení v této intenzitě probíhalo až do šesti hodin večer.
Osobně jsem se cvičení zúčastnil v roli jakéhosi nezaujatého pozorovatele, který má sledovat akce prováděné jednotlivými účastníky v dané zemi. Musím se přiznat, že jsem byl z počátku k této akci spíše skeptický, ale i přes některé organizační nedostatky, které lze však vzhledem ke složitosti a rozsahu akce omluvit, jsem měl nakonec z akce dobrý pocit.
Takto připravené cvičení skutečně pomáhá hráčům vyzkoušet si spolupráci na mezinárodní úrovni i spolupráci uvnitř vlastního státu. Jako největší výhodu ale vidím možnost vyzkoušet si práci ve skutečně stresové situaci, kde člověk musí správně volit priority jednotlivých kroků, zvažovat jejich dopad, řídit toky informací, komunikovat s médii, vládními představiteli i dalšími zainteresovanými stranami. To, že je možné si toto vše vyzkoušet ve chvíli, kdy „o nic nejde“, je opravdu přínosné.
Nakonec bych chtěl poděkovat všem hráčům z České republiky za jejich účast a perfektně odvedenou práci a také agentuře ENISA, která celé cvičení zorganizovala. Úplným závěrem bych nám všem popřál, abychom nikdy v budoucnu podobně rozsáhlému kybernetickému útoku čelit nemuseli.