Kybernetická bezpečnost není jen o technologiích – je o lidech, procesech a fyzické ochraně. Tuto skutečnost jsme důkladně demonstrovali během Red Team operace u středně velké technologické firmy na začátku letošního roku. Naším úkolem bylo otestovat celkovou bezpečnostní odolnost společnosti proti realistickému útoku. Klient požadoval komplexní přístup zahrnující jak virtuální Red Teaming (útok na systémy a zaměstnance zvenku), tak fyzický Red Teaming (získání přístupu do kanceláří v rámci výrobního závodu a k datům na serverech).
Cílem nebylo jen identifikovat technické zranitelnosti, ale prokázat, jak snadno může motivovaný útočník kombinovat různé vektory útoku a nakonec získat přístup k nejcennějším aktivům společnosti. Za standardních 30 dní jsme úspěšně dosáhli všech stanovených cílů – získali jsme přístup k produkčním databázovým serverům a prokázali schopnost exfiltrovat citlivá firemní data.
Red team operace
Shrnutí pro ty, kteří nemají čas číst celý článek
Hlavní průběh operace:
- Doba trvání: 30 dní (standardní délka Red Team operace)
- Cíl: Získat přístup k produkčním serverům a prokázat možnost exfiltrace dat
- Typ útoku: Kombinace virtuálního a fyzického Red Teamingu
- Výsledek: Úspěšné získání doménových administrátorských práv a přístup k databázím
Hlavní kroky útoku:
- OSINT průzkum zaměstnanců, IT infrastruktury a fyzických prostor
- Phishingová kampaň s typosquattingovou doménou vydávající se za HR oddělení → získány přihlašovací údaje několika zaměstnanců
- První fyzický průnik pod záminkou servisní firmy opravující klimatizaci → instalace Raspberry Pi s 5G modemem do interní sítě
- Network scanning a LDAP dump přes kompromitované zařízení
- Druhý fyzický průnik pod záminkou úklidové služby
- USB Rubber Ducky útok na IT pracovní stanici → vytvoření backdoor účtu s doménovými admin právy
- Přístup k produkční databázi a kontrolovaná exfiltrace dat jako důkaz
Zjištěné kritické zranitelnosti:
- Chybějící segmentace interní sítě
- Absence autentikace síťových zařízení (802.1X)
- Slabá kontrola fyzického přístupu do budovy
- Nedostatečné bezpečnostní povědomí zaměstnanců (náchylnost k phishingu)
- Chybějící monitoring neobvyklých aktivit v síti
- Odemčené pracovní stanice IT oddělení
Mohlo by vás zajímat: Jak se dělá penetrační test
Případová studie: Jak jsme prolomili zabezpečení technologické firmy za měsíc
Přečtěte si naši případovou studii, jak jsme prolomili zabezpečení technologické firmy za pouhý měsíc.
Fáze 1: Reconnaissance – sbírání informací
Každá úspěšná operace začíná důkladným průzkumem. Strávili jsme první týden mapováním cílové společnosti z každého dostupného úhlu.
OSINT na zaměstnance byl naší prioritou. Prostřednictvím LinkedIn, firemního webu, sociálních sítí a veřejně dostupných zdrojů jsme sestavili detailní organizační strukturu společnosti. Identifikovali jsme klíčové osoby včetně IT administrátora, vedoucích oddělení a dalších zaměstnanců s potenciálně vysokými přístupovými právy. Zjistili jsme jejich role, zodpovědnosti, pracovní vztahy a dokonce i některé osobní zájmy, které by mohly být využity v social engineering útocích.
Technologický profiling nám odhalil, že společnost využívá kombinaci cloudových služeb AWS a Microsoft 365 pro produktivitu a komunikaci, zatímco interní komunikace probíhala přes Slack. Tyto informace jsme získali z náborových inzerátů, technických blogů zaměstnanců a analýzy DNS záznamů a veřejně dostupných konfigurací.
Fyzický průzkum představoval třetí pilíř naší reconnaissance fáze. Několik dnů jsme monitorovali výrobní závod zvenku, dokumentovali denní rutiny zaměstnanců, identifikovali různé vstupy do budovy, zaznamenávali příchody a odchody dodavatelů a mapovali bezpečnostní opatření jako kamery a recepce. Všimli jsme si, že kontrola na recepci byla relativně benevolentní, zejména pro osoby vypadající jako dodavatelé nebo servisní technici.
Fáze 2: Initial Access – první průnik
S kompletními znalostmi o cíli jsme zahájili aktivní fázi operace využívající dva paralelní přístupy.
Phishingová kampaň byla pečlivě připravená. Vytvořili jsme typosquatting doménu, která se lišila od skutečné firemní domény jen o jeden znak, takže byla při rychlém pohledu prakticky nerozeznatelná. Následně jsme rozeslali cílený e-mail, který se tvářil jako komunikace z HR oddělení ohledně nových zaměstnaneckých benefitů. E-mail obsahoval odkaz na falešný přihlašovací formulář vypadající identicky jako skutečný firemní portál.
Výsledek předčil naše očekávání. Několik zaměstnanců zadalo své přihlašovací údaje k Microsoft 365, čímž nám poskytlo počáteční přístup do firemního prostředí. Tyto účty jsme okamžitě využili k další reconnaissance uvnitř firemní sítě, přístupu k e-mailům, interní dokumentaci a Slack konverzacím.
Fyzický vstup probíhal současně s digitálním útokem. Vybaveni firemními tričky fiktivní servisní společnosti a profesionálním vybavením jsme se dostavili na recepci s tvrzením, že přicházíme opravit nahlášenou poruchu klimatizace. Důvěryhodný vzhled a sebevědomé vystupování stačily k tomu, aby nás recepční propustila dovnitř.
Jakmile jsme se dostali do budovy, lokalizovali jsme technickou místnost s aktivními síťovými prvky. Zde jsme diskrétně nainstalovali Raspberry Pi vybavené 5G modemem, který nám poskytl vzdálený přístup do interní firemní sítě kdykoliv potřebujeme. Zařízení bylo malé, nenápadné a umístěné tak, aby nebylo snadno objevitelné při běžné kontrole.
Red team operace: Naše případová studie
Fáze 3: Persistence & Pivot – upevnění pozice
S nainstalovaným Raspberry Pi jsme získali něco neocenitelného: trvalý přístup do interní sítě obcházející všechna perimetrová zabezpečení.
Rogue Device jako most nám poskytl přímý přístup do vnitřní sítě společnosti. Šokující bylo zjištění, že síť neměla implementovanou žádnou segmentaci ani autentikaci zařízení typu 802.1X. To znamenalo, že jakékoliv zařízení připojené do sítě získalo plnohodnotný přístup bez ověření identity. Tento zásadní nedostatek v síťové architektuře výrazně usnadnil naši práci.
Network enumeration následovala bezprostředně po získání síťového přístupu. Pomocí nástrojů jako Nmap a dalších skenujících utilit jsme zmapovali celou interní infrastrukturu – servery, pracovní stanice, síťová zařízení a služby. Kombinací této síťové mapy s údaji získanými z dříve kompromitovaných e-mailových účtů jsme provedli LDAP dump, který nám poskytl seznam všech uživatelských účtů, jejich členství ve skupinách a strukturu Active Directory. Měli jsme nyní téměř kompletní obraz o interní IT infrastruktuře.
Fáze 4: Privilege Escalation – získání nejvyšších práv
I přes již značný přístup do systémů jsme potřebovali doménová administrátorská práva pro dosažení našeho finálního cíle – přístupu k produkčním databázovým serverům.
Detailní network mapping odhalil umístění kritických systémů včetně doménových kontrolérů a databázových serverů. Identifikovali jsme také pracovní stanice IT oddělení, které typicky mají vyšší práva než běžné uživatelské počítače.
Druhý fyzický vstup byl naplánován s chirurgickou přesností. Tentokrát jsme použili jinou záminku, předstírali jsme úklidovou službu. Dorazili jsme v časných ranních hodinách, kdy jsou kanceláře obvykle prázdné, ale IT systémy stále zapnuté. Recepce byla v tuto dobu minimálně obsazená a opět nás propustila bez dalších otázek.
USB Rubber Ducky attack představoval hlavní moment celé operace. Jakmile jsme se dostali do kanceláří IT oddělení, lokalizovali jsme odemčenou pracovní stanici IT administrátora, který si jen odskočil. Během několika sekund jsme připojili předpřipravený USB Rubber Ducky – zařízení vypadající jako běžný flash disk, které se ale počítači hlásí jako klávesnice a automaticky provádí předem naprogramované příkazy.
V našem případě Rubber Ducky během několika vteřin provedl sérii příkazů PowerShell, které vytvořily nový doménový účet s administrátorskými právy a pečlivě skryly stopy po této aktivitě v event lozích (protokolech událostí). Celý proces trval méně než 30 sekund. Odpojili jsme zařízení a opustili budovu, aniž by nás kdokoliv podezříval z něčeho jiného než rutinního úklidu.
Red team operace
Fáze 5: Proof of Compromise – důkaz úspěchu
S doménovými administrátorskými právy jsme měli efektivně neomezený přístup k celé IT infrastruktuře společnosti.
Database access byl náš primární cíl a nyní jsme k němu měli plný přístup. Přihlásili jsme se k produkčnímu databázovému serveru obsahujícímu citlivá firemní data, zákaznické informace a obchodní strategie. Místo skutečné krádeže dat jsme vytvořili dummy soubor obsahující průvodní dopis vysvětlující účel operace a seznam kompromitovaných systémů jako důkaz našich schopností.
Data exfiltration byla provedena kontrolovaným způsobem v souladu s pravidly engagementu. Vybrali jsme malý vzorek nekritických, ale reprezentativních dat a exportovali je do šifrovaného archivu. Následně jsme tento soubor uploadovali přes naše Raspberry Pi, které fungovalo jako exfiltrační kanál. Data putovala přes šifrované spojení na náš command and control (C2) server mimo síť klienta, čímž jsme demonstrovali schopnost nedetekovaně vynést data z firemní sítě.
Po dokončení všech požadovaných důkazů jsme iniciovali setkání s vedením společnosti, předali kompletní dokumentaci zjištěných zranitelností a poskytli doporučení pro jejich odstranění.
Red Team operace
Často kladené otázky
Co je to Red Team operace?
Red Team operace je komplexní bezpečnostní test, při kterém tým etických hackerů simuluje reálný útok na organizaci. Na rozdíl od klasického penetračního testování Red Team používá všechny dostupné metody včetně sociálního inženýrství, fyzických útoků a pokročilých hackerských technik. Cílem je otestovat nejen technickou bezpečnost, ale i lidský faktor a fyzickou ochranu.
Proč trvá standardní Red Team operace měsíc nebo déle?
Měsíční nebo delší časový rámec umožňuje provést důkladný průzkum, vyhnout se detekci a simulovat realistické chování skutečných útočníků. Krátkodobé testy pod 14 dní často přehlédnou důležité zranitelnosti a nutí týmy pracovat příliš rychle, což snižuje kvalitu výsledků. Skuteční útočníci pracují trpělivě a metodicky, což vyžaduje dostatečný čas pro realistickou simulaci.
Je Red Team operace legální?
Ano, pokud je prováděna s předchozím písemným souhlasem organizace a v rámci jasně definovaných pravidel engagementu. Veškerá aktivita je koordinována s vedením společnosti a probíhá v kontrolovaném prostředí. Bez tohoto souhlasu by stejné aktivity byly ilegální a trestné.
Jaký je rozdíl mezi virtuálním a fyzickým Red Teamingem?
Virtuální Red Teaming se zaměřuje na kybernetické útoky – phishing, hackování systémů, exploitaci síťových zranitelností a podobně. Fyzický Red Teaming testuje fyzickou bezpečnost objektů, získání přístupu do budov, instalaci neoprávněných zařízení nebo přístup k citlivým materiálům. Kombinace obou přístupů poskytuje nejkomplexnější obraz o bezpečnostní odolnosti organizace.
Co je typosquatting doména?
Typosquatting doména je falešná webová adresa, která se velmi podobá legitimní doméně, ale obsahuje drobnou změnu, například přehozené písmeno, přidanou nebo chybějící písmeno. Útočníci ji používají k podvodům, protože uživatelé si rychle nepovšimnou rozdílu. Například místo „firma.cz“ může útočník použít „firrma.cz“ nebo „firma-cz.com“.
Co je USB Rubber Ducky?
USB Rubber Ducky je specializované zařízení vypadající jako běžný flash disk, které se ale počítači představí jako klávesnice. Po připojení automaticky „napíše“ předem naprogramované příkazy rychlostí mnoha stovek znaků za vteřinu. Může tak během několika sekund provést komplexní útoky, vytvořit backdoory nebo ukrást data, než majitel počítače stihne zareagovat.
Co je Raspberry Pi a jak bylo použito v této operaci?
Raspberry Pi je malý jednodeskový počítač velikosti platební karty. V této operaci byl vybaven 5G modemem a fungoval jako „rogue device“ – neoprávněné zařízení v síti. Po fyzickém nainstalování do technické místnosti poskytoval útočníkům vzdálený přístup do interní firemní sítě odkudkoliv přes mobilní připojení, čímž obcházel všechna perimetrová zabezpečení.
Jaké jsou nejčastější chyby, které tato operace odhalila?
Nejzávažnějšími zjištěními byly absence síťové segmentace, která umožnila volný pohyb po celé síti po jediném průniku, chybějící autentikace síťových zařízení, slabá fyzická bezpečnost s nedostatečnou kontrolou návštěvníků, nedostatečné bezpečnostní povědomí zaměstnanců vedoucí k úspěšnému phishingu a absence monitoringu neobvyklých aktivit v síti.
Jsou phishingové útoky stále efektivní?
Ano, phishing zůstává jednou z nejúčinnějších metod počátečního přístupu. I ve firmách s technickým zaměřením padnou někteří zaměstnanci na dobře připravený phishingový e-mail. Klíčem k úspěchu je důvěryhodná záminка, kvalitní typosquatting doména a cílení na správné osoby ve firmě.
Jak se organizace může před podobnými útoky chránit?
Klíčová obranná opatření zahrnují implementaci síťové segmentace s omezeným přístupem mezi segmenty, zavedení 802.1X autentikace pro síťová zařízení, pravidelná školení zaměstnanců o phishingu a social engineeringu, důslednou fyzickou kontrolu návštěvníků včetně dodavatelů, implementaci multi-faktorové autentikace pro všechny účty, aktivní monitoring sítě pro detekci anomálií a pravidelné Red Team operace pro testování obrany.
Co se stane s daty získanými během Red Team operace?
Všechna data získaná během operace jsou okamžitě po dokončení testu bezpečně smazána. Red Team tým pracuje s přísnou mlčenlivostí a kompletní dokumentace je předána pouze vedení testované společnosti. Účelem je identifikace zranitelností, nikoli skutečná krádež nebo zneužití dat.
Měla by každá firma investovat do Red Team operace?
Red Team operace jsou obzvláště vhodné pro větší organizace nebo firmy zpracovávající citlivá data – technologické společnosti, finanční instituce, zdravotnická zařízení nebo kritická infrastruktura. Menší firmy mohou začít s klasickým penetračním testováním a bezpečnostními audity. Rozhodnutí závisí na hodnotě chráněných aktiv, regulatorních požadavcích a úrovni rizika, které firma čelí.
Jak dlouho trvá implementace doporučení po Red Team operaci?
Implementace závisí na závažnosti a komplexnosti zjištěných zranitelností. Kritické problémy jako chybějící síťová segmentace nebo autentikace mohou vyžadovat několik měsíců práce. Jiná opatření jako školení zaměstnanců nebo zlepšení fyzické bezpečnosti mohou být zavedena rychleji. Typicky organizace pracují na odstranění zjištěných problémů tři až šest měsíců.
