Probíhající válka na Ukrajině způsobená ruskou invazí má zajímavé dopady na český kybernetický prostor. Bezpečnostní informační služba (BIS) v loňském roce zaznamenala mírný pokles ruských státních nebo státem podporovaných aktérů proti českým cílům, protože část kapacit se zřejmě zabývá Ukrajinou a jinými subjekty. Naopak Čína na našem území právě kvůli situaci na Ukrajině své aktivity zvýšila.
„Hlavním cílem útoků ruských skupin je teď Ukrajina. Ale akce nadále probíhají i vůči zemím Evropské unie a NATO, včetně Česka,“ potvrdil Lupě Robert Lipovský, výzkumník ze slovenské společnosti ESET. Ta se aktivitami Ruska podrobně zabývá a stala se díky tomu součástí americké federální organizace CISA, což je pro podnik z našeho regionu průlomem.
Ruští státní kybernetičtí aktéři sice v Česku polevili, naopak ale zintenzivnily akce hacktivistů, což lze vidět zejména díky skupině NoName057(16) vysílající DDoS útoky na různé lokální cíle všeho druhu. Naposledy o ní bylo slyšet před pár dny.
Činnost starého známého útvaru
Rusko je každopádně v Česku nadále velmi aktivní a BIS ho považuje za největší bezpečnostní hrozbu, kyberprostor nevyjímaje. „Trvalým zájmem Ruské federace je sběr informací z oblasti mezinárodních vztahů, který se projevuje i trvalými nebo opakovanými kyberšpionážními kampaněmi. Jejich cíli jsou především ministerstva zahraničních věcí, ambasády, think-thanky nebo nadnárodní instituce,“ shrnula bezpečnostní služba.
V Česku krátce po invazi Ruska na Ukrajinu obnovil činnost ruský kybernetický státní útvar, jehož aktivity BIS zaznamenala v minulosti. Nejmenovaný aktér měl zneužít českou informační infrastrukturu k phishingovým útokům souvisejícím s válkou. Útoky mířily i na organizace zapojené do pomoci uprchlíkům z Ukrajiny.
„V loňském roce také vyčnívala dlouhodobá kyberšpionážní kampaň, která se zaměřuje na cíle z prostředí mezinárodních vztahů a diplomacie, a to s téměř globálním rozsahem. Intenzitu kampaně lze hodnotit jako mimořádné vysokou. Kybernetickému aktérovi se mimo jiné podařilo krátkodobě kompromitovat několik jednotlivých e-mailových schránek na oficiální doméně jedné české státní instituce, které poté zneužil pro rozesílání dalších škodlivých zpráv,“ napsala dále BIS.
Nesofistikované wipery
Vojenské zpravodajství věnuje ruským kybernetickým aktivitám spojeným s válkou na Ukrajině velkou část své poslední výroční zprávy. Podle vojáků kybernetické útoky ruských aktérů nedosáhly předpokládané míry sofistikovanosti a uzpůsobení konkrétním cílům. Rusko nasazuje zejména takzvané wipery, jejichž cílem je smazat data a zamezit počítačům nastartovat do systémů.
Už začátkem roku 2022 se objevil HermeticWiper přepisující Master Boot Record. Slovenská společnost ESET, která HermeticWiper popsala, od té doby detekovala řadu dalších wiperů ruské produkce. Jde například o IsaacWiper, CaddyWiper, NikoWiper a další. Také Slováci potvrdili, že tyto a jiné ruské nástroje často nejsou příliš sofistikované a mají za cíl pomáhat válečným operacím.
Wipery je poměrně jednoduché vytvořit a v případě detekce a analýzy jejich efektivita významně klesá. Jenže pro útočníky jde o výrazně nižší ztrátu než při tvorbě sofistikovaných nástrojů, které stojí hromadu času a peněz. Wipery zároveň umí smazat data, zamezit přístupu do systémů a výrazně zkomplikovat život. Podle Vojenského zpravodajství tyto faktory nasazování wiperů pomáhají.
Základna na Krymu
Pátrání FBI, NCSC, ukrajinských bezpečnostních složek, Microsoftu nebo ESETu vedlo k rozčlenění ruských kybernetických aktérů do tří sekcí odpovídajících tomu, pod které státní složky spadají. Konkrétně jde o bezpečnostní službu FSB (skupiny Energetic Bear, Turla, Gamaredon), vnější rozvědku VSR (skupiny The Dukes / Cozy Bear, InvisiMole, Buhtrap) a vojenskou zpravodajskou službu GRU (Sandworm nebo Sednit / Fancy Bear). Mezi FSB, VSR a GRU zároveň není vidět příliš velká spolupráce a koordinovanost.
Nejagresivnější skupinou je Sandworm či také Voodoo Bear spojená s GRU. Stojí za nechvalně proslulými útoky jako NotPetya, BlackEnergy nebo Industroyer, které cílily na energetické blackouty. „Sandworm má k dispozici dvacet různých rodin wiperů. Mají zcela jiné code bases, nejde pouze o variace jednoho kódu. Takový rozsah je bezprecedentní,“ popsal Lipovský z ESETu.
Nejstarší známou skupinou operující od roku 2004 je Sednit či také Fancy Bear a APT28. Na starost měla například hack demokratické strany před volbami v USA. Sednit se dnes nejvíce soustředí na cílené phishingové kampaně, a to včetně České republiky. Aktivity GRU/Sednit byly u nás naposledy spatřeny nedávno, skupina například využívá objevené zranitelnosti WinRARu.
Hodně zajímavou skupinou je Gamaredon nebo také Pterodo operující z Rusy obsazeného Krymu. V současné době jde o jednoznačně nejaktivnější aktéry na Ukrajině. Pterodo jede na objem, neřeší odhalení, získává pod kontrolu více než dvě zařízení denně a z Ukrajiny pokračuje dál na západ do Evropy. Pterodo dokáže krást cookies z Opery, Firefoxu, Chromu a Edge, získávat informace z desktopových aplikací Signalu a Telegramu.
Ruské státní skupiny mají podle Lipovského týmy s dvouciferným počtem lidí specializované na různé sektory. Z náznaků (časové stopy a podobně) lze místy odhadovat, že tito aktéři v podstatě chodí do práce a operují během běžné pracovní doby, což opět ukazuje na zapojení státu.
Klíčové komerční subjekty
Významnou lekcí kybernetické obrany je podle Vojenského zpravodajství privatizace bezpečnosti a využití služeb komerčních subjektů. Ty „zásadním způsobem podpořily a navýšily obranný potenciál ukrajinských veřejných institucí“.
Zejména západní technologické firmy Ukrajině poskytly své technologie a kapacity, na Lupě jsme třeba psali o přesunu do Amazon Web Services. Velice aktivní je také Microsoft. Na Ukrajině jsme poprvé mohli ve velké míře vidět, jak si soukromý sektor vybírá stranu.
Ve Vojenském zpravodajství nedávno skončil bývalý český kyberatašé ve Washingtonu Daniel Bagge, který rovněž zmínil sílící roli soukromého sektoru, do kterého se přesunul. „Technologický vývoj posledních let v kombinaci s rostoucí mocí soukromých korporací a následným oslabením vládních mandátů mě vede k přehodnocení toho, kde být v nadcházejícím desetiletí globální strategické soutěže,“ uvedl.
Stále invazivnější Čína
A pak je zde Čína. Ruská invaze na Ukrajinu podle BIS přiměla asijskou velmoc zvýšit svůj zájem o situaci v Evropě a zintenzivnit kyberšpionážní aktivity v tomto regionu.
„V Česku se tato snaha projevila například spearphishingovými útoky, u kterých v několika případech došlo k zacílení na české státní instituce. Jména těchto institucí byla v některých případech zneužita tím, že se útočníci snažili vydávat za jejich zaměstnance či představitele,“ informovala BIS.
Čínští útočníci postupovali ve vlnách a nejčastěji se snažili zneužívat politická témata. Postupem času bylo možné pozorovat rostoucí sofistikovanost útoků a cílení na jednotlivce včetně využití sociálního inženýrství a vydávání se za osoby, které oběť zná.
Zvýšené kyberšpionážní riziko se objevilo také v případě českého předsednictví v Radě Evropské unie. Česko se pro Čínu stalo více atraktivním. BIS zaznamenala stupňující se aktivity čínských aktérů. „Některé z těchto aktivit byly minimálně zčásti úspěšné,“ dodali zpravodajci.
Bezprecedentní hrozba
Čína se zaměřuje hlavně na kybernetickou špionáž, ovlivňování veřejného mínění, sběr dat, cílení na disidenty a krádeže duševního vlastnictví západních firem. Skupina Pěti očí (bezpečáci USA, Británie a dalších) nedávno uvedla, že krádeže duševního vlastnictví ze strany Číny a její kybernetické akce vůči západu jsou bezprecedentní hrozbou.
Andy Garth, bývalý britský velvyslanec na Slovensku a dnes šéf ESETu pro vztahy s vládami, Lupě řekl, že zdroje Číny v kyberprostoru jsou mnohonásobně větší než například možnosti FBI. „Kybernetické nástroje jsou pro vlády velmi přístupné a užitečné. Mohou být nenápadné a tiché, manipulativní a lukrativní. Zároveň jsou nástrojem, který můžete popřít, že ho používáte,“ navázal Garth.
Podle Gartha je současná geopolitická situace nejhorší od války ve Vietnamu. Zároveň se rozjel boj o podobu zbytku jednadvacátého století mezi Spojenými státy a Čínou, což lze vidět například na probíhajících sankcích spojených s obchodně-technologickou válkou.
„Čína se snaží zajistit dominanci svých technologických firem a definovat standardy. Je velmi aktivní v Mezinárodní telekomunikační unii, snaží se nastavit mezinárodní pravidla tak, aby jí hrála do karet, a zároveň deprioritizovat ty skupiny, kde nemá tak silný hlas,“ popsal dále bývalý velvyslanec.
Zmatený goblin a kámoš panda
Čínské hackerské skupiny působící v Evropské unii a Česku se snaží působit co nejvíce skrytě. Zabývají se hlavně špionáží a krádežemi, často v organizacích EU a zdejších firmách. Na starý kontinent je kladen čím dál větší důraz. Například skupina BackdoorDiplomacy byla dříve aktivní zejména v Africe, kde má Čína své velké zájmy (těžba, přístavy a podobně), teď se ale přesouvá do Evropy.
Značně aktivní a mladou skupinou je PerplexedGoblin, která za rok existence zvládla napadnout několik evropských států. Podle ESETu používá DLL side loading. Dalším novým hráčem je MustangPanda, která se i za využití phishingu snažila působit i během parlamentních voleb na Slovensku.
Stále aktivní je rovněž uskupení Gallium známé také jako Operation Soft Cell. To před několika lety začalo útočit na telekomunikační operátory včetně krádeží dat z jejich CRM systémů. Útoky nadále probíhají. Gallium se nadále soustředí na operátory a v Evropské unii také na dodavatele do obranného průmyslu nebo neziskové organizace.
„Kdybych to shrnul, tak Rusko a Severní Korea zůstanou značnými hrozbami na zhruba stejné úrovni. Čína a Írán porostou (mimo jiné kvůli situaci v Izraeli a roli Íránu na Blízkém východu – poznámka redakce). Sílí i turecké a další skupiny cílící na organizace v EU,“ dodal Garth.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem