Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) hackerská skupina ovládla routery TP-Link pro malé a domácí kanceláře. Získávala tak hesla a další citlivé informace, včetně obsahu e-mailů. Cílem byla kyberšpionáž.
Prostřednictvím slabě zabezpečených routerů hackeři prováděli kybernetické útoky na státní a další organizace v České republice i v zahraničí.
K aktivnímu zásahu v patnácti zemích po celém světě došlo v průběhu března. Mezinárodní operaci pojmenovanou „Masquerade“ řídila americká FBI a byla namířena proti globální infrastruktuře kompromitovaných síťových zařízení zneužívaných hackerskou skupinou APT28, známou též jako Fancy Bear, Forest Blizzard či Sofacy Group. Ta je přímo spojována s ruskou vojenskou rozvědkou GRU.
„Kompromitovaná zařízení byla APT28 zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v České republice i v zahraničí, včetně spojenců v NATO a EU,“ uvedlo Vojenské zpravodajství.
Vojenské zpravodajství v rámci svých zákonných kompetencí provedlo aktivní zásah v kybernetickém prostoru.
Během mezinárodní operace Masquerade vedené @FBI byla provedena opatření proti globální infrastruktuře kompromitovaných síťových zařízení zneužívaných aktérem APT28 https://t.co/N8mewg10Y7
Čeští zpravodajci provedli aktivní zásah spočívající v úpravě nastavení části globálně zneužívané infrastruktury a zabezpečení potenciálně zneužitelných zařízení na území České republiky.
Proti hackerům zasáhli i Němci
Americké ministerstvo spravedlnosti potvrdilo, že do operace bylo zapojeno 15 zemí. Síť kompromitovaných zařízení přímo ovládala vojenská jednotka 26165 ruské Hlavní zpravodajské správy Generálního štábu (GRU).
GRU používala tisíce směrovače k usnadnění operací proti cílům po celém světě, včetně osob z vojenského, vládního a kritického infrastrukturního sektoru.
Ruským hackerům to umožňovalo filtrovat provoz za účelem identifikace konkrétních cílů. Jakmile byly cíle identifikovány, byl zachycen jejich nešifrovaný síťový provoz, což hackerům poskytlo hesla, autentizační tokeny, e-maily a další citlivé informace.
Odposlouchávali i vydírali vlivné. Rusové měli agenty v české armádě i v ČEZ |
„Aktéři z GRU napadli routery v USA a po celém světě a ovládli je za účelem špionáže. Vzhledem k rozsahu této hrozby nestačilo jen spustit poplach,“ uvedl Brett Leatherman, zástupce ředitele kybernetické divize FBI.
FBI proto identifikovala napadené směrovače v USA, shromáždila důkazy o ruských útocích, zablokovala přístup GRU a obnovila jejich normální funkčnost.
Bez zásahu by podle Leathermana GRU pokračovala v zachycování šifrovaného provozu a krádežích citlivých informací.
Podle prohlášení společnosti Microsoft bylo jen v USA identifikováno více než 200 organizací a 5 000 spotřebitelských zařízení, která tato hackerská operace zasáhla.
Today the FBI and @TheJusticeDept announced Operation Masquerade, a court-authorized technical disruption of Russian GRU infrastructure used to steal government, military, and critical infrastructure information.
Since at least 2024, a cyber unit within Russian military https://t.co/r8LWbZrfQs
Účast na společné operaci proti ruských hackerům potvrdila rovněž německá zpravodajská služba BND s tím, že hackerské skupina zneužila zranitelné internetové routery značky TP-Link ke špionáži proti cílům v oblasti armády, vlády a kritické infrastruktury. V Německu bylo identifikováno asi 30 zranitelných zařízení, z nichž několik skutečně ruská skupina ovládala. APT28 v minulosti podnikla kyberútoky na německý parlament, středolevicovou politickou stranu SPD a orgány řízení letového provozu.
Dodržujte kyberhygienu, nabádají experti
Podle českých zpravodajců skupiny napojené na ruské tajné služby, ale i další země, ke svým operacím ve velké míře nevyužívají vlastní infrastrukturu. Místo toho v tichosti přebírají kontrolu nad tisíci zcela běžných zařízení po celém světě – domácími routery pro připojení k internetu, chytrými kamerami nebo firemními počítači. A jejich vlastníci o tom nic nevědí.
„Pro útočníka však tato zařízení dohromady tvoří globální síť, skrze kterou skrývá svou totožnost, přeposílá provoz nebo odposlouchává komunikaci napadených institucí,“ varují čeští zpravodajci.
Právě proto podle nich nestačí blokovat jednotlivé útoky. Vysoce pokročilé skupiny, jako ruská APT28 nebo čínská APT31, jsou schopny se během hodin přizpůsobit – pokud je zneškodněn jediný uzel, přepnou na jiný. Efektivní obrana proto musí zasáhnout celou infrastrukturu najednou, a to dříve, než útočník stihne reagovat. „Jde o závod s časem, kde každý kompromitovaný přístroj prodlužuje útočníkovu životnost a stěžuje jeho odhalení,“ konstatují specialisté.
Rusko je pro Česko největší hrozbou, uvádí BIS. Snaží se i čínští špioni |
Se spojenci a partnery proto bojují doslova na dvou frontách. Aktivně mapují a neutralizují sítě hackerů a zároveň vyzývají veřejnost k základní kybernetické hygieně. Nezabezpečené domácí zařízení se totiž může stát článkem řetězce, přes který mohou probíhat útoky na kritickou infrastrukturu, energetiku nebo státní správu.
Jako součást kolektivní obrany doporučují aktualizace softwaru, silná hesla a ověřování pravosti navštívených internetových stránek. „Bezpečnost státu začíná u každého připojeného zařízení do internetu,“ nabádají.
