Bezpečnostní informační služba (BIS) upozornila, podobně jako nedávno Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), že v loňském roce v Česku zaznamenala kybernetické aktivity Ruska a Číny. Své závěry předložila ve veřejné výroční zprávě za rok 2019 (PDF).
“Česká republika byla předmětem zájmu pro aktéry s vazbou na ruskou a čínskou státní moc i v kyberprostoru. V tomto kontextu zaznamenala BIS i v roce 2019 další bezpečnostní incidenty spojené s aktivitami státních či státem podporovaných kyberšpionážních skupin jako jsou Turla, Zebrocy, APT28 nebo APT15,” uvedla BIS. NÚKIB zase například upozorňoval na ruskou skupinu Sofacy.
BIS dále ruské a čínské kyberšpionážní aktivity v ČR popisuje takto:
V roce 2019 navázala BIS na dřívější šetření kompromitace neutajované sítě Ministerstva zahraničních věcí (MZV) kyberšpionážní kampaní, za níž stála skupina pracující ve prospěch cizí moci, s vysokou pravděpodobností Ruské federace.
V průběhu roku byla odhalena pokračující kompromitace zmíněné sítě i malwarem připisovaným kyberšpionážní skupině jiného státního aktéra.
Kybernetické útoky státních aktérů se nevyhnuly ani zastupitelským úřadům ČR v zahraničí. V roce 2019 byly odhaleny dva případy jejich kompromitace.
Kromě výše uvedeného se ve druhé polovině roku BIS podílela také na prověřování napadení ICT infrastruktury jedné z českých diplomatických misí při mezinárodní organizaci. Nejméně jedno zařízení bylo na konci roku 2018 kompromitováno v rámci intenzivní celosvětové vlny útoků kyberšpionážní kampaně cizího státního aktéra, s vysokou pravděpodobností opět Ruské federace. K nakažení došlo otevřením textového dokumentu v příloze útočného phishingového e-mailu. Podrobná analýza ukázala, že kompromitované zařízení bylo již v předchozích letech napadeno i malwarem spojovaným s kyberšpionážní skupinou jiného státního aktéra.
V září 2019 získala BIS informaci o průniku pravděpodobně čínské kyberšpionážní skupiny do infrastruktury antivirové společnosti Avast. Na základě podnětu BIS začala firma extenzivně auditovat celou svou vnitřní síť a odhalila závažnou kompromitaci. Spolupráce s BIS umožnila společnosti Avast přijmout rozsáhlá bezpečnostní opatření a v konečném důsledku přispěla k ochraně dat uživatelů.
Nejčastějším způsobem útoků ze strany státních aktérů útočících nejen na české cíle byly jednoznačně phishingové/spear-phishingové e-maily obsahující kompromitovanou přílohu (např. dokument obsahující makro). Tímto způsobem se útočníci snažili o doručení škodlivého kódu do zařízení uživatele bez jeho významného přičinění. V jednom případě bylo zaznamenáno také využití skrytého prvku přímo v samotném těle phishingového e-mailu, jehož cílem bylo stažení škodlivého kódu z odkazu, který nebyl pro uživatele viditelný.
Slovenská informační služba (SIS) nedávno rovněž shrnula dění za minulý rok a uvedla, že se Čína na Slovensku skrze své technologické firmy podílí na špionáži. BIS nic takového neuvádí. Její šéf Michal Koudelka ale několikrát upozorňoval na vpouštění čínských hráčů do důležité telekomunikační infrastruktury.
