Na systémy českého ministerstva zahraničí (MZV) v minulých letech útočily nejspíš nezávisle na sobě dvě zpravodajské služby Ruské federace. Ve své výroční zprávě za rok 2017 to říká česká Bezpečnostní a informační služba (BIS).
První útok probíhal nejméně od začátku roku 2016 a vedl ke kompromitaci systému elektronické pošty MZV, popisuje BIS s tím, že podobné útoky zaznamenaly ve stejné době i další evropské státy:
… útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. Získali tak údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně.
Druhým, paralelně probíhajícím útokem byl pokus o uhádnutí přístupových údajů k e-mailovým schránkám hrubou silou (brute force attack). Probíhal od prosince 2016 a cílil na několik set schránek MZV, popisuje BIS. Podle české rozvědky šlo zřejmě o dva nesouvisející útoky a stály za nimi ruské tajné služby:
Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU.
Ruská kyberšpionážní kampaň APT28/Sofacy se podle BIS snaží krást osobní a přihlašovací údaje do informačních systémů, které se dají využít k sofistikovaným spearphishingovým útokům. V Česku se kromě MZV zaměřovala i na další cíle:
… k nejzávažnějším patřily kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící MO ČR/AČR malwarem známým pod názvem X-Agent. Ačkoliv útočníci tímto útokem s nejvyšší pravděpodobností nezískali žádné informace utajované podle zákona č. 412/2005 Sb., získali řadu osobních informací a citlivých údajů, které mohou být dále zneužity pro další útoky či nelegitimní aktivity.
BIS také na začátku loňského roku odhalila nedostatečné zabezpečení webu jednoho z českých ministerstev.
Na subdoméně portálu ministerstva bylo možné pomocí manipulace URL odkazů získat informace o konfiguraci serveru i některé přihlašovací údaje. Webový portál byl také zranitelný útoky typu SQL injection, kterými by mohl případný útočník neoprávněně zasahovat do databáze a kompromitovat nebo poškodit uložená data. BIS neprodleně informovala příslušného ministra a ředitele NBÚ jako tehdejšího garanta kybernetické bezpečnosti v ČR.
BIS ve své aktuální zprávě varuje také před čínskou vědecko-technickou a telekomunikační špionáží v ČR.
Celá výroční zpráva BIS za rok 2017 je k dispozici na webu Bezpečnostní informační služby.
