Hlavní navigace

Ruská kyberšpionáž, čeští hackeři, zranitelné úřady. BIS vydala výroční zprávu

Jan Sedlák

Bezpečnostní informační služba (BIS) tento týden zveřejnila svoji tradiční veřejnou výroční zprávu, tentokrát za rok 2016. Jedna sekce je věnovaná také kybernetické bezpečnosti.

Zpráva informuje, že členové české hackerské skupiny objevili zranitelnosti na webech několika státních institucí a na serveru hostujícím stránky státního představitele. Zmínky padly také o zranitelnosti na portálu jedné banky, plánech českých Anonymous, systému Visapoint nebo ruské kybernetické špionáži.

Celé znění sekce o kyberbezpečnosti ze zprávy BIS:

Obdobně jako v minulých letech monitorovala BIS problémy spojené s fungováním informačního systému Visapoint provozovaného Ministerstvem zahraničních věcí. V minulosti, především pak v roce 2015, se podařilo mnoho těchto problémů úspěšně odstranit, některé však přetrvávají.

Stálým problémem IS Visapoint zůstávají zápisy do systému prováděné automatizovanými softwarovými nástroji. Ty zaregistrují značné množství volných termínů pro pohovory, které jsou nezbytnou součástí žádostí o vízum, a brání tak běžným žadatelům zaregistrovat se standardním způsobem na pohovor na českém zastupitelském úřadu. Běžní žadatelé pak nemají jinou možnost, než od tzv. zprostředkovatele zaregistrovaný termín na pohovor za značnou finanční částku odkoupit.

V průběhu roku BIS informovala MZV o skutečnosti, že někteří ze zprostředkovatelů zápisů na volné termíny pohovorů nalezli způsob překonání pokročilého ochranného prvku reCAPTCHA, který MZV v té době využívalo v IS Visapoint jako ochranu proti automatizovaným softwarovým nástrojům. Ze snahy zprostředkovatelů zápisů překonat prvek reCAPTCHA je zřejmé, že registrace na volné termíny pohovorů je i nadále oblastí, ve které se pohybují značné finanční prostředky.

České hackerské skupiny

V průběhu roku 2016 BIS zjistila, že členové české hackerské skupiny objevili zranitelnosti na webových portálech několika státních institucí a na serveru hostujícím internetové stránky významného českého státního představitele. Skupina využila těchto zranitelností a umístila na portály skript na ovládání serveru (tzv. shell). S ohledem na dřívější i ostatní aktivity hackerské skupiny bylo možné předpokládat snahy o využití objevené zranitelnosti k finančnímu obohacení. Informace o zranitelnosti se mohla tato skupina pokusit prodat ať již přímo dotčeným státním institucím nebo např. osobám z hackerského prostředí.

Skupina objevila na portálu jedné v ČR působící banky konkrétní zranitelnost. Totožná skupina umístila do informačního systému další banky působící v ČR tzv. shell, který jejím členům pravděpodobně umožňoval přistupovat k dalším bankovním systémům. Tento shell měl zároveň sloužit jako tzv. backdoor, a měl tak členům skupiny umožňovat utajený přístup do informačního systému banky i v případě, že by byla odstraněna (tj. opravena nebo zablokována) zranitelnost, již zneužili k prvotnímu průniku do zmíněného informačního systému.

V závěru roku informovala BIS o plánech českých Anonymous uskutečnit elektronické útoky proti webovým portálům českých státních institucí v rámci akce Million Mask March (celosvětový hromadný pochod organizovaný „hnutím“ Anonymous), která se konala 5. listopadu 2016. Na základě obdobných případů z minulosti bylo možné předpokládat nejspíše jednoduché útoky typu (D)DoS, případně defacement, tedy takové útoky, které již čeští Anonymous v minulosti úspěšně provedli.

Zranitelnosti

BIS při šetření ke kompromitacím síťových zařízení kyberšpionážní kampaní získala také informace o konfiguraci portů na některých IP adresách patřících do rozsahu několika českých ministerstev. Některé porty otevřené do internetu umožňovaly přímý přístup k autentizačním formulářům využívaným pro administraci síťových zařízení umístěných na IP adresách spravovaných ministerstvy, v některých případech byla stále používána zastaralá varianta Key Exchange Algorithm, jejíž zranitelnosti již byly publikovány v otevřených zdrojích. BIS rovněž zjistila, že některá síťová zařízení měla v té době již zastaralý firmware.

V průběhu roku poskytla BIS Národnímu bezpečnostnímu úřadu informace o rozcestníku, který umožňuje přístup k doménám využívaným pro elektronické útoky. Tyto domény pak zpravidla slouží pro phishingové útoky, nebo jsou zdrojem pro stažení škodlivých kódů. Útoky z nich vycházející pravděpodobně souvisejí s kyberšpionáží či obecně s kybernetickým zločinem. Jejich existence představuje bezpečnostní riziko především pro možnost kompromitace kritické informační infrastruktury nebo významných informačních systémů na území ČR a následné špionáže či napadení.

Ruská kybernetická špionáž

BIS v roce 2016 pokračovala v šetření započatém již v roce 2015 zaměřeném na možnou kompromitaci routerů na IP adresách ve správě dvou českých státních úřadů. BIS získala nové informace technického charakteru, které mohly napomoci k odhalení případné kompromitace konkrétních routerů.

Kampaň APT28/Sofacy je v současné době zřejmě nejaktivnější a nejviditelnější ruskou kyberšpionážní kampaní s velice rozmanitými oblastmi působnosti – od primárních oblastí diplomacie a vojenství přes vědu a výzkum až k akademické sféře. Ačkoliv jde o jednu z nejstarších, nejlépe popsaných, a i v otevřených zdrojích identifikovaných kyberšpionážních kampaní, je její efektivita stále značná a lze předpokládat, že bude pokračovat i v budoucnu. Kampaň APT28/Sofacy necílí pouze na data jako taková, ale v poslední době se zaměřuje na krádeže osobních údajů a přihlašovacích údajů do informačních a komunikačních systémů. Zcizená data a informace mohou být využívány k nejrůznějším účelům – ať již k politickým nebo vědecko-průmyslovým, nebo například k dehonestaci určitých osob či přímo států, k dezinformacím, případně k vydírání. Ruská kyberšpionážní kampaň APT28/Sofacy byla v roce 2016, stejně jako v roce předcházejícím, proti českým cílům velice aktivní. Kampaň využívala k útokům proti českým cílům počítačovou infrastrukturu umístěnou v zahraničí. Zmíněná kampaň kompromitovala několik soukromých emailových účtů osob s vazbami na české vojenské prostředí. Útočníci kampaně APT28/Sofacy se z emailových účtů mohli dozvědět mj. mnohé osobní informace o jejich majitelích.

Cílem ruské kyberšpionážní kampaně APT28/Sofacy se stala také česká vojenská výzkumná instituce. V průběhu podzimu 2016 probíhala další vlna ruské kyberšpionážní kampaně APT28/Sofacy, která cílila na ministerstva zahraničních věcí a obrany v evropských státech.

Mimo výše zmíněné informovala BIS v roce 2016 své adresáty o elektronických útocích v rámci dalších konkrétních kyberšpionážních kampaní.

Našli jste v článku chybu?