Ruská hackerská skupina APT28 známá také jako Fancy Bear, Forest Blizzard nebo Sofacy Group, napadla nespecifikované množství koncových routerů od společnosti TP-Link v České republice. Uskupení spadá pod ruské vojenské zpravodajství GRU, konkrétně 85. hlavní centrum speciálních služeb (GTsSS). Češi pod vedením americké FBI uskutečnili protizásah. APT28 u nás působí dlouhodobě, na což bylo v minulosti upozorňováno.
Rusové napadli modely TP-Link TL-WR841N, u nich využili zranitelnost CVE-2023–50224 umožňující obejít ověření a získat neoprávněný přístup k routerům. Pomocí této metody bylo možné změnit nastavení routerů, což se promítlo i na další připojená zařízení.
“Konkrétně došlo ke změně nastavení služeb DHCP/DNS na routerech – tím byl síťový provoz připojených počítačů a telefonů přesměrován na útočníkem kontrolované DNS servery. Útočník tak mohl monitorovat dotazy na doménová jména a pro vybrané domény a služby (například MS Outlook Web Access) vracet podvržené DNS odpovědi a provádět takzvané adversary-in-the-middle útoky na šifrovanou komunikaci,” shrnul Národní úřad pro kybernetickou a informační bezpečnost.
“Tímto způsobem APT28 získávala hesla, autentizační tokeny a další citlivé informace (včetně obsahu e-mailů či webové komunikace), které by za normálních okolností chránilo šifrování SSL/TLS. Skupina kompromitovala široký okruh obětí ve Spojených státech i dalších státech, včetně České republiky. Z nasbíraných dat se zaměřovala zejména na informace týkající se armádních a vládních institucí či organizací z oblasti kritické infrastruktury – tedy cílů spadajících do zpravodajského zájmu ruské vlády,” doplnil NÚKIB.
Proti APT28 byl proveden mezinárodní zásah, do něhož se zapojilo i tuzemské Vojenské zpravodajství. To podle zákona může provádět aktivní kybernetickou činnost, pokud slouží k obraně. Operace dostala název Masquerade a byla vedena FBI. Spočívala v provedení opatření proti globální infrastruktuře kompromitovaných zařízení.
“Vojenské zpravodajství provedlo aktivní zásah spočívající v úpravě nastavení části globálně zneužívané infrastruktury a zabezpečení potenciálně zneužitelných zařízení na území České republiky. Kompromitovaná zařízení byla APT28 zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v České republice i v zahraničí, včetně našich spojenců v NATO a EU,” uvedli vojenští zpravodajci.
Vojenské zpravodajství k akci doplnilo následující:
Nepřátelské zpravodajské služby a jim podřízené skupiny dnes ke svým operacím ve velké míře nevyužívají vlastní infrastrukturu. Místo toho v tichosti přebírají kontrolu nad tisíci zcela běžných zařízení po celém světě – domácími routery, chytrými kamerami nebo firemními počítači. Jejich vlastníci o tom nevědí nic. Pro útočníka však tato zařízení dohromady tvoří globální síť, skrze kterou skrývá svou totožnost, přeposílá provoz nebo odposlouchává komunikaci napadených institucí.
Právě proto nestačí blokovat jednotlivé útoky. Vysoce pokročilé skupiny, jako ruská APT28 nebo čínská APT31, jsou schopny se během hodin přizpůsobit – pokud je zneškodněn jediný uzel, přepnou na jiný. Efektivní obrana proto musí zasáhnout celou infrastrukturu najednou, a to dříve, než útočník stihne reagovat. Jde o závod s časem, kde každý kompromitovaný přístroj prodlužuje útočníkovu životnost a stěžuje jeho odhalení.
Proto společně s partnery, národními i mezinárodními, bojujeme na dvou frontách. Aktivně mapujeme a neutralizujeme tyto sítě a zároveň vyzýváme veřejnost k základní kybernetické hygieně. Nezabezpečené domácí zařízení se totiž může stát článkem řetězce, skrze který je útočeno na kritickou infrastrukturu, energetiku nebo státní správu. Pravidelné aktualizace, silná hesla a ověřování pravosti navštívených webů nejsou jen osobní hygiena – jsou součástí kolektivní obrany. Bezpečnost státu začíná u každého připojeného zařízení do internetu.
ČLÁNKY DO MAILU