Význam kybernetického prostoru v bezpečnostních a zpravodajských otázkách České republiky i nadále narůstá, potvrdila Bezpečnostní informační služba (BIS) ve své nově zveřejněné výroční zprávě za rok 2018 (PDF).
„Potvrdilo se, že kybernetická bezpečnost představuje integrální součást bezpečnosti a že ochrana před nežádoucími aktivitami v kyberprostoru představuje důležitý prvek komplexní péče o chráněné zájmy ČR. Dění v kyberprostoru se podstatně promítalo do zpravodajské situace ve všech oblastech působnosti BIS. To dokládá zejména skutečnost, že ČR a její instituce se staly terčem několika kyberšpionážních kampaní řízených nebo podporovaných cizí státní mocí,“ uvádí BIS.
Zpravodajci nesmí být ve veřejné části zprávy příliš konkrétní, detaily jsou uvedeny v utajované zprávě. Obecně se ale ví o případech napadení systémů ministerstva zahraničí (nejspíše ze strany Číny a Ruska, jak informoval NÚKIB). V soukromém sektoru BIS zase letos spolupracovala při napadení společnosti Avast (opět pravděpodobně Čína). Na Rusko a Čínu BIS upozorňuje i v obecné rovině.
BIS vedle toho identifikovala rizika, jež mohla ohrožovat kybernetickou bezpečnost v instituci zajišťující provoz několika informačních systémů, které spadají do kategorie kritické informační infrastruktury.
„Tyto bezpečnostní nedostatky nebyly dlouhodobě a systematicky řešeny a některé z nich přetrvávaly po delší dobu, přičemž se objevovaly další nové problémy. Oddělení odpovídající za informační technologie v instituci postupně opouštěli zkušení zaměstnanci mající znalosti a dovednosti pro správu systémů úřadu a na jejich místa se nedařilo získat vhodnou náhradu. Vedoucí pracovníci klíčových oddělení navíc neměli potřebné znalosti a problematiku kybernetické bezpečnosti povětšinou ignorovali,“ varuje tajná služba.
BIS částečně popisuje příklad kompromitace sítě ministerstva zahraničí:
V roce 2018 proběhlo šetření rozsáhlé kompromitace neutajované sítě MZV. Ze získaných informací vyplývá, že se snejvětší pravděpodobností jedná o ruskou kyberšpionážní kampaň. Vektorem špionážního útoku byl zastupitelský úřad (ZÚ) ČR v zahraničí, k jehož kompromitaci došlo již na konci roku 2017.
V prvotní fázi útoku aktér kompromitoval několik koncových počítačů neutajované sítě ZÚ. Dalším šetřením byly odhaleny pokusy útočníka o použití technik eskalace oprávnění a laterálního pohybu. Útočníci se také snažili o zajištění si trvalého skrytého přístupu do napadeného systému.
BIS také získala informace o jiném, nesouvisejícím, incidentu, a to kompromitaci vybraných počítačových stanic neutajované sítě MZV několika druhy škodlivého softwaru, které bylo možné na základě rozličných indikátorů velmi pravděpodobně spojit s aktivitami čínské kyberšpionážní skupiny. Stopy po pečlivě ukrytých aktivitách bylo možné dohledat několik let zpětně a za tu dobu se útočníkům podařilo exfiltrovat množství dokumentů s tématikou odpovídající zájmům předmětného kyberšpionážního aktéra.
Ministerstvo zahraničních věcí je vzhledem ke své působnosti neustále vystaveno více či méně sofistikovaným kybernetickým útokům nejen státních aktérů, proto je třeba nadále pokračovat ve vylepšování procesů, zabezpečení komunikace a zajištění takových technických opatření, které umožní na útoky efektivně reagovat.
Dále pak byly popsány kyberšpionážní útoky kampaně APT28/Sofacy proti příslušníkům Armády ČR:
I v roce 2018 BIS informovala své zákonné adresáty o případech kompromitace soukromých e-mailových účtů patřících příslušníkům AČR s tím, že tyto e-mailové účty jsou s největší pravděpodobností kompromitovány ruskou kyberšpionážní kampaní APT28/Sofacy. Ačkoliv útočníci nezískali žádné informace utajované podle zákona č. 412/2005 Sb., získali přístup k řadě osobních a citlivých údajů (bydliště, faktury, místa a termíny dovolených, rodinné zázemí, mnoho kontaktních údajů apod.). Tyto informace mohou v budoucnu zneužít formou sociálního inženýrství pro další útoky, a to nejen na příslušníky AČR.
Při šetření zaměřeném na aktivity kyberšpionážní kampaně APT28/Sofacy na území ČR odhalila BIS i případ kompromitace, při kterém byla e-mailová schránka příslušníka AČR automatizovaně vytěžována prostřednictvím svého propojení protokolem IMAP nebo POP3 sdalší e-mailovou schránkou ovládanou útočníky. Tento postup propojení e-mailových schránek je vysoce efektivní auřady českých e-mailových služeb pro oběť neodhalitelný, protože poskytovatelé neumožňují uživatelům kontrolovat, z jakých IP adres bylo do jejich schránky přistupováno.
Mimo případy kompromitace osobních účtů příslušníků AČR šetřila BIS v průběhu roku 2018 ještě několik dalších obdobných případů e-mailových účtů, u kterých panovalo podezření z jejich kompromitace ruskou kyberšpionážní kampaní APT28/Sofacy.
Podařilo se rovněž rozbít kybernetické aktivity ruské FSB:
BIS v součinnosti s partnerskou ZS získala také informace o aktivitách ruské zpravodajské služby FSB, která na českém území utajeně budovala ICT infrastrukturu. Tato infrastruktura byla součástí rozsáhlejšího systému, který byl využitelný pro utajované kybernetické a informační operace FSB v lokálním i globálním rozsahu. Ve spolupráci s PČR byla tato síť rozbita a bylo tak zabráněno aktivitám FSB proti zájmům ČR či našich spojenců.
BIS se také zaměřila na aktivity hnutí Hizballáh:
Počátkem roku BIS úspěšně zakončila operaci monitorující infrastrukturu kyberšpionážní kampaně hnutí Hizballáh umístěnou na území ČR. Tato kyberšpionážní kampaň necílila na české občany, ale především na oběti z oblasti Blízkého východu.
Útočníci operovali z Libanonu a na území ČR v letech 2017 a 2018 využívali několik serverů, jejichž primární funkcí byla distribuce škodlivé špionážní aplikace pro mobilní operační systém Android. Využívali při tom metod sociálního inženýrství a pokoušeli se skrze falešné profily atraktivních žen na sociálních sítích přesvědčit své cíle k nainstalování upravené aplikace, vydávající se za legitimní komunikační program. Po instalaci začala aplikace odesílat citlivá data z telefonu na servery útočníků.
Na začátku roku 2018 došlo na základě získaných zpravodajských informací k eliminaci útočné infrastruktury určené pro šíření škodlivého kódu.
