Hlavní navigace

Útoky na diplomaty i na Avast. Jak v Česku pracují čínští hackeři?

Autor: Jan Sedlák
Jan Sedlák

Phishing, ale i škodlivý kód na flash discích s oficiálními materiály. Zahraniční hackerské skupiny se snaží napadat i cíle v ČR.

Doba čtení: 7 minut

Sdílet

Ministerstvo zahraničních věcí České republiky (MZV) už dříve oficiálně potvrdilo, že se stalo terčem více kybernetických útoků. Ačkoliv resort ani bezpečnostní složky jednotlivé incidenty příliš nerozvádí, informace Lupy mluví o tom, že za těmito útoky vedle Ruska stojí také Čína. Delší dobu trvající aktivity umožnily nepozorovaně získávat například elektronickou komunikaci diplomatů.

To, že je Čína v kyberprostoru skutečně problém, naznačil i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). „NÚKIB v roce 2018 pokračoval ve zkoumání rozsáhlého útoku na strategicky významnou českou vládní instituci. V rámci zkoumání byla provedena analýza dostupných technických dat a dalších relevantních informací (charakter oběti, trvání útoku, povaha odcizených informací, nakládání s odcizenými informacemi atd.), jejímž závěrem bylo, že původcem útoku je téměř jistě (90–100 %) státní aktér, nebo na něj napojená skupina. Dle informací dostupných NÚKIB je pravděpodobné (55–70 %), že útok byl veden ze strany čínského aktéra,“ sděluje úřad.

NÚKIB také jasně uvedl, že „pro Českou republiku v současné době představují hrozbu zejména operace aktérů napojených na Ruskou federaci a Čínskou lidovou republiku“. Podobně se v pondělí ve sněmovně vyjádřil šéf Bezpečnostní informační služby (BIS) Michal Koudelka. Dle jeho slov se BIS zajímá o všechny zpravodajské služby na našem území a jeho organizace tak může potvrdit, že „největší hrozbou pro ČR jsou ruské a čínské služby“.

Napadený Avast

BIS s kybernetickými útoky z (s největší pravděpodobností) Číny pomáhala také v případě české společnosti Avast. Ta byla údajně pod sofistikovaným špionážním útokem (firma některé detaily zveřejnila), který se podařilo zmapovat.

Šéf BIS Michal Koudelka ve sněmovně sděluje, že Čína je pro ČR největší hrozbou
Autor: BIS

Šéf BIS Michal Koudelka ve sněmovně sděluje, že Čína je pro ČR největší hrozbou

BIS společně s Avastem dokázala zabránit úniku dat milionů českých občanů a tisíců důležitých institucí, které jejich produkty používají. Číňané chtěli ovládnout nástroj CCleaner, který Avast vlastní, a jeho prostřednictvím i počítače uživatelů.

„Tento typ útoku se zaměřuje na dodavatelské řetězce a není při něm hlavním cílem firma samotná, nýbrž její zákazníci,“ uvádí zpravodajci s tím, že úzká spolupráce BIS a Avastu přinesla informace, které mohou do budoucna pomoci chránit Česko jako takové.

Avast je mimochodem zákazníkem čínské společnosti Huawei, od které má třeba servery (pouze jeden z dodavatelů). Firma ani BIS však nikde aktuální útok s Huawei do spojení nedávají. Avast uvedl, že útok proběhl odcizením přihlašovacích údajů, přes dočasný VPN profil.

Soukromý Avast zde sdělil o útoku alespoň nějaké informace, v případě bezpečnostních složek a státních institucí už toho ale veřejně příliš známo není. Vznesené dotazy končí u odpovědí ve stylu Schrödingerovy kočky, že spojitosti a informace nelze „potvrdit ani vyvrátit“.

Skupina Ke3chang v Česku

To, jak čínské hackerské skupiny napojené na stát operují a o co se snaží, můžeme ilustrovat na případu skupiny známé jako Ke3chang (nebo také APT15) zaměřující se na diplomaty a další státní činitele. Její počátky sahají do roku 2010, přičemž slovenská kyberbezpečnostní společnost ESET její aktivity a velké množství vzorků malwaru dokázala vystopovat i v České republice a na Slovensku.

Zuzana Hromcová, ESET
Autor: Jan Sedlák

Zuzana Hromcová, ESET

Malwarová rodina označená jako Win32/Ketrican, za kterou Ke3chang stojí, u nás byla objevena už v roce 2015. ESET provedl analýzu a zjistil, že je Ketrican spjatý s backdoorem BC2005 u operací Ke3chang z roku 2010 a také s útoky na indické ambasády po celém světě. ESET později objevil rodinu nazvanou Win32/Okrum útočící na stejné či podobné cíle jako Ketrican (u řady z nich jsou oba typy malwaru). Tato akce opět spadá pod Ke3chang a Okrum byl v našem regionu aktivní zejména na Slovensku.

Čínská skupina je podle všeho nadále aktivní. „Hrozby nadále detekujeme a sledujeme, zda se objevují nové verze kódu, techniky a moduly. V roce 2019 se objevila nová verze Ketricanu. Můžeme říci, že Ke3chang je stále aktivní a aktualizuje své nástroje,“ uvádí pro Lupu Zuzana Hromcová, která se v ESETu na analýze Ke3chang a Okrumu podílí.

Napojeno na stát

Ke3chang se zaměřuje na kybernetickou špionáž diplomatů, státních institucí a vysoce postavených reprezentantů daných zemí. ESET sám přímo nekomentuje, zda je skupina napojená na čínský stát, protože tento druh vyšetřování nechává na vymahatelích práva. Jiné oslovené subjekty z branže ale s touto možností počítají.

„Často nelze přímo říci, že za něčím stojí vláda jiného státu, ale je možné pozorovat určité aspekty, které něčemu takovému nahrávají – malware nemá přímou monetizaci, jde o dlouhodobou aktivitu a podobně. O aktivitách Ke3chang lze říci, že jsou velmi cílené. Běžným kybernetickým kriminálníkům většinou nezáleží na tom, jaké oběti nakazí, chtějí jich nakazit co nejvíce. Ke3chang míří na specifické a vysoko postavené cíle a zajímá se o informace. To je určitá nápověda,“ dodává k tomu Hromcová.

Zdánlivě neškodný PNG obrázek, který má v sobě ovšem zašifrované skryté DLL (Okrum)
Autor: ESET

Zdánlivě neškodný PNG obrázek, který má v sobě ovšem zašifrované skryté DLL (Okrum)

S tím souvisí i to, že se malware od Ke3chang snaží v infikované infrastruktuře působit co nejvíce nenápadně a v dlouhém časovém období dolovat data. Například Okrum sám o sobě obsahuje jen základní funkce (stahování souborů, spouštění programů a podobně) a na napadený počítač se snaží dostávat externí aplikace, jako jsou keylogger a další. Útočníci tak příkazy zadávají manuálně, případně přes zmiňované externí aplikace.

„Z toho lze vyvodit, že šlo o špionážní útok za účelem získávání citlivých dat a hesel, která pak lze využít při dalších útocích a pro přímý přístup do dané sítě,“ konstatuje Hromcová s tím, že jde o typický modus operandi pro aktivity Ke3chang. Skupina se aktivně snaží vyhnout detekci ze strany antivirů, k čemuž využívá zakódování příkazů v legitimním souboru nebo časté změny.

Udržet se co nejdéle

Příkladem je to, že se využívá steganografie a backdoor jako takový je ukrytý v obrázku s koncovkou .png, který se tváří jako ikona běžných aplikací, typicky Internet Explorer. Obrázek lze normálně otevřít a zobrazit, Okrum ovšem dokáže lokalizovat šifrovanou informaci. Hromcová fungování podrobně rozvádí v technické analýze (PDF). „Tato taktika obecně slouží k tomu, aby se malware v počítači udržel co nejdéle,“ popisuje.

Veřejně není úplně známo, jakými způsoby Ke3chang své rodiny malwaru na počítače státníků, úředníků a veřejných institucí dostává. Z velmi rychlé debaty, kterou se Lupě podařilo s čínskými příslušníky státního kybernetického aparátu vést, vyplývá, že jde o tradiční způsoby, jako je například chytrý phishing. Vedle toho se Číňané snaží škodlivý kód podstrkovat také offline – třeba na flash discích s oficiálními materiály a podobně.

Soukromé firmy jako ESET se k informacím o pokusech o útoky na státní instituce dostávají více způsoby. Může se stát, že je osloví daná organizace či kontakt provede pověřený úřad. U zákazníků je pak možné informace získávat z telemetrických dat. Konkrétně ESET má jako zákazníka i české ministerstvo zahraničí, které jeho produkt používá u systému KR II pro přenos utajovaných informací do stupně „tajné“.

Útoky budou pokračovat

NÚKIB je toho názoru, že podobné útoky na zdejší instituce budou nadále pokračovat s tím, že se jednotliví státní aktéři budou snažit působit v sítích nepozorovaně po co nejdelší dobu.

Souvisí to i s motivací útočníků získávat informace týkající se Česka v Evropské unii a NATO, komunikaci se spojenci a nelze vyloučit ani krádeže obchodních a duševních vlastnictví českých firem a výzkumných institucí. „A to zejména v oblasti vývoje a výzkumu nové generace polovodičů, telekomunikačních technologií, využití satelitních technologií, zpracování big data, umělé inteligence nebo deep learning.“

Tipli listopad2

NÚKIB i proto v roce 2018 ve dvaceti institucích instaloval síťové „sondy“, proškolil správce systémů a sdílí informace s národním bezpečnostním CERT týmem. GovCERT přijatá data ukládá a dále analyzuje. Pracuje se také na doladění celého systému a napojení na interní databáze a aktualizační server pro publikování aktualizovaných seznamů hrozeb zpět do zařízení zapojených institucí.

„Nicméně odolnost proti takovým útokům bude pravděpodobně i nadále negativně ovlivněna nedostatkem odborníků spojeným s nekonkurenceschopností veřejného sektoru v oblasti finančního ohodnocení,“ stěžuje si na závěr kyberúřad. Na nedostatek kvalitních lidí ostatně upozorňuje už delší dobu.