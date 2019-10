Ministerstvo zahraničních věcí České republiky (MZV) už dříve oficiálně potvrdilo, že se stalo terčem více kybernetických útoků. Ačkoliv resort ani bezpečnostní složky jednotlivé incidenty příliš nerozvádí, informace Lupy mluví o tom, že za těmito útoky vedle Ruska stojí také Čína. Delší dobu trvající aktivity umožnily nepozorovaně získávat například elektronickou komunikaci diplomatů.

To, že je Čína v kyberprostoru skutečně problém, naznačil i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). „NÚKIB v roce 2018 pokračoval ve zkoumání rozsáhlého útoku na strategicky významnou českou vládní instituci. V rámci zkoumání byla provedena analýza dostupných technických dat a dalších relevantních informací (charakter oběti, trvání útoku, povaha odcizených informací, nakládání s odcizenými informacemi atd.), jejímž závěrem bylo, že původcem útoku je téměř jistě (90–100 %) státní aktér, nebo na něj napojená skupina. Dle informací dostupných NÚKIB je pravděpodobné (55–70 %), že útok byl veden ze strany čínského aktéra,“ sděluje úřad.

NÚKIB také jasně uvedl, že „pro Českou republiku v současné době představují hrozbu zejména operace aktérů napojených na Ruskou federaci a Čínskou lidovou republiku“. Podobně se v pondělí ve sněmovně vyjádřil šéf Bezpečnostní informační služby (BIS) Michal Koudelka. Dle jeho slov se BIS zajímá o všechny zpravodajské služby na našem území a jeho organizace tak může potvrdit, že „největší hrozbou pro ČR jsou ruské a čínské služby“.

Napadený Avast

BIS s kybernetickými útoky z (s největší pravděpodobností) Číny pomáhala také v případě české společnosti Avast. Ta byla údajně pod sofistikovaným špionážním útokem (firma některé detaily zveřejnila), který se podařilo zmapovat.



Autor: BIS Šéf BIS Michal Koudelka ve sněmovně sděluje, že Čína je pro ČR největší hrozbou

BIS společně s Avastem dokázala zabránit úniku dat milionů českých občanů a tisíců důležitých institucí, které jejich produkty používají. Číňané chtěli ovládnout nástroj CCleaner, který Avast vlastní, a jeho prostřednictvím i počítače uživatelů.

„Tento typ útoku se zaměřuje na dodavatelské řetězce a není při něm hlavním cílem firma samotná, nýbrž její zákazníci,“ uvádí zpravodajci s tím, že úzká spolupráce BIS a Avastu přinesla informace, které mohou do budoucna pomoci chránit Česko jako takové.

Avast je mimochodem zákazníkem čínské společnosti Huawei, od které má třeba servery (pouze jeden z dodavatelů). Firma ani BIS však nikde aktuální útok s Huawei do spojení nedávají. Avast uvedl, že útok proběhl odcizením přihlašovacích údajů, přes dočasný VPN profil.

Soukromý Avast zde sdělil o útoku alespoň nějaké informace, v případě bezpečnostních složek a státních institucí už toho ale veřejně příliš známo není. Vznesené dotazy končí u odpovědí ve stylu Schrödingerovy kočky, že spojitosti a informace nelze „potvrdit ani vyvrátit“.

Skupina Ke3chang v Česku

To, jak čínské hackerské skupiny napojené na stát operují a o co se snaží, můžeme ilustrovat na případu skupiny známé jako Ke3chang (nebo také APT15) zaměřující se na diplomaty a další státní činitele. Její počátky sahají do roku 2010, přičemž slovenská kyberbezpečnostní společnost ESET její aktivity a velké množství vzorků malwaru dokázala vystopovat i v České republice a na Slovensku.



Autor: Jan Sedlák Zuzana Hromcová, ESET

Malwarová rodina označená jako Win32/Ketrican, za kterou Ke3chang stojí, u nás byla objevena už v roce 2015. ESET provedl analýzu a zjistil, že je Ketrican spjatý s backdoorem BC2005 u operací Ke3chang z roku 2010 a také s útoky na indické ambasády po celém světě. ESET později objevil rodinu nazvanou Win32/Okrum útočící na stejné či podobné cíle jako Ketrican (u řady z nich jsou oba typy malwaru). Tato akce opět spadá pod Ke3chang a Okrum byl v našem regionu aktivní zejména na Slovensku.