Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerů spojovaným s ruskou vojenskou zpravodajskou službou GRU a která přes routery prováděla kybernetické útoky na státní a další organizace v tuzemsku i zahraničí. Operaci vedl americký úřad FBI a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně zabezpečit.
„Vojenské zpravodajství provedlo aktivní zásah spočívající v úpravě nastavení části globálně zneužívané infrastruktury a zabezpečení potenciálně zneužitelných zařízení na území České republiky. Kompromitovaná zařízení byla APT28 zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v České republice i v zahraničí, včetně našich spojenců v NATO a EU,“ uvedlo zpravodajství ke svému zásahu.
Mluvčí Vojenského zpravodajství Jan Pejšek následně upřesnil, že zásah spočíval v odebraní přístupu útočníků ke zranitelným zařízením a jejich následném zabezpečení, aby jejich zranitelnosti nemohl v budoucnu opět někdo zneužít.
Hackeři ovládli podle NÚKIB routery
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) následně specifikoval, že ruští hackeři, proti kterým zasáhlo Vojenské zpravodajství, využili slabinu v modelu routeru TP‑Link TL‑WR841N, která umožňuje obejít přihlášení a získat plnou kontrolu nad zařízením.
Skupina podle zprávy FBI po získání přístupu měnila nastavení routerů a přesměrovávala provoz připojených zařízení na vlastní DNS servery. Tím mohla sledovat dotazy na doménová jména a u vybraných služeb vracet falešné odpovědi, což umožnilo útoky na šifrovanou komunikaci. Útočníci tak získávali hesla či další citlivé údaje, včetně obsahu e‑mailů. Podle zprávy FBI jsou nejvíce ohroženy routery, které stále používají původní hesla, doplnil úřad.
Americké velvyslanectví v Praze na síti X poděkovalo za spolupráci Vojenskému zpravodajství a NÚKIB. „FBI a americké ministerstvo spravedlnosti dnes (ve středu) oznámily operaci Masquerade, soudně schválené technické narušení infrastruktury ruské vojenské rozvědky GRU, která sloužila ke krádeži informací o vládě, armádě a kritické infrastruktuře,“ napsalo.
Ambasáda také připomněla, že už nejméně od roku 2024 provádí kybernetická jednotka v rámci ruské vojenské rozvědky – známá pod označeními APT28, Fancy Bear a Forest Blizzard – celosvětovou kampaň zaměřenou na únos DNS. GRU napadla routery používané v domácnostech a firmách, aby ukradla e-maily, hesla a autentizační tokeny vysoce hodnotných zpravodajských cílů.
„Využití zranitelných zařízení slouží jednak k zakrytí původce útoku, jednak poskytuje škodlivým aktérům rozsáhlou infrastrukturu pro útoky, distribuovanou po celém světě, a to v podstatě bez jakýchkoliv nákladů,“ doplnil Pejšek.
„Cílem útoku nebyli běžní občané, ale vybrané instituce strategického významu – například ministerstva nebo vojenské organizace,“ uvedl odborník na kyberbezpečnost Jan Kopřiva.
Závod s časem
Obrana Česka v kyberprostoru je jedním z úkolů Vojenského zpravodajství. Podle něj ale nestačí blokovat jednotlivé hackerské útoky, protože vysoce pokročilé skupiny jako ruská APT28 nebo čínská APT31 se dokážou během hodin přizpůsobit, a pokud je zneškodněn jediný uzel, přepnou na jiný.
„Efektivní obrana proto musí zasáhnout celou infrastrukturu najednou, a to dříve, než útočník stihne reagovat. Jde o závod s časem, kde každý kompromitovaný přístroj prodlužuje útočníkovu životnost a ztěžuje jeho odhalení,“ doplnilo VZ.
Současně vyzvalo veřejnost k „základní kybernetické hygieně“, protože jedním z článků řetězce, přes který hackeři útočí na kritickou infrastrukturu, energetiku nebo státní správu, mohou být i nezabezpečená domácí zařízení. Lidé by si proto měli pravidelně aktualizovat jejich zabezpečení, měli by mít silná hesla a ověřovat si pravost navštěvovaných webů.
