Atribuce se stala v pátek jedním z nejvyhledávanějších pojmů českého internetu. Není divu, Česko historicky poprvé atribuovalo (přisoudilo) útoky proti svým státním institucím Kremlu. Celou pravdu o vyšetřování a povaze útoků se veřejnost nejspíš nikdy nedozví. Z bezpečnostních důvodů musí zůstat část informací utajená. Významnou část příběhu jde však poskládat z otevřených zdrojů. Co se tedy vlastně stalo? Jak se útočníci dostali do počítačů institucí pouhým rozesláním emailu a co bylo jejich cílem? Proč má Česko nosit podobné útoky hrdě jako řád nejvyššího uznání od Ruské federace? A konečně, co je to ta atribuce? Odpovědi nabízí expertka na konflikty v kybernetickém prostoru Adéla Klečková.
Přepychový medvěd útočí: Jak se Česko stalo prominentním Putinovým cílem
Česko je díky své odvážné zahraniční politice evropským lídrem v podpoře Ukrajiny. Není nejmenších pochyb o tom, že stále intenzivnější hybridní operace proti Praze jsou odplatou Kremlu. Kromě kybernetických útoků se setkáváme také s informačními a vlivovými operacemi.
Nejnovějším vývojem na frontě hybridní války je odhalení špionážní kybernetické operace, kterou se Kreml pokusil získat informace z některých státních institucí.
Útok se českým institucím podařilo dle ministra vnitra Víta Rakušana (STAN) zavčasu odhalit. Česko teď se svými spojenci chystá odvetné kroky. Například rozšíření českých i evropských sankčních seznamů.
Útoky spolu s Černínským palácem také veřejně odsoudili spojenci Německo, NATO, EU a mnozí další. V Německu, které se také stalo obětí stejné kampaně, se útočníci zaměřili na nejsilnější vládní stranu SPD i na firmy z oblasti kritické infrastruktury.
Atribuce je veřejné přisouzení kybernetických útoků či jiných zločinů konkrétnímu (státnímu) aktérovi. Česku se takováto atribuce oznámená v pátek 3. května povedla poprvé.
Atribuce je mimořádně těžká disciplína, kterou dále komplikuje využívání nestátních aktérů při páchání trestné činnosti. Jako tomu je i v případě útoků na české státní instituce.
Falešná atribuce je mimořádně nebezpečná, neboť podrývá důvěryhodnost křivě obviňujícího státu. Jednou z nejznámějších křivých atribucí je případ „Olympic Destoryer“. Rusko zaútočilo v roce 2018 na Korejské Olympijské hry, kód byl ovšem vytvořen tak, aby připomínal práci severokorejských hackerů.
Povaha útoku
Cíle většiny kybernetických operací, za kterými (ať už přímo, či nepřímo) stojí jiný stát, jsou většinou dvojí. První případ je ofenzivní kybernetický útok, tedy útok s cílem poškodit protivníkovu infrastrukturu.
Druhá je kybernetická špionáž, tedy naopak snaha útočníka proniknout do protivníkovy infrastruktury nepozorovaně, zůstat tam co nejdelší dobu a sbírat citlivé informace. Podle veškerých dostupných dat spadaly oba dosavadní známé útoky do druhé kategorie.
Role nestátních aktérů
Kreml pro své kybernetické operace využívá nestátní aktéry rádo a často. Jednou z nesporných výhod je obtížnější atribuce, tedy přisouzení útoků danému státu. Rusko je neoficiálním bezpečným přístavem kybernetických zločinců. Za ochranu před (západní) spravedlností však Moskva vyžaduje platbu – v případě, že je hacker povolán do služby, nesmí odmítnout.
Každá z ruských tajných služeb (GRU, FSB, SVR) má svoje dedikované nestátní hackerské skupiny. GRU je v současnosti vnímaná jako vedoucí agentura v oblasti kybernetických útoků. K ní právě patří i skupina ATP28 známá také jako Fancy Bear (luxusní či přepychový medvěd).
Rusko není jediné, které ve svých službách využívá kybernetické žoldáky. Aktivity dalších ATP (Advanced Threat Prevention) skupin byly atribuovány i dalším globálním hráčům, jako je Čína, Severní Korea nebo Írán.
Zločinecké skupiny mají většinou dvojí jméno, jedno nudné – ATP a přiřazené číslo, a druhé více kreativní. To často obsahuje velké a nebezpečné zvíře. Rusové volí medvěda, Číňané pandu, Indové tygra a Íránci koťátko (kitten).
Historie ATP28
APT28 má dlouholeté zkušenosti s útoky na politické cíle. Není náhodou, že stála za útoky na MZV v roce 2016. Mezi další slavné oběti patří Demokratická strana a také celá aféra okolo pokusů ovlivnit americké prezidentské volby v roce 2016 ve prospěch Donalda Trumpa.
Na prominentní příčky nepřátel ATP 28 se Česko mohlo také dostat díky operaci Dying Ember, Mezinárodní operace vedená Spojenými státy spočívala v provedení opatření proti globální infrastruktuře kompromitovaných routerů zneužívaných APT28. Přímá souvislost mezi účastí na této operaci a útokem proti českým institucím však nejspíše není. Časově na sebe tyto dvě události nenavazují.
Microsoft Outlook exploit
Pro útok na ministerstvo si APT28 s nejvyšší pravděpodobností vybrala zero-day exploit emailové aplikace Microsoft Outlook. Této zranitelnosti lze využít zasláním speciálně vytvořeného emailu do inboxu oběti. Útočníci se tak můžou dostat do systému, aniž by oběť cokoliv dělala (například stáhla přílohu, otevřela odkaz).
APT28 využila této zranitelnosti minimálně ve třech kampaních – v březnu 2022, březnu 2023 a září 2023. Kampaně byly cíleny proti 14 zemím a nižším desítkám institucí.
Zero-day exploit (slabina) znamená, že jde o do té doby neznámou slabinu v systému, proti které neexistuje obrana.
První známé využití tohoto exploitu bylo zacíleno proti ukrajinskému státnímu úřadu pro migraci.
Dobrá zpráva je, že Microsoft si je už této zranitelnosti vědom a vytvořil na ni záplatu (patch). Ta se stala součástí bezpečnostní aktualizace v březnu 2023, ještě ale trvalo, než si ji všichni uživatelé nainstalovali.
Další politicky motivované kybernetické operace zasáhly Česko v roce 2020. To se ještě přímá atribuce Kremlu nepovedla. Série útoků na české nemocnice tehdy souvisela s odstraněním sochy generála Koněva.
Před ruskými kybernetickými operacemi pravidelně varují české tajné služby, například BIS ve své výroční zprávě za rok 2023.