Přepychový medvěd útočí: Jak se Česko stalo prominentním Putinovým cílem

Atribuce se stala v pátek jedním z nejvyhledávanějších pojmů českého internetu. Není divu, Česko historicky poprvé atribuovalo (přisoudilo) útoky proti svým státním institucím Kremlu. Celou pravdu o vyšetřování a povaze útoků se veřejnost nejspíš nikdy nedozví. Z bezpečnostních důvodů musí zůstat část informací utajená. Významnou část příběhu jde však poskládat z otevřených zdrojů. Co se tedy vlastně stalo? Jak se útočníci dostali do počítačů institucí pouhým rozesláním emailu a co bylo jejich cílem? Proč má Česko nosit podobné útoky hrdě jako řád nejvyššího uznání od Ruské federace? A konečně, co je to ta atribuce? Odpovědi nabízí expertka na konflikty v kybernetickém prostoru Adéla Klečková.

Česko je díky své odvážné zahraniční politice evropským lídrem v podpoře Ukrajiny. Není nejmenších pochyb o tom, že stále intenzivnější hybridní operace proti Praze jsou odplatou Kremlu. Kromě kybernetických útoků se setkáváme také s informačními a vlivovými operacemi.

Nejnovějším vývojem na frontě hybridní války je odhalení špionážní kybernetické operace, kterou se Kreml pokusil získat informace z některých státních institucí.

Útok se českým institucím podařilo dle ministra vnitra Víta Rakušana (STAN) zavčasu odhalit. Česko teď se svými spojenci chystá odvetné kroky. Například rozšíření českých i evropských sankčních seznamů.

Útoky spolu s Černínským palácem také veřejně odsoudili spojenci Německo, NATO, EU a mnozí další. V Německu, které se také stalo obětí stejné kampaně, se útočníci zaměřili na nejsilnější vládní stranu SPD i na firmy z oblasti kritické infrastruktury.

Atribuce je veřejné přisouzení kybernetických útoků či jiných zločinů konkrétnímu (státnímu) aktérovi. Česku se takováto atribuce oznámená v pátek 3. května povedla poprvé.

Atribuce je mimořádně těžká disciplína, kterou dále komplikuje využívání nestátních aktérů při páchání trestné činnosti. Jako tomu je i v případě útoků na české státní instituce.

Falešná atribuce je mimořádně nebezpečná, neboť podrývá důvěryhodnost křivě obviňujícího státu. Jednou z nejznámějších křivých atribucí je případ „Olympic Destoryer“. Rusko zaútočilo v roce 2018 na Korejské Olympijské hry, kód byl ovšem vytvořen tak, aby připomínal práci severokorejských hackerů.

Povaha útoku

Cíle většiny kybernetických operací, za kterými (ať už přímo, či nepřímo) stojí jiný stát, jsou většinou dvojí. První případ je ofenzivní kybernetický útok, tedy útok s cílem poškodit protivníkovu infrastrukturu.

Druhá je kybernetická špionáž, tedy naopak snaha útočníka proniknout do protivníkovy infrastruktury nepozorovaně, zůstat tam co nejdelší dobu a sbírat citlivé informace. Podle veškerých dostupných dat spadaly oba dosavadní známé útoky do druhé kategorie.

Role nestátních aktérů

Kreml pro své kybernetické operace využívá nestátní aktéry rádo a často. Jednou z nesporných výhod je obtížnější atribuce, tedy přisouzení útoků danému státu. Rusko je neoficiálním bezpečným přístavem kybernetických zločinců. Za ochranu před (západní) spravedlností však Moskva vyžaduje platbu – v případě, že je hacker povolán do služby, nesmí odmítnout.

Každá z ruských tajných služeb (GRU, FSB, SVR) má svoje dedikované nestátní hackerské skupiny. GRU je v současnosti vnímaná jako vedoucí agentura v oblasti kybernetických útoků. K ní právě patří i skupina ATP28 známá také jako Fancy Bear (luxusní či přepychový medvěd).

Rusko není jediné, které ve svých službách využívá kybernetické žoldáky. Aktivity dalších ATP (Advanced Threat Prevention) skupin byly atribuovány i dalším globálním hráčům, jako je Čína, Severní Korea nebo Írán.

Zločinecké skupiny mají většinou dvojí jméno, jedno nudné – ATP a přiřazené číslo, a druhé více kreativní. To často obsahuje velké a nebezpečné zvíře. Rusové volí medvěda, Číňané pandu, Indové tygra a Íránci koťátko (kitten).

Historie ATP28

APT28 má dlouholeté zkušenosti s útoky na politické cíle. Není náhodou, že stála za útoky na MZV v roce 2016. Mezi další slavné oběti patří Demokratická strana a také celá aféra okolo pokusů ovlivnit americké prezidentské volby v roce 2016 ve prospěch Donalda Trumpa.

Na prominentní příčky nepřátel ATP 28 se Česko mohlo také dostat díky operaci Dying Ember, Mezinárodní operace vedená Spojenými státy spočívala v provedení opatření proti globální infrastruktuře kompromitovaných routerů zneužívaných APT28. Přímá souvislost mezi účastí na této operaci a útokem proti českým institucím však nejspíše není. Časově na sebe tyto dvě události nenavazují.

Microsoft Outlook exploit

Pro útok na ministerstvo si APT28 s nejvyšší pravděpodobností vybrala zero-day exploit emailové aplikace Microsoft Outlook. Této zranitelnosti lze využít zasláním speciálně vytvořeného emailu do inboxu oběti. Útočníci se tak můžou dostat do systému, aniž by oběť cokoliv dělala (například stáhla přílohu, otevřela odkaz).

APT28 využila této zranitelnosti minimálně ve třech kampaních – v březnu 2022, březnu 2023 a září 2023. Kampaně byly cíleny proti 14 zemím a nižším desítkám institucí.

Zero-day exploit (slabina) znamená, že jde o do té doby neznámou slabinu v systému, proti které neexistuje obrana.

První známé využití tohoto exploitu bylo zacíleno proti ukrajinskému státnímu úřadu pro migraci.

Dobrá zpráva je, že Microsoft si je už této zranitelnosti vědom a vytvořil na ni záplatu (patch). Ta se stala součástí bezpečnostní aktualizace v březnu 2023, ještě ale trvalo, než si ji všichni uživatelé nainstalovali.

Další politicky motivované kybernetické operace zasáhly Česko v roce 2020. To se ještě přímá atribuce Kremlu nepovedla. Série útoků na české nemocnice tehdy souvisela s odstraněním sochy generála Koněva.

Před ruskými kybernetickými operacemi pravidelně varují české tajné služby, například BIS ve své výroční zprávě za rok 2023.

Výběr redakce

Aktuálně z rubriky Svět

Ukrajinský parlament schválil novou vládu, premiérem je Serhij Koreckyj

Ukrajinský parlament ve čtvrtek schválil Serhije Koreckého jako nového premiéra, později pak i jeho vládu kromě ministrů zahraničí a obrany. Koreckyj byl dosud šéfem energetické společnosti Naftohaz. Před hlasováním označil za klíčové priority obranu země před ruskou agresí, hospodářskou stabilitu a integraci do EU. Mezi klíčovými úkoly uvedl také přípravu na příští zimu, která kvůli ruským útokům na ukrajinská energetická zařízení a infrastrukturu může být podle něj těžší než ta minulá.
11:30Aktualizovánopřed 6 mminutami

K odvolání Fedorova vedly spory se Syrským. Nástupce je stále nejasný

K odvolání ukrajinského ministra obrany Mychajla Fedorova měly vést spory s hlavním velitelem Oleksandrem Syrským či nákupy zbraní v rozporu s přáními armády. Fedorov je přitom považovaný za reformátora ukrajinské armády a mezi obyvateli napadené země se těší oblibě. To dokládají i čtvrteční protesty, které se na jeho podporu konají nejen v centru Kyjeva. Prezident Ukrajiny Volodymyr Zelenskyj během dne oznámil, že stále zvažuje kandidáta na jeho post.
14:52Aktualizovánopřed 12 mminutami

VideoStíhačka přeletěla těsně nad přeplněnou pláží na Floridě. Probíhá vyšetřování

Návštěvníci pláže zachytili okamžik, kdy ve středu během letecké show na pláži Pensacola Beach na Floridě proletěla stíhačka letky Blue Angels amerického námořnictva pozoruhodně blízko davu lidí. Zástupci elitní letecké akrobatické skupiny uvedli, že provádějí šetření poté, co „letadlo letělo níže, než je standardní výška, což vyvolalo rozruch na pláži a zasáhlo židle a slunečníky civilistů“, jak uvádějí americká média. V důsledku incidentu nebyla hlášena žádná zranění.
před 38 mminutami

Neznáme detaily o účelu cesty zadrženého Čecha v Číně, uvedl Macinka

Ministr zahraničí Petr Macinka (Motoristé) pro ČT sdělil, že nezná detaily o účelu cesty zadrženého Čecha v Číně. Případ považuje za izolovaný a nesouvisející se zadržením čínského občana v Česku. Peking oznámil, že český občan je vyšetřován kvůli podezření z ohrožení státní bezpečnosti. Podle agentury Reuters to uvedlo čínské ministerstvo zahraničí, podle kterého příslušné úřady postupují v souladu se zákonem.
09:37Aktualizovánopřed 40 mminutami

Soud udělil vysoké tresty za zřícení Morandiho mostu v Janově

Soud v Janově ve čtvrtek udělil vysoké tresty v souvislosti se zřícením Morandiho mostu v tomto italském městě, při kterém v roce 2018 zemřelo 43 lidí. Bývalý šéf společnosti Autostrade per l’Italia, která most spravovala, Giovanni Castellucci dostal 12 let vězení. V procesu je více než 50 obžalovaných, soud nyní čte své rozhodnutí.
14:34Aktualizovánopřed 53 mminutami

Švýcarské školy učí v autokratických zemích demokracii či kritické myšlení

Od Pekingu po Bogotu se sedmnáct švýcarských škol v zahraničí snaží vštěpovat svým žákům švýcarské demokratické hodnoty. V zemích, kde se politické poměry výrazně liší od těch ve Švýcarsku, to může představovat choulostivý úkol. Právě této otázce se věnovala výroční konference těchto škol, která se nedávno konala v kantonu Valais.
před 59 mminutami

Budeme vojákům testovat hladiny testosteronu, oznámil Hegseth

Americký ministr obrany Pete Hegseth oznámil, že příslušníci ozbrojených sil starší třiceti let budou nově při pravidelných každoročních lékařských prohlídkách podstupovat měření hladiny testosteronu. Armáda bude také vojákům nabízet testosteronovou terapii. Šéf Pentagonu to uvedl ve videoprohlášení na síti X, v němž se nijak nezmínil o vojačkách ženského pohlaví.
před 1 hhodinou

Kanadu sužuje skoro tisícovka lesních požárů, vítr žene dým i do USA

Horko a sucho způsobily, že kanadské lesy se staly velmi zranitelnými vůči požárům. Těch v zemi v současné době rychle přibývá. Nejhorší je situace podle tisku v provincii Ontario, kde mimo jiné leží velkoměsto Toronto.
před 3 hhodinami

Evropský pohled

ČT24 každý den vybírá z obsahu publikovaného evropskými veřejnými médii, členy Eurovize.