Na olympijské hry zaútočil Zlatý drak. Hackeři zneužili i český server

Olympijské hry, ať už ty letní, nebo zimní, jsou nejen nejdůležitější sportovní akcí, ale také zásadní politickou událostí. Ukázalo se to již mnohokrát, zejména na vrcholu Studené války, kdy si velmoci navzájem bojkotovaly olympiády. Vypadá to ale, že také hry, které začnou v pátek v Jižní Koreji, jsou politicky velmi „hořlavé“. Dvě nejožehavější témata jsou napětí mezi oběma státy na Korejském poloostrově a (ne)účast ruských sportovců na Hrách. Na Hry už také zaútočili hackeři – zneužili přitom server umístěný v České republice.

V moderní době se napětí mezi státy stále častěji řeší pomocí kybernetických útoků. Zřejmě se to již nyní stalo olympijským hrám v Pchjongčchangu.

Bezpečností experti informují o dvou útocích, které již na tyto Hry proběhly, oba jsou možná spojené s hackery financovanými vládami. Ani u jednoho se doposud přesně neví, jaký byl jeho rozsah, ani to, jaké způsobily škody.

„Olympijské hry byly vždy nejvíce zpolitizovanou sportovní událostí ze všech,“ uvedl pro server Wired profesor strategických studií Thomas Rid. „Není tedy překvapující, že se staly tak lákavým cílem pro hackování.“

Operace Zlatý drak

Tento útok probíhal od prosince 2017 velmi skrytě a nenápadně po dobu nejméně jednoho měsíce a byl cílený na jihokorejské organizace spojené s olympijskými hrami. Informovala o něm bezpečnostní společnost McAfee, která také provedla analýzu tohoto útoku. Pozoruhodné na něm je i to, že má spojení s Českou republikou.

Útok byl založený na třech různých programech (tzv. spywaru), které se hackeři pokusili dostat do vybraných počítačů. Cílem bylo ovlivnit obsah počítačů asi 300 osob – hackeři se tak mohli dostat k datům na nich, měnit je i upravovat.

„Některé organizace a lidé, které se podílí na olympiádě, jako jsou hotely nebo vládní agentury, začaly dostávat e-maily, které obsahovaly škodlivý kód, který je měl infikovat,“ uvedl pro ČT Sebastián García z Katedry počítačů FEL ČVUT. Tyto podvodné e-maily se tvářily jako varování jihokorejského protiteroristického centra; navíc probíhaly zrovna v době, kdy opravdu v Pchjongčchangu probíhala protiteroristická cvičení.

Přílohou e-mailů, které dostaly turistické organizace, lyžařská střediska nebo dopravci, byl textový dokument, který po otevření spustil program, jenž hackerům mohl otevřít zadní vrátka do systému. Mohli tak získat osobní i finanční údaje, ale také utajované podrobnosti o programu her nebo různá obchodní tajemství, tvrdí McAffee.

„Když napadnete hotel, snažíte se získat přístup k datům o sportovcích a o lidech, kteří se Her přímo účastní, a ne jenom o organizátorech,“ potvrdil Sebastian García.

Analýza ukázala, že tento tzv. phishingový útok přišel ze serveru umístěného v České republice. V jeho záznamech experti pak objevili, že opravdu došlo k přístupům na něj: „Byla to úspěšná kampaň? Odpověď je ano,“ uvedl pro Wired Raj Samani z McAffee. 

Česká firma, která je se serverem spojená, se o zneužití dozvěděla až od policie. „Jediná spojitost Česka s celým útokem je, že jihokorejští hackeři využili funkci webového systému Joomla pro tvorbu webových stránek k umístění jejich sofistikovaně připraveného obrázku na inkriminovaný web. Tento český web si vylosovali náhodně podle jejich požadovaných kritérií. Jinak celý útok probíhal zcela mimo ČR,“ uvedl pro ČT zástupce společnosti.

Neexistují pro to sice žádné přímé důkazy, ale podle McAffee jsou náznaky, že za zneužitím českého serveru stojí osoby ze Severní Koreje.

  • Phishing (někdy převáděno do češtiny jako „rhybaření“) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet a podobně) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů. Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

Medvědi útočí z Ruska

Druhý útok nebyl zdaleka tolik utajovaný. Už od loňského podzimu útočila hackerská skupina známá pod jménem Fancy Bear/APT 28 na sportovní organizace spojené s olympijskými hrami. Tato skupina je často spojována s ruskými tajnými službami – několik agentur potvrdilo, že to byla právě tato skupina, která stála za napadením stránek amerických Demokratů. 

Stejná skupina pak podle předních expertů stála také za pokusem o hackování německého Bundestagu: 

Pro německé úřady byl vliv ruských hackerů jasný. Kreml však jakoukoliv zodpovědnost za hackerské útoky odmítl.

Ať už je tato skupina napojená na oficiální ruské struktury, nebo jedná samostatně, chce se pomstít za vyloučení ruských sportovců z olympijských her kvůli používaní dopingu.

„Začneme s americkým týmem, který poskvrnil své jméno špinavými vítězstvími,“ uvedli hackeři z Fancy Bear už na podzim roku 2016.  A opravdu to udělali, zveřejnili soukromé lékařské záznamy amerických sportovců, jako jsou sestry Williamsovy nebo gymnastka Simone Bilesová.

Hned na začátku roku 2018 ale zveřejnili tito hackeři soubor několika odcizených e-mailů, které patří Mezinárodnímu olympijskému výboru, Olympijskému výboru Spojených států amerických a dalším stranám. Není jasné, zda jsou autentické, anebo nějak upravené, je na nich korespondence z přelomu let 2016/2017, který ukazuje napětí mezi různými olympijskými činiteli v otázce dopingu.

Další soubor nelegálně získaných dat zase zveřejnil seznam sportovců, kteří měli získat speciální povolení, například užívat jinak nepovolené látky. Nejde o žádná převratná zjištění, která by ukázala nějaký zásadní problém.

Analytická bezpečnostní společnost ThreatConnect v polovině ledna na svém blogu zveřejnila, že identifikovala několik webů o dopingu, které jsou zřejmě spojené se skupinou Fancy Bear a mohou sloužit jako zdroj phishingových útoků. Je tedy možné, že se objeví další kauzy a další útoky.