Připomíná to ruskou operaci na TV5Monde, říká expert k žhářskému útoku

Článek si také můžete poslechnout v audioverzi.

Ke žhářskému útoku průmyslové haly společnosti LPP Holding v Pardubicích se přihlásila údajná podzemní skupina The Earth Earthquake Faction, která nemá žádnou dohledatelnou historii. Prohlášení vydala na webových stránkách registrovaných na Islandu.

Skupina také založila kanál na sociální síti Telegram, kde rovněž zveřejnila fotografie a krátké prohlášení. „Telegram je síť, do které nemá nikdo klíček. A pokud ano, tak maximálně Rusové, takže z toho se moc zjistit nedá,“ říká pro Seznam Zprávy Jiří Suchora, generální ředitel startupu Noibit, který se zabývá kybernetickou bezpečností.

V rozhovoru pro Seznam Zprávy vysvětluje, zda mají vyšetřovatelé reálnou šanci získat z domény údajných pachatelů data, která by vedla k rozklíčováni jejich původu či identity.

Víme, že web údajné podzemní skupiny, která se k útoku přihlásila, je hostovaný na Islandu. Tím je ale také mimo dosah evropských bezpečnostních složek, islandské zákony také poskytují zákazníkům záruku anonymity. Existuje nějaká šance, že se vyšetřovatelům podaří zjistit, kdo za stránkou stojí?

Tohle je obecně velmi obtížné. Museli by s námi totiž spolupracovat kolegové z Islandu, jinak je pravděpodobnost, že na něco přijdeme, velice nízká. A vzhledem k tomu, že má Island nějak nastavené zákony a pravidla, tak se obávám, že ta šance je skutečně malá.

Jak na vás samotná stránka působí?

Tady je podle mě nutné podívat se i do minulosti. Protože když si to celé dáme do kontextu dnešních geopolitických situací a nějakých aktivit, které se dějí na Blízkém východě, ale i na Ukrajině, troufnul bych si vlastně říci, že mi to připomíná třeba ruskou operaci na TV5Monde.

Tam se také nejdříve zdálo, že za útoky stojí nějaká islamistická organizace, mluvilo se o skupině Kybernetický chalífát. Ve finále se ale ukázalo, po několika měsících, že jde o hackerskou skupinu APT 28, která je napojená na vojenskou rozvědku GRU. A podobných věcí byla řada, takže já bych se upřímně ani nedivil, kdyby to nakonec vůbec nebylo spojené s Gazou. Přeci jen ta továrna vyrábí a dodává věci na Ukrajinu. Ale to je jen můj názor.

Rozumím, přesnější informace zatím nemáme. Teď ještě k samotnému webu – jsou na něm totiž videa. Dá se třeba z nich zjistit, kdo za útoky stojí?

Musím přiznat, že ta videa jsem viděl, spíše letmo, než abych je analyzoval, nicméně z těch videí se asi dají získat nějaké indicie – metadata. Ale upřímně, opět pochybuji, že by to bylo na kompletní obrázek.

Proč?

Ta videa se mi zdála až příliš „profi“. Samotná ta stránka ani ne, to máte hotové poměrně rychle skrze různé falešné účty, profily, v případě podobných pachatelů i kradené karty. Ale upřímně si nemyslím, že by někdo, kdo udělal takovýto web, na Islandu, ve videích – která nepůsobí jako od nějaké podzemní skupiny – nechal metadata, která by vedla k jeho dostopování. Pachatel totiž může metadata nějakým způsobem vyčistit, což je i celkem normální.

Existuje nějaký rozdíl – v pohledu zabezpečení či shození samotné stránky – zda je na doméně “.net“ nebo “.cz“?

Je tam. Když totiž máte třeba naši, českou doménu “.cz“, tak je její shození poměrně jednoduché a rychlé. Kolegové z CZNIC, kteří to spravují, jsou velice promptní ve všech ohledech. Naopak u mezinárodních domén typu “.net“ a “.org“ je to naopak velice těžké. Protože ta reakce – pokud vůbec přijde – přijde s velkým zpožděním. Navíc tady očekávám, že autor – pachatel – je velice sofistikovaný.

Takže pokud si to shrneme – jaká je pravděpodobnost, že vyšetřovatelé něco zjistí?

Z téhle konkrétní domény si myslím, že prakticky nulová, nebo velice malá. Tipoval bych, že pokud kolegové z bezpečnostních složek a od policie něco zjistí, tak to bude spíš v tom fyzickém světě. To znamená například ze záběrů z kamery v okolí, prostě klasické metody, případně kombinace klasického sledování toho, jaké mobily byly v okolí, což je normální postup. Tam bych očekával větší úspěch než u domény. Bohužel.