Článek
Vojenské zpravodajství (VZ) se v průběhu března zapojilo do mezinárodní operace vedené americkým Federálním úřadem pro vyšetřování (FBI). Jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ta následně zabezpečit. Zneužívala je ruská hackerská skupina APT28, spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně zabezpečit. VZ o tom informovalo ve středu ve své tiskové zprávě.
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) skupina ovládla routery TP-Link pro malé a domácí kanceláře.
V rámci svých úkolů se VZ podílí na zajišťování obrany České republiky v kybernetickém prostoru. K jeho naplnění provádí řadu opatření, případně aktivní zásah. Ten v tomto případě spočíval v úpravě nastavení části globálně zneužívané infrastruktury, konkrétně routerů, a zabezpečení dalších potenciálně zneužitelných zařízení na území České republiky.
Skupina APT28 (také známá jako Fancy Bear, Forest Blizzard či Sofacy Group) zneužívala ke sběru strategicky významné informace. Z routerů získávala hesla a další citlivé informace, včetně obsahu e-mailů. Cílem byla kyberšpionáž, uvedl NÚKIB na svém webu. Informace pak skupina používala proti vojenským a vládním cílům v České republice i v zahraničí, včetně spojenců v NATO a EU.
Začátkem útoku může být nechráněné domácí zařízení
NÚKIB informoval, že podle zprávy FBI útočníci využili slabinu v modelu routeru TP‑Link TL‑WR841N, která umožňuje obejít přihlášení a získat plnou kontrolu nad zařízením. Skupina podle zprávy po získání přístupu měnila nastavení routerů a přesměrovávala provoz připojených zařízení na vlastní DNS servery. Tím mohla sledovat dotazy na doménová jména a u vybraných služeb vracet falešné odpovědi, což umožnilo útoky na šifrovanou komunikaci. Podle zprávy FBI jsou nejvíce ohroženy routery, které stále používají původní hesla, doplnil úřad.
„Nepřátelské zpravodajské služby a jim podřízené skupiny dnes ke svým operacím ve velké míře nevyužívají vlastní infrastrukturu. Místo toho v tichosti přebírají kontrolu nad tisíci zcela běžných zařízení po celém světě – domácími routery, chytrými kamerami nebo firemními počítači,“ varuje VZ v tiskové zprávě a doplňuje, že jejich vlastníci o tom často nic nevědí. Pro útočníka tato zařízení dohromady tvoří globální síť, skrze kterou skrývá svou totožnost nebo odposlouchává komunikaci napadených institucí.
Zároveň jsou pokročilé skupiny, jako je ruská APT28 nebo čínská APT31, schopny se jednoduše přizpůsobit a přepnout na jiný uzel. „Efektivní obrana proto musí zasáhnout celou infrastrukturu najednou, a to dříve, než útočník stihne reagovat. Jde o závod s časem,“ dodává VZ.
VZ v rámci své činnosti aktivně mapuje a neutralizuje tyto sítě a zároveň vyzývá veřejnost k základní kybernetické hygieně. Mezi tu řadí pravidelné aktualizace zařízení, silná hesla a ověřování pravosti navštívených webů. „Nezabezpečené domácí zařízení se totiž může stát článkem řetězce, skrze který je útočeno na kritickou infrastrukturu, energetiku nebo státní správu,“ varuje VZ.
