Článek
Operační centrum vojenské tajné služby vypadá jako úplně obyčejná pražská kancelář. Jediné, co naznačuje, že jde o speciální místo, je velká obrazovka, která zabírá téměř celou jednu stěnu.
Právě odsud čeští vojenští špioni ve spolupráci s americkou FBI a dalšími zahraničními zpravodajskými službami na začátku dubna zasahovali proti ruským hackerům, kteří napadli tisíce Wi-Fi routerů po celém světě. Několik desítek kompromitovaných zařízení bylo také v českých domácnostech a administrativních budovách.
Hackerská skupina APT28, která je známá i pod názvem Fancy Bear a patří pod ruskou vojenskou rozvědku GRU, zařízení několik měsíců využívala ke špionáži a kradla skrze ně přihlašovací údaje a další citlivé informace z různých státních organizací, které se podílejí na obraně Česka a dalších zemí NATO.
„Do routerů se dostali díky známým zranitelnostem a použili je k získávání obsahu komunikace připojených zařízení. Běžné je ale i využití takových zařízení jako mezistupně, aby se zamaskovali. Kdyby útočili napřímo z Ruska, tak je snadno odhalíme,“ vysvětluje taktiku ruských hackerů důstojník, který operaci na české straně řídil. Protože jde o příslušníka vojenské tajné služby, jeho jméno neuvádíme.
Obrana v míru
Zásahu předcházely měsíce příprav, samotná akce pak trvala několik hodin, během kterých čeští vojenští zpravodajci pronikli do napadených routerů, vyhnali z nich ruské hackery a opravili nastavení zařízení, aby se situace už neopakovala. Na zmiňované velké obrazovce to pak velitel akce viděl jako řádky kódu a IP adresy, které označovaly poškozené routery.
„Zničili jsme infrastrukturu útočníkovi, takže teď bude muset další měsíce přemýšlet, jak jinak to udělat. Zároveň jsme opravou zranitelností routery zabezpečili,“ chválí své lidi Václav Borovička, ředitel Národního centra kybernetických operací Vojenského zpravodajství.
Šlo teprve o druhý veřejně komunikovaný aktivní zásah českých zpravodajců v kyberprostoru. Možnost udeřit proti hackerům jim totiž zákon dal až v roce 2021. Jde ale o nejzazší možnou variantu.
Primárním úkolem vojenských kyberšpionů je hrozby monitorovat a také sledovat, jestli se v sítích kritické infrastruktury, jako jsou telekomunikace, elektrárny nebo systémy Ministerstva obrany, nepohybují nepřátelští hackeři. Oběti mohou varovat, a pokud je nejhůř, tak – se svolením ministra obrany – zasáhnout.
„Aktivní zásah je důležitým doplněním systému kyberobrany Česka. Předtím to bylo o detekci a doporučeních. Nebyl tady nikdo, kdo by mohl útočníkům ‚nafackovat‘, aniž by byl vyhlášen válečný stav,“ popisuje Borovička.
Aktivně se bránit ještě v míru je podle něj zásadní právě v dnešní době, kdy roste počet hybridních útoků, prostřednictvím kterých se Rusko a další země snaží destabilizovat jiné státy, aniž by jim vyhlásily válku.
Vzkaz útočníkům
Jak říká šéf centra kybernetických operací Vojenského zpravodajství Borovička, v digitálním prostoru se pohybuje (a škodí) kdekdo: od úplných amatérů přes podvodníky, kteří se snaží z lidí vylákat peníze, až po APT skupiny, tedy profesionální hackerské skupiny placené cizími státy.
Právě ty jsou pro Borovičku a jeho kolegy hlavní prioritou. „Jejich zájem je poškodit Česko a jeho spojence. Většinou jde o kyberšpionáž, chtějí získat citlivé údaje týkající se například armády. Ale snaží se také dostat do nějakého důležitého systému a tam tiše čekat. Pokud by se zhoršily vztahy nebo došlo ke konfliktu, tak se aktivují,“ varuje Borovička.
Dalším důležitým nástrojem, který může nepřátelským hackerům znesnadnit práci, je takzvaná atribuce, neboli veřejné označení útočníka.
„V kyberprostoru, který nemá hranice, je jednoduché se skrýt a působit anonymně. Ať už tím, v jakém programovacím jazyku píšete kód, nebo jakou taktiku používáte. Při atribuci dáme dohromady všechny důkazy a pak dokážeme přesně říct, kdo za útokem stojí. Je to vzkaz útočníkům: víme, kdo jste, co jste udělali a koukali jsme vám při tom pod prsty,“ vysvětluje Borovička.
To se povedlo třeba loni v květnu, kdy bezpečnostní složky sesbíraly dost informací na to, aby mohly oznámit, že e-mailové schránky českého ministerstva zahraničí napadli čínští státní hackeři. Kromě vojenských zpravodajců se tehdy na akci podílely i další české tajné služby a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
„Obrana a bezpečnost v kyberprostoru jsou týmový sport,“ zdůrazňuje v souvislosti s tím Borovička.
To samé platí i o složení jeho týmu. Vedle IT expertů tak pracují v Národním centru kybernetických operací také absolventi humanitních oborů, jako třeba odborníci na Rusko nebo Čínu, kteří znají výborně místní jazyk a vyznají se v reáliích.
Na nedostatek zájemců o službu si Vojenské zpravodajství stěžovat nemůže. Jenže jako u jiných vysoce výběrových organizací, i tady uspěje jen zlomek.
„Jsme zpravodajská služba a tomu odpovídá i náročnost a délka přijímacího řízení. Vyhodnocujeme řadu podkladových materiálů, zájemci musí absolvovat několikastupňové psychologické vyšetření a v neposlední řadě získat bezpečnostní prověrku na nejvyšší stupně utajení,“ říká ředitel Vojenského zpravodajství Petr Bartovský.
Aktuálně prý nejvíce hledají třeba odborníky na umělou inteligenci, analytiky anebo právě „specialisty ofenzivních činností“, tedy lidi, kteří by stejně jako Václav Borovička a jeho kolegové „legálně hackovali na obranu Česka“.
„Chápeme, že v kyberoblasti je spousta odborníků, kteří nemají formální vzdělání, ale zato mají zkušenosti. I s tím umíme pracovat,“ slibuje Bartovský. „A i když to pro někoho může být překvapující, kybernetická obrana není jen mužskou záležitostí. Hledáme šikovné kolegyně i kolegy, kteří chtějí dělat výjimečnou práci pro náš stát.“
