Kyberútok na Ministerstvo zahraničí. Proč se Číně hodí vidět do zákulisí

Čínští kyberšpioni se nabourali do komunikačního kanálu českého Ministerstva zahraničních věcí. Není to první takový případ, tentokrát ale česká vláda útok nezvykle rozhodně připsala konkrétní hackerské skupině s vazbami na čínský bezpečnostní aparát. Co víme o tom, o jaká data čínské straně šlo a k jakým informacím se nakonec dostala, probíráme v podcastu 5:59 s expertem na kyberbezpečnost.

Nebývale ostré prohlášení kabinetu Petra Fialy na adresu čínské vlády a předvolání čínského velvyslance v Praze do Černínského paláce - to byla reakce, k níž minulý týden česká strana přistoupila v souvislosti s odhalenými kyberšpionážními aktivitami, připsanými tzv. skupině APT31 (z anglického Advanced Persistent Threat - pokročilá trvalá hrozba), jež má pracovat pro čínskou vládu.

A je to právě veřejné atribuování útoku konkrétnímu pachateli s vazbami na čínský bezpečnostní aparát, co je v tomto případě nové. Dříve Česká republika na tak konkrétní úroveň nešla, případně tak činila v rámci kolektivní akce.

„Je to poprvé, kdy česká vláda použila atribuční proces, na kterém se pár let pracovalo, aby dobře fungoval. Není to jen politické vyjádření na úrovni vlády. Je to výsledek - troufnu si tvrdit - několikaměsíčního procesu, kdy různé organizace v rámci státního aparátu dávaly svoje vstupy, komunikovaly se zahraničními partnery a pak se v nějaké užší pracovní skupině udělala atribuce,“ uvádí v podcastu 5:59 Michal Thim, odborník na kybernetické hrozby a bezpečnost, analytik projektu Sinopsis a spoluzakladatel bulletinu Cybule.cz.

Skupina APT31 není neznámou veličinou ani v českém prostředí. Ministr zahraničí Jan Lipavský se v jejím hledáčku ocitl už dříve, ještě před svým ministerským angažmá, coby člen tzv. meziparlamentní aliance k Číně, spolu s mnoha dalšími osobami z celého světa od Británii až po Austrálii.

Tím, kdo APT31 úkoluje, je - jak říká Michal Thim - „téměř jistě čínské ministerstvo státní bezpečnosti, což je v zásadě čínská tajná služba, která se zabývá externí špionáží“. Druhou identitou skupiny APT31 dříve byla firma Wuhan Xiaoruizhi, někdy zkracovaná na Wuhan XRZ, která se podle Thima „tvářila, že nabízí různá kyberbezpečnostní řešení, ale s největší pravděpodobností šlo o krytí právě pro zpravodajskou aktivitu čínského ministerstva státní bezpečnosti“.

Ministr Lipavský na vládní tiskové konferenci ujišťoval, že materiály, k nimž se čínští hackeři na nezabezpečené komunikační platformě českého Ministerstva zahraničních věcí dostali, nebyly utajované povahy. Podle experta to ale neznamená, že takové informace nemají pro Čínu váhu.

„Přes e-maily se toho řeší opravdu hodně. A pokud ten útočník tu e-mailovou komunikaci sleduje delší časové období, je schopen nasbírat informace, jež by ve své sumě třeba vydaly za materiál, který už by za utajení stál,“ říká Michal Thim.

K útoku navíc mělo docházet i v době, kdy Česko předsedalo Evropské unii a mělo tudíž intenzivnější komunikaci se zahraničními partnery, kde mohly být i citlivé informace. Nejde totiž jen o to, co se komunikuje, ale také jak, případně co se nekomunikuje a proč.

„Představte si, že se třeba zpracovává nějaký dokument, který má ve své finální podobě být poslán do Evropské komise, a teď si to jednotlivé odbory na Ministerstvu zahraničních věcí mezi sebou posílají, dělají se tam různé změny apod. Z toho může útočník vyčíst, co je prioritou, proč se některé věci komunikují a jiné ne. A když to děláte dlouhodobě, získáte docela přesný obrázek, jak to ministerstvo funguje, nebo proč si některé věci Česká republika nechává pro sebe,“ vysvětluje expert na kyberbezpečnost.

Kromě toho mohla čínská strana podle Thima dlouhodobým nahlížením do komunikace ministerských úředníků získat vhled a informace využitelné při potenciálních dalších útocích: „Vědí přesně koho kontaktovat a jaké informace uvést, aby e-mail, ve kterém by posílali třeba nějaký malware, vypadal důvěryhodně, protože se budou odkazovat na nějakou předchozí komunikaci.“

Čína obvinění české strany odmítá a v reakci na veřejnou atribuci kyberšpionážního útoku českou stranu vyzvala, „aby okamžitě napravila své nesprávné postupy, ukončila ‚mikrofonovou diplomacii‘ a skutečně dodržovala a plnila rámec odpovědného chování států OSN a objektivně a spravedlivě přistupovala k otázkám kybernetické bezpečnosti“.

Podle Michala Thima nicméně není pochyb, že kyberšpionážní kampaně vedené Čínou probíhají nepřetržitě. Právě proto je ale podle něj třeba nerezignovat na snahy o zvýšení kyberbezpečnosti. Pomoci by v tom prý mohl i nový kybernetický zákon, který nedávno prošel Sněmovnou a nyní čeká na schválení v Senátu. Mimo jiné proto, že umožní zakázat umístění potenciálně rizikových technologií z Číny do systému kritické infrastruktury státu.

V podcastu 5:59 se také dozvíte, proč čínské kyberšpionážní útoky, dříve spojované s čínskou armádou a jejími hackery, nyní řídí jiná státní složka, nebo kam upírá Peking při svém globálním tajném sběru dat největší zájem. Poslechněte si v přehrávači v úvodu článku.