České nemocnice, Merkelová, USA, Ukrajina. Ruští hackeři to zkoušejí všude

„Každým dnem se snažím budovat lepší vztahy s Ruskem, na druhé straně tu jsou ale důkazy, že Rusové dělají tohle,“ prohlásila před deseti dny německá kancléřka Angela Merkelová poté, co potvrdila napadení ruskými hackery.

Kancéřka odpovídala v Bundestagu na otázku poslance, který se jí zeptal, zda je pravdivá zpráva týdeníku Der Spiegel o tom, že se k její e-mailové korespondenci dostali v roce 2015 agenti ruské tajné služby GRU. Ano, té samé, která vyslala své lidi zavraždit někdejšího agenta Sergeje Skripala a podle týdeníku Respekt ohrožuje životy pražských komunálních politiků.

„Bolí mě to,“ řekla o hackerských útocích Merkelová a označila je za pobuřující. Útok na počítačový systém německého parlamentu vyšetřovaly tamní tajné služby. V roce 2016 došly k závěru, že za ním stojí hackerská skupina Fancy Bear pracující ve službách ruského státu. Stejná skupina je podezřelá i ze snahy ovlivnit americké prezidentské volby.

Americká FBI vydala před dvěma lety zatykač na jednoho z členů skupiny - Dmitrije Sergejeviče Badina.

Rusové se ale ani po odhalení svých aktivit nevzdali - další útok na IT systém německé vlády přišel v roce 2018. I proto se dnes Merkelová domnívá, že „kybernetická dezorientace a zkreslování faktů“ jsou součástí oficiální ruské strategie.

Moskva obvinění z úst německé kancléřky nepřekvapivě o dva dny později popřela. „Neexistuje žádný fakt svědčící proti Rusku,“ řekl šéf ruské diplomacie Sergej Lavrov a zdůraznil, že důkazy o ruském počítačovém pirátství se neobjevily ani pět let po útoku.

K odvetě se zatím Německo neodhodlalo, nebo o tom alespoň nejsou žádné zprávy. Klasickou cestou by bylo předvolání si ruského velvyslance nebo vypovězení několika ruských diplomatů, jako se tomu stalo už vloni v prosinci. To by ale bezpochyby vyvolalo protireakci Moskvy, která by zase poslala domů část německých diplomatů. Podobně jako v Praze se i v Berlíně má za to, že značná část diplomatického sboru ambasády jsou ve skutečnosti špioni.

Americký deník The New York Times zmiňuje i další možnou taktiku, cílené sankce ze strany Evropské unie. Ta by mohla uvalit zákazy vstupu a zmrazit bankovní konta jednotlivcům podezřelým z podílu na útocích.

Uvalení sankcí ale obvykle předchází předložení důkazů o původcích útoku. A to obvykle není jednoduché. Útok na české nemocnice je toho typickým příkladem, příliš vyjadřovat se k němu nechce ani Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). „Uvedené informace nejsou od nás. Zjistit původce podobných útoků je většinou složité a v řadě případů to s jistotou nelze říct,“ říká mluvčí úřadu Radek Holý.

Na začátku května se objevily i zprávy o hackerských útocích na laboratoře ve Velké Británii a Spojených státech. Podle britské televize Sky News se jich nejspíš dopustili hackeři zejména z Ruska, ale i Íránu a Číny, kteří měli v laboratořích špehovat vývoj koronavirové vakcíny.

Kyberútočníci se zaměřili na farmaceutické společnosti, národní i mezinárodní zdravotnické orgány a právě výzkumné organizace. „V pozadí těchto útoků jsou různé motivace a cíle, od podvodu až po špionáž,“ řekl k útokům britský ministr zahraničí Dominic Raab.

„Očekáváme, že tento druh predátorského trestného jednání bude pokračovat a že se v příštích týdnech a měsících bude vyvíjet. Pro boj s takovou hrozbou přijímáme řadu opatření,“ uvedl Raab na začátku května. „Jsme naprosto odhodlaní porazit koronavirus a také ty, kteří se snaží této situace využít kvůli vlastním hanebným zájmům,“ dodal ministr. Hackerům se ale tehdy údajně dostat do systémů společností nepodařilo.

Útoky ve společném prohlášení potvrdily americká agentura CISA, která spadá pod ministerstvo vnitřní bezpečnosti, a britské Národní středisko kybernetické společnosti (NCSC). Útoky označily za „zákeřnou kyberkampaň“ a blíže nespecifikovaly, o jaké skupiny se v případě hackerů jedná. Uvedly však, že jde o hráče, kteří představují „Advanced Persistent Threat“, tedy pokročilou vytrvalou hrozbu – obvykle jde o aktivity státních složek nebo státem podporovaných hackerů.

Podle bezpečnostních agentur měli pachatelé při snaze proniknout do interních systémů použít metodu „kropení hesel“, při které se hackeři pokouší dostat do jednotlivých účtů za pomoci často používaných, jednoduchých hesel. Jedná se třeba o po sobě jdoucí čísla nebo písmena. Bezpečnostní složky proto vyzvaly pracovníky napadených společností, aby hesla změnili a začali používat při vstupu do systémů dvoufázové ověření, na něž by použitá hackerská metoda nefungovala.

Není to zároveň poprvé, co americká agentura CISA spojila síly s britským střediskem NCSC. Před měsícem stejné úřady upozorňovaly na snahu hackerů zneužít slabin v systémech podporujících práci z domova či infikovat cílová zařízení za pomoci podvodných e-mailů zdánlivě od Světové zdravotnické organizace.

Nové metody a postupy hackerských útoků si Rusové pravidelně zkoušejí na sousední Ukrajině. Svědčí o tom rozsáhlá zpráva americké firmy Sentinel Labs, která se specializuje na kybernetickou bezpečnost. „Ukrajina je z velké části testovacím polem pro ruské kybernetické útoky,“ míní její autor Vitali Kremez citovaný časopisem Forbes.

Kremez se ve své únorové zprávě věnoval hackerské skupině Gameredon, jež útočí na strategické počítačové systémy ukrajinského státu - na vládu, bezpečnostní složky i další důležité instituce. Hackeři už napadli v zemi na pět tisíc cílů, píše se v Kremezově zprávě. Nejde ale o skutečné útoky s ničivým účinkem, spíše o přípravné a testovací útoky, kterými Rusko zkouší připravenost nepřítele a zároveň zjišťuje, zda by je mohlo použít i jinde.

Gameredon se v kyberprostoru začal objevovat v roce 2013 a od té doby výrazně zvýšil své útočné kapacity. K jeho útokům dochází i v době relativního klidu zbraní mezi oběma zeměmi - hackerství nastupuje i v době, kdy jsou konvenční střety příliš drahé či nebezpečné. Na rozdíl od vojenského útoku je v oblasti kyberbezpečnosti jen velice obtížné jasně určit viníka a získat pro své tvrzení důkazy.