Důkaz. Ministerstvo zahraničí se stalo terčem kyberšpionů čínské vlády

Když v únoru někdo neznámý nahrál na server GitHub složku zhruba 580 souborů, vyvolalo to v globální bezpečnostní komunitě pozdvižení.

Experti totiž byli schopni potvrdit, že sbírka dat dává autentický a dosud nevídaný vhled do hackerských operací Číny - respektive šanghajské firmy I-Soon, která krade citlivá data jiných zemí a prodává je čínským tajným službám – v reklamních prospektech se chlubí, že dokáže napadnout oběti po celém světě, aniž by na to kdokoliv přišel.

Mezi uniklými soubory doteď bez povšimnutí zůstával obrázek pojmenovaný 07f179c5-5705-4dbd-94a7-66eed1e066b0_0.png. Přitom odhaluje, že mezi cíli kyberšpionů byla i česká vláda. A to v době, kdy Česká republika byla v roce 2022 předsednickou zemí Evropské unie a kdy se kvůli ruské agresi na Ukrajině řešilo, jak se může Západ ostřihnout od energetické závislosti na Vladimiru Putinovi.

Zmíněný snímek zvěčnil obsah počítačové složky pojmenované „MZV“ z interního systému I-Soon - podle názvů jde mimo jiné právě o plány českého předsednictví EU a o archivy e-mailové komunikace mezi českými a zahraničními diplomaty.

Seznam Zprávy na to upozornil někdejší vysoce postavený kyberexpert státní správy, který dnes pracuje pro soukromý sektor a kvůli bezpečnosti chce zůstat v anonymitě. Svou analýzu souběžně zveřejnil na odborném portále Cybule.cz.

Že čínští hackeři k citlivým souborům české vlády mohli získat přístup, ministerstvo zahraničí na dotazy reportérů nepopřelo.

„MZV se tímto případem zabývalo a šetřilo jej v rámci procesu řešení kybernetických bezpečnostních událostí a incidentů. Informace z takových šetření však nelze z pochopitelných důvodů poskytovat,“ reagoval mluvčí ministerstva zahraničí Daniel Drake.

Další souvislosti Černínský palác komentovat odmítl. Nesdělil například ani to, zda věc řeší s policií.

A případ odmítl komentovat i Národní kybernetický úřad, který ze zákona hackerské incidenty důležitých systémů státu řeší. „Informace máme k dispozici. Blíže se k situaci nebudeme vyjadřovat,“ řekl mluvčí instituce Marek Vala.

Bezpečnostní informační služba, která má v gesci boj proti špionáži, zase poskytla pouze obecný komentář. „Mohu potvrdit, že se BIS společně s dalšími bezpečnostními složkami věnuje dlouhodobě útokům na IT infrastrukturu MZV,“ uvedl mluvčí BIS Ladislav Šticha.

Ve výroční zprávě za rok 2022, jímž jsou výše zmíněné soubory datované, se však kontrarozvědka vyjádřila více explicitně. Čína se podle ní více zaměřila na Česko právě kvůli postavení předsednické země s cílem získat zájmové informace.

„Některé z těchto kybernetických aktivit byly minimálně z části úspěšné,“ uvedla BIS.

Šéf výboru pro zahraniční věci, obranu a bezpečnost Senátu Pavel Fischer, který se čínskému vlivu dlouhodobě věnuje, informaci o české stopě v úniku z I-Soon považuje za velmi závažnou.

„Zprávy, že by režim ČLR měl napadat kybernetickými útoky třetí státy a využívat při tom soukromých firem, mě s ohledem na utajované informace od našich bezpečnostních složek i veřejně dostupné zdroje vůbec nepřekvapují. Je to čínská praxe, proti které se musíme aktivně bránit,“ řekl Fischer.

„O konkrétním útoku nemám informace, které bych mohl sdílet, a proto budu mluvit obecně: pokud by se potvrdily zprávy, že například během našeho předsednictví v Radě EU měla být terčem útoků Česká republika jako předsednická země, pak by šlo o mimořádně vážný útok na celou sedmadvacítku, tedy na všechny členské státy EU27,“ dodal zákonodárce.

Podle kyberexperta, který ve spolupráci se Seznam Zprávami soubory analyzoval, je vysoce pravděpodobné, že čínští kyberšpioni citlivé informace z ministerstva zahraničí skutečně získali.

Byť v úniku dat z firmy I-Soon - stejně jako v případě dalších cílů - samotný obsah souborů dostupný není. Neznámý „vynašeč“ se soustředil nikoliv na hacknutá data, ale na obnažení fungování samotných čínských kyberšpionů.

Soubory pojmenované zčásti česky jsou dle snímku datovány květnem 2022 - tři měsíce po začátku ruské agrese proti Ukrajině a dva měsíce před začátkem předsednictví.

„Je zřejmé, že se útočník dostal k podkladům nastiňujícím pozici České republiky k jedné z priorit českého předsednictví, jehož mimořádnost byla daná i kontextem ruské invaze na Ukrajinu. I neutajované dokumenty mohou nepovolané třetí straně prozradit citlivé informace a množství neutajovaných informací se svým významem může přiblížit utajovaným informacím,“ řekl Seznam Zprávám odborník.

A dal i příklad: „Význam znalosti různých verzí jednoho dokumentu spočívá například v tom, že útočník má schopnost porovnat průběžné verze s finální podobou dokumentu a identifikovat tak citlivá či kontroverzní témata, ať už v rámci dané napadené instituce, nebo v rámci meziresortního či mezistátního vyjednávání,“ dodal s tím, že rozsah útoku může být výrazně větší než jen uvedených 11 souborů.

Zdroje Seznam Zpráv z bezpečnostní komunity přitom uvádějí, že je vysoké riziko, že se mohly interní informace dostat k tomu, komu by se hodily nejvíce - k Rusku.

Peking a Moskva v únoru 2022 vyhlásily „přátelství bez hranic“ a například podle varování amerických tajných služeb v mnoha oblastech spolupracují, aby oslabily vliv Západu ve světě.

„Musíme mít na paměti, že Čína aktivně podporuje Rusko. Pokud by útok Číny měl například pomáhat Rusku v získání informací z přípravných schůzek sedmadvacítky, jednalo by se o ohrožení našich strategických zájmů,“ doplnil Fischer.

Zabezpečení českého ministerstva zahraničí přitom i v minulosti opakovaně úspěšně prolomili nejen čínští, ale právě i ruští hackeři.

Naposledy to vyšlo najevo v roce 2017. Nedůvěra českých diplomatů ve vlastní IT systémy nabobtnala do té míry, že například pro e-mailovou komunikaci podle zdrojů Seznam Zpráv začali místo oficiálních schránek ministerstva používat e-maily nabízené zdarma jinými provozovateli.

Ministerstvo zahraničí nyní vedené Janem Lipavským (Piráti) zdůrazňuje, že se bezpečnost svých systémů pokouší zvýšit.

„Na zvyšování bezpečnosti svých sítí MZV pracuje soustavně, zavedená nebo zaváděná opatření ale opět nelze komentovat; jednalo by se o kontraproduktivní aktivitu, která by mohla zvýšit riziko úspěšnosti budoucích kybernetických útoků,“ dodal mluvčí Černínského paláce Drake.

Podle zdrojů Seznam Zpráv z bezpečnostní komunity se ministerstvo už roky pokouší vybudovat zcela novou síť, protože není jasné, jaké přesně části té dosud používané jsou nebo mohou být kompromitované hackery, a odkud tak informace unikají.

Jiné čínské hackerské skupině nazývané APT31 čelil i sám Lipavský, ještě jako opoziční poslanec. Předseda senátního výboru Fischer Seznam Zprávám potvrdil, že byl rovněž cílem skupiny APT31.

V roce 2021 se podle nedávného oznámení USA či Velké Británie APT31 pokoušela získávat informace o západních zákonodárcích sdružených v organizaci IPAC, která se zaměřuje na hrozby Číny. USA nyní sedm členů skupiny obvinily z trestné činnosti a vypsaly za informace o nich odměnu až 10 milionů dolarů. Velká Británie je sankcionovala.

Jak a zda bude Česko reagovat na I-Soon, zůstává nejasné. Ministerstvo zahraničí zatím nerozhodlo, ani jak přistoupí k čínskému diplomatovi, kterého zase česká policie podezřívá, že v Praze sledoval zvolenou viceprezidentku Tchaj-wanu a málem způsobil dopravní nehodu, jak Seznam Zprávy informovaly minulý týden.