Hlavní obsah

Maily polské vládě vyloupila skupina spojená s GRU, kradla i v Německu

Foto: Kancelaria Sejmu

Polská parlamentní stráž střeží kuloáry Sejmu při neveřejném jednání o kybernetickém útoku. Snímek z minulé středy.

Reklama

V Polsku dál rezonuje kauza krádeže obsahu e-mailových schránek tamních politiků a úředníků. Vláda označila za útočníka ruskou skupinu UNC1151. Ta byla aktivní i v Německu.

Článek

Na seznamu cílů kybernetického útoku bylo nejméně 4350 polských e-mailových adres, vyplývá ze zjištění polské civilní kontrarozvědky ABW. Útočníkem byla skupina UNC1151 spojená s ruskými zvláštními službami, informoval v úterý mluvčí koordinátora polských tajných služeb Stanisław Żaryn. O ruské lince už mluvil premiéra Mateusz Morawiecki i vicepremiér pro bezpečnost Jarosław Kaczyński.

Mezi tisíci napadenými schránkami je více než 100 kont, které využívají veřejně činné osoby – členové současné vlády i bývalých kabinetů, poslanci, senátoři, komunální politici i nevládní organizace.

Dosud nejznámější obětí je ministr a šéf kanceláře premiéra Michał Dworczyk. Vlivný politik strany Právo a spravedlnost (PiS), který má na starost například koordinaci očkování proti covidu-19, zřejmě podlehl cílenému útoku, tzv. phishingu. Kliknul na falešný odkaz a zadal do něj své údaje. Útočníci se pak do jeho e-mailu dostali jednoduše - pouhým zadáním přihlašovacího jména a hesla. Provozovatel e-mailové schránky navíc napsal, že politik nepoužíval dvoufázové ověření.

Kromě toho, že politik vlezl útočníkům do pasti a neměl svůj e-mail zabezpečený, vyšlo najevo, že svou soukromou e-mailovou schránku používal i k vyřizování pracovních záležitostí. Na komunikační platformě Telegram, která se používá zejména ve východní Evropě, se na kontě Důvěrný rozhovor už druhý týden objevují údajné Dworczykowy e-maily.

Rusko podíl na útocích odmítá

Ruská agentura TASS ve zprávě o polském obvinění Moskvy z kybernetického útoku připomíná, že mluvčí Kremlu Dmitrij Peskov už dříve ruský podíl na útocích odmítl. Podle něj „jsou jakákoli obvinění z účasti Ruska absolutně neopodstatněná“ a považuje je za projev zaslepené rusofobie.

Nápad na nasazení armády proti demonstrantům

Zatím asi nejvýbušnější byl e-mail, ze kterého vyplývá, že vláda loni na podzim uvažovala o možnosti poslat do ulic vojáky. V té době v zemi probíhaly masové protesty proti de facto úplnému zákazu umělého přerušení těhotenství. O scénáři nasazení armády už loni v prosinci informoval Deník Gazeta Prawna.

V údajném Dworczykově e-mailu autor vysvětluje, že by bylo nasazení vojska vnímáno negativně a poškodilo armádu i vládu. Politici PiS upozorňují, že s obsahem e-mailů se mohlo cíleně manipulovat a média by je neměla brát vážně. Sám politik tvrdí, že v soukromé poště neřešil žádné utajované státní záležitosti.

Podle polské kontrarozvědky se do polských e-mailů nabourala skupina UNC1151 v rámci akce Ghostwriter. Jejím cílem je destabilizace politické situace ve střední Evropě a šíření dezinformací. Zpráva americké kybernetické společnosti Mandiant z loňského léta uvádí, že Ghostwriter cílí zejména na Pobaltí a Polsko.

V první fázi šlo o šíření nepravdivých zpráv na sociálních sítích a proruských webech. Hackeři se dostali také do administrativních systémů internetových serverů a měnili obsah publikovaných zpráv. „Kampaň byla namířena především pro uživatele v Litvě, Lotyšsku a Polsku. Témata spočívala v kritice přítomnosti jednotek NATO ve východní Evropě,“ píše se ve zprávě Mandiantu.

Stejná skupina se dostala k e-mailům v Německu

Akce Ghostwriter se letos dotkla i Německa. Týdeník Der Spiegel v dubnu napsal, že se pod útokem ocitlo sedm poslanců Bundestagu a více než 70 poslanců zemských sněmů. Údajně šlo o první akci této skupiny v západoevropských státech.

Německé tajné služby kvůli tomu bily na poplach, v zemi se totiž budou na konci září konat parlamentní volby, a to jen pro dní před volbami v Česku. „Vyhodnotili jsme, že ohrožení kandidátů ve volbách je vysoké. Dále je nutné očekávat útoky v informačním prostoru,“ citovalo Deutsche Welle mluvčího Spolkového úřadu pro bezpečnost informační techniky (BSI).

Kontrarozvědka Spolkové republiky podle německých veřejnoprávních stanic WDR a BR podezírala z „úterku Ghostwriter“ ruskou rozvědku GRU. Uvést to měl před parlamentní komisí ředitel Spolkového úřadu na ochranu ústavy (BfV) Thomas Haldenwang.

Cílem úterku se podle německých médií stali téměř výlučně politici vládních stran CDU/CSU a SPD. Žádné informace z vykradených e-mailů se dosud na veřejnosti, na rozdíl od Polska, neobjevily. Nejspíš za to může i včasný zásah BfV, která dotčené včas informovala a další zákonodárce před hrozbo phishingového útoku varovala.

Pracovní záležitosti v soukromé poště

Útok na polské politiky ukázal, že využívají soukromé e-mailové schránky pro řešení pracovních záležitostí. Z údajných e-mailů ministra Dworczyka je totiž zjevné, že soukromý e-mail používá i premiér nebo mluvčí vlády. Kvůli tomu se na polské ministry snesla ze strany opozice kritika.

V Německu vyšlo najevo, že používání soukromého e-mailu pro práci politikům nic nebrání. „Nelze vyloučit, že členové vlády se ve služebních záležitostech kontaktují prostřednictvím soukromých e-mailových adres,“ uvedl loni v létě německé ministerstvo nitra v odpovědi na poslaneckou interpelaci. Deník Die Welt uvedl, že soukromé adresy při řešení boje s pandemií využíval například spolkový ministr zdravotnictví Jens Spahn z CDU. Podle novin tak politici komunikují kvůli tomu, aby se jejich komunikace neobjevila v oficiálních zápisech.

Zatím nejvážnější kybernetický útok v Německu zaznamenali v roce 2015, kdy útočníci pronikli do interního systému Spolkového sněmu. Odhaduje se, že tehdy ukradli na 16 gigabytů dat. Pronikli také do dvou počítačů v kanceláří spolkové kancléřky Angely Merkelové z CDU.

Německá prokuratura z úterku obvinila ruskou rozvědku GRU a zadržela údajného ruského hackera Dmitrije Badina.

Útoky hackerů v Česku

Kybernetické útoky se nevyhýbají ani Česku. V poslední době se veřejné instituce a firmy potýkaly hlavně s ransomwarovými, tedy vyděračskými hackerskými útoky. Jejich počet podle bezpečnostní firmy Check Point vzrostl v republice od začátku roku o 259 procent a dopad ransomwaru na české společnosti je aktuálně na více než dvojnásobku světového průměru.

Hackerská skupina na začátku dubna například zašifrovala datovou síť olomouckého magistrátu a požadovala výkupné 100 000 dolarů (asi 2,1 milionu korun). Peníze radnice nezaplatila. Magistrát však obnovil všechny vyřazené služby až po několika dnech.

V březnu hackeři napadli například počítačové systémy Správy železnic i Českých drah. Bezpečnost na tratích však neohrozili. Útoky hackerů stojí podniky a organizace miliony korun. Škoda po loňském útoku škodlivého programu na nemocnici v Brně dosahuje řádově stovek milionů korun. Benešovskou nemocnici stál útok hackerů zhruba 50 milionů.

Hackeři v Česku letos napadli i systém veřejné správy, když se jejich cílem staly v březnu mimo jiné pražský magistrát či Ministerstvo práce. Ve stejném měsíci hackeři zaútočili na tři soukromé polikliniky v centru Prahy. Zaútočili také na zdravotnické zařízení Ministerstva vnitra, které má citlivé informace o příslušnících bezpečnostních složek.

V roce 2018 došlo podle Bezpečnostní informační služby (BIS) k napadení neutajované sítě Ministerstva zahraničí pravděpodobně ruskými aktéry. O rok později se kyberútoky státních aktérů nevyhnuly ani zastupitelským úřadům ČR v zahraničí.

Kontrarozvědka se podle své loňské výroční zprávy podílela i na prověřování informační infrastruktury jedné z českých diplomatických misí při mezinárodní organizaci. „Nejméně jedno zařízení bylo na konci roku 2018 kompromitováno v rámci intenzivní celosvětové vlny útoků kyberšpionážní kampaně cizího státního aktéra, s vysokou pravděpodobností opět Ruské federace,“ stojí ve zprávě. Za nakažením bylo podle BIS otevření textového dokumentu v příloze útočného phishingového e-mailu.

Reklama

Doporučované