Microsoft Exchange Server je mimořádně populární řešení, které zajišťuje posílání e-mailů českým ministerstvům, radnicím, nemocnicím či policii. A také stovkám tisíc dalších institucí po celém světě. Před týdnem se ukázalo, že hackeři zneužívají sérii bezpečnostních zranitelností, která jim umožňuje jednoduše převzít na dálku nad servery kontrolu.
V Česku veřejně útok na magistrátní systémy přiznal zatím pražský primátor Zdeněk Hřib (Piráti) a Seznam Zprávám ho také potvrdila ministryně práce a sociálních věcí Jana Maláčová (ČSSD) s tím, že k úniku dat nedošlo. Dle několika informovaných zdrojů Aktuálně.cz a Respektu je ale útok mnohem rozsáhlejší a hrozba zdaleka není zažehnaná. Bezpečnostní experti státu pracují s verzí, že může být zasažená prakticky každá instituce, která v Česku mailový software od Microsoftu používá. A těch jsou tisíce.
Přítomnost hackerů zatím dle několika zdrojů Aktuálně.cz a Respektu experti odhalili i u některých českých nemocnic, které nyní zápolí s náporem pacientů s covidem. V rozsáhlé operaci ale prověřují i to, zda nebylo napadeno ministerstvo obrany, vnitra, bezpečnostní služby či úřad vlády. U mnohých organizací to zatím s jistotou nedokáží říci. České bezpečnostní instituce situaci podle zdrojů redakcí považují za vážnou.
Navíc se odborníci také připravují na to, že "děravé" e-mailové servery hackerům posloužily k tomu, aby si vybudovali předpolí pro další fázi útoků - ta už může zasáhnout kritičtější systémy státní správy, vyřadit je či umožnit z nich krádež citlivých dat. Proto se nyní experti pokoušejí zachytit jakékoliv stopy toho, že útočníci v systémech zůstali i potom, co samotná nechtěná "zadní vrátka", kterými se dovnitř dostali, administrátoři uzavřeli.
Microsoft vydal před týdnem opravu bezpečnostních děr. Útočníci ale měli na to, aby se v systémech zabydleli, i několik týdnů. Dle bezpečnostního odborníka Briana Krebse sám Microsoft o mezerách v zabezpečení věděl minimálně od 5. ledna. Záplata je k dispozici od 2. března. Už v lednu kyberfirmy zachytily internetový provoz, který svědčil o tom, že chyby hackeři aktivně zneužívají. Například už na začátku ledna ho identifikovala bezpečnostní firma Volexity.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který má v Česku na starosti ochranu kritické infrastruktury před hackery, před zranitelností systémů varoval 3. března, jakmile Microsoft vydal záplaty. A doporučil, aby instituce instalaci aktualizací přisoudily nejvyšší prioritu. Zároveň ovšem zdůraznil, že tento krok nemusí stačit.
"Upozorňujeme, že nainstalování aktualizace nevyřeší situaci, kdy už je server kompromitován," varuje NÚKIB. Zdaleka ne všichni stihli navíc opravy nainstalovat. Ještě v pátek podle některých scanů záplatu mělo jen zhruba 10 procent serverů připojených po světě k internetu. Dle zdrojů Respektu a Aktuálně.cz opravu přes varování NÚKIB dostatečně rychle neuplatily ani některé české instituce. Číslo ale roste. Kyberúřad přitom doporučuje "považovat server za kompromitovaný, dokud se neprokáže opak".
Na jak velké škody zatím NÚKIB přišel, komentovat nechce. Jeho představitelé odkazují pouze na páteční prohlášení zveřejněné na webu. "NÚKIB spolu s dalšími partnery, včetně Národní centrály proti organizovanému zločinu, v tuto chvíli pomáhá zasaženým organizacím tuto situaci řešit a minimalizovat rozsah škod. Bližší informace o rozsahu incidentu či postižených subjektech však nebudeme poskytovat," uvádějí experti.
Útočí Čína nebo amatéři? Chyby nyní zneužívá hned několik skupin hackerů
Čeští bezpečnostní experti se nyní pokoušejí vyšetřit i to, kdo přesně české instituce napadá a s jakým záměrem. Původní útok samotný Microsoft připisuje hackerské skupině nazývané Hafnium, za níž stojí čínská komunistická vláda a jsou jí připisovány špionážní cíle. V posledních týdnech se ale znalost techniky útoku rozšířila natolik, že je začaly provádět běžné komerční skupiny útočníků, kteří na nich chtějí vydělat. Například server MIT Technology Review uvádí, že už v sobotu rozsáhle napadaly servery minimálně čtyři další hackerské skupiny.
Hafnium
- Skupina, za níž dle Microsoftu stojí čínská vláda, se dosud soustředila primárně na cíle v USA. Mezi nimi na výzkumníky infekčních chorob, právní firmy, vysoké školy, armádní dodavatele, think tanky nebo neziskové organizace.
- Napadala je za pomocí prolomení zabezpečení jejich serverů připojených k internetu. Jakmile takto hackeři získali přístup k síti svých obětí, ukradli data.
- Hafnium dle Microsoftu sice sídlí v Číně, ke svým operacím ale primárně používá počítače, které si pronajme v USA. Jejich aktivity je tak obtížnější odhalit.
Výsledkem je chaos. I čeští experti mimo záznam přiznávají, že zatímco původní útok čínské skupiny mohl být limitovaný na menší počet cílů po světě, které jsou zajímavé z hlediska špionáže, nyní jsou pod palbou prakticky všechny instituce, ale i soukromé firmy, které zranitelné servery Microsoft Exchange využívají.
Experti totiž upozorňují, že neopravené díry dokážou podle dnes už veřejně dostupného návodu zneužít i amatéři. Odhalit záměr i závažnost jednotlivých útoků je tak mimořádně obtížné. Kyberodborníci spekulují, že právě to mohl být cíl původních čínských hackerů, kteří znalost slabých míst rozšířili, aby tak vytvořili kouřovou clonu, v níž lze obtížně rozpoznat jejich skutečné cíle. Zda se přímo čínští vládní hackeři zaměřili i na nějakou českou instituci, nebo například na pražský magistrát cílily až jejich komerční následovníci, v tuto chvíli zůstává nejasné.
Vyhrocené čínsko-české vztahy
Vztahy Česka s Čínou se v posledním roce vyostřily. Pražský primátor Hřib už předloni Čínu popudil, když žádal vyškrtnout z partnerské smlouvy Prahy s Pekingem pasáž o jednotné Číně, která popírala samostatnost ostrovního Tchaj-wanu. Peking následně dohodu vypověděl a Hřib loni uzavřel smlouvu právě s Tchaj-pejí.
Ještě závažněji potom Čína vnímala cestu druhého nejvyššího ústavního činitele Česka Miloše Vystrčila (ODS) na Tchaj-wan, který Čína považuje za svou vzbouřenou provincii. Aktuálně.cz tehdy upozornilo, že předtím čínská ambasáda vyhrožovala Vystrčilovu předchůdci Jaroslavu Kuberovi (ODS) s tím, že v případě uskutečnění cesty budou české firmy platit.
Kontrarozvědka BIS, která má v Česku boj proti zahraničním hrozbám na starost, možný vztah aktivit čínské hackerské skupiny Hafnium a útoků na servery českých institucí komentuje jen obecně. "Není strategické se k podobným případům veřejně vyjadřovat. Pokud by BIS hypoteticky měla zprávy o nějakém vztahu kauzy k České republice, tak by takové informace ihned předávala zákonným adresátům a Policii ČR," reagoval na dotazy Aktuálně.cz a Respektu mluvčí BIS Ladislav Šticha.
Zdroje z administrativy amerického prezidenta Joea Bidena o víkendu CNN řekly, že dle odhadů je nyní úspěšně napadených cílů po celém světě na 250 tisíc a jde o "aktivní hrozbu". Mezi obětmi útoků jsou přitom nemocnice, firmy, vládní instituce i továrny. Americká vláda sestavila speciální tým, který má hrozbě čelit.
Už v půlce minulého týdne varoval na Twitteru před útoky Jake Sullivan, poradce Bílého domu pro národní bezpečnost. Nezvykle otevřeně pak před kybernetickou hrozbou varovala i mluvčí prezidenta Jen Psakiová s tím, že jde o aktivní hrozbu, která může mít rozsáhlé dopady.
Že je jednou z obětí pak tento týden oznámil i Evropský orgán pro bankovnictví (EBA), který má na starosti dohled nad bankovním trhem Evropské unie. Nevyloučil přitom, že unikla z jeho serverů data.
We are closely tracking Microsoft’s emergency patch for previously unknown vulnerabilities in Exchange Server software and reports of potential compromises of U.S. think tanks and defense industrial base entities. We encourage network owners to patch ASAP: https://t.co/Q2K4DYWQud
— Jake Sullivan (@JakeSullivan46) March 5, 2021
Zda incident hodlá řešit nějakými speciálními opatřeními i česká vláda, Aktuálně.cz a Respekt zjišťují. Premiér Andrej Babiš (ANO) na dotazy do vydání textu neodpověděl. Redakce se pokouší získat také vyjádření ministra vnitra Jana Hamáčka (ČSSD) a ministerstva zahraničí.