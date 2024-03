Vojenské zpravodajství poprvé aktivně zasáhlo v kybernetickém prostoru. Odstavilo ruské hackery napojené na vojenskou rozvědku GRU od zařízení, přes které vedli především špionážní kampaň proti českým vládním cílům. Akce vojenské tajné služby byla součástí globálního úderu koordinovaného americkou FBI. Aktuálně.cz mluvilo s klíčovými muži operace v Česku.

Ve středu 17. ledna se ředitel Vojenského zpravodajství Jan Beroun spojil s ministryní obrany Janou Černochovou (ODS). Informoval ji o záměru svých lidí podniknout vůbec první aktivní zásah v kybernetickém prostoru. Krátce poté následovala už formální žádost o povolení operace, kterou ministryně schválila.

Obrana Česka v kyberprostředí je podle zákona odpovědností právě Vojenského zpravodajství, na starost ji má od července 2021. Slouží jí k tomu několik nástrojů různé povahy a intenzity. Aktivní protiúder je řešením poslední instance. A přesně na takový krok nastal čas, jak Aktuálně.cz popsali důstojníci vojenské tajné služby.

"Tento ruský aktér je známý tím, že sbírá informace strategického charakteru. A v České republice šlo o takové instituce, že jsme to vyhodnotili jako závažné," vysvětlil důvod zásahu plukovník Václav Borovička, ředitel Národního centra kybernetických operací, jež je v rámci tajné služby k obraně IT prostředí určené.

Hackeři napojení na GRU

Plukovník mluví o skupině APT 28 napojené na ruskou vojenskou rozvědku GRU. Zneužívala kompromitovanou infrastrukturu routerů používaných v malých podnicích i domácnostech k připojení na internet. Jejím prostřednictvím podnikala špionážní útoky v mnoha zemích, cílila i na zdejší vládní instituce. Na území Česka se nacházelo několik desítek takových zařízení.

Kvůli bezpečnosti nemůže plukovník Borovička prozradit, jaké konkrétní cíle Rusové zvolili nebo kolik důležitých informací získali. Zástupce šéfa Vojenského zpravodajství pro technickou sekci, generál Václav Žid, však říká, že povaha zájmu Rusů vyplývá z pozice Česka na mezinárodní scéně.

"Řeší to, co je pro ně zajímavé, důležité a kde sbírat informace. Když si uvědomíme současnou pozici České republiky vůči Rusku, kdy se zaobíráme podporou Ukrajiny, sháněním zbraní, munice nebo tanků, to je to, co je zajímá," vysvětlil Žid. Rusové využívali infrastrukturu k aktivitám několik měsíců.

Mlácení krtka kladivem

Skupina APT 28 ji vybudovala díky technickým zranitelnostem a slabým místům routerů. Ta Rusům dovolila zneužít škodlivý software zvaný Mobot, přes který pak dalšími kroky síť ovládli. S takto vytvořenou špionážní platformou zacházeli různými způsoby.

"Využívali ji ke sběru přihlašovacích údajů, které používali pro další útoky. Nechali si tam posílat získaná data z phishingových kampaní (internetový podvod, typicky e-mail, založený na falešné identitě s cílem vylákat z oběti citlivé údaje - pozn. red.) nebo ji používali jako krytí těchto aktivit," vysvětluje Borovička.

Obranný úder provedl operační tým působící v rámci Národního centra kybernetických operací. Zjednodušeně řečeno IT prostředky, které měl k dispozici, odstranil chyby v kompromitovaných zařízeních tak, že do nich Rusové ztratili přístup. Vybudovaný špionážní systém se tak zhroutil.

"Přirovnal bych to k pouťové atrakci, kdy z různých míst vyskakuje krtek a vy se ho snažíte praštit kladivem. Ta atrakce byla jejich infrastruktura. Kolegové pak zaútočili přímo na mechanismus, který toho krtka ovládá. Tím přestal vyskakovat," popisuje podstatu zásahu generál Žid.

Impuls od spojenců z USA

Operaci předcházel impuls od FBI. Americký Federální úřad pro vyšetřování odhalil obdobnou ruskou síť na domácí půdě. Současně vytipoval země, jež by mohly mít stejné problémy. Obrátil se pak na jejich tajné služby či odpovědné instituce s výzvou ke koordinovanému zásahu s krycím názvem Dying Ember. Mezi oslovenými bylo i Česko.

"Je důležité umět postihnout co největší část infrastruktury. Protože pokud bychom provedli jenom naši část, na útočníka by to nemělo takový efekt, jako když se aktivní zásah provede v mnohem širším měřítku se spojenci," vysvětlil Borovička. V kolika zemích operace proběhla, je tajné.

Vojenští zpravodajci před samotným úderem museli ověřit, zda zmíněná špionážní platforma fungovala i v Česku. Zásah se nanečisto testoval v nasimulovaných podmínkách. Současně probíhala právní analýza, zda jsou splněny zákonné podmínky k akci. Protože stručně řečeno: tajná služba invazivním způsobem vstoupila do soukromých zařízení.

"Tým byl pod časovým tlakem, který spočíval v koordinaci globálního zásahu, přípravě právních analýz k přesvědčení politické reprezentace a trénování zásahu na polygonu. V těch dnech to vůbec nevypadalo tak, že by členové týmu měli běžnou pracovní dobu a pak šli domů," popsal rozhodující dny generál Žid.

Šéf FBI: Tato kriminalita je nepřijatelná

Americké ministerstvo spravedlnosti, jemuž se FBI zodpovídá, informovalo o úspěšné operaci 15. února. Vojenské zpravodajství oznámilo podíl na akci o den později. V tu chvíli už od něj nějakou dobu měli informace o výsledcích zásahu Fialova vláda, náčelník generálního štábu Karel Řehka, ředitel Národního úřadu pro kybernetickou a informační bezpečnost Lukáš Kintr a zbylé dvě tajné služby.

"Operace Dying Ember byla mezinárodním úsilím k nápravě více než tisíce kompromitovaných routerů patřících obětem ve Spojených státech a po celém světě, na které se zaměřili zákeřní ruští aktéři, aby získali zpravodajské informace," řekla zvláštní pověřená agentka Jodi Cohenová z pobočky FBI v Bostonu.

Ředitel FBI Christopher Wray byl předposlední únorový týden v Praze. Jednal se šéfy služeb, ministrem vnitra Vítem Rakušanem (STAN) či ministryní obrany Černochovou. Podle informací Aktuálně.cz jí dal za příklad úspěšné spolupráce FBI a Vojenského zpravodajství právě operaci Dying Ember.

"Tento typ kriminality je prostě nepřijatelný a FBI ve spolupráci s našimi domácími a mezinárodními partnery nedovolí, aby ruské tajné služby negativně zasahovaly do života amerického lidu a našich spojenců," uvedl ředitel Wray ve vyjádření publikovaném americkým ministerstvem spravedlnosti.