Předminulý týden se ukázalo, že hackeři možná i více než dva měsíce zneužívají závažné bezpečnostní zranitelnosti v e-mailových serverech společnosti Microsoft, která jim umožňuje servery přes internet jednoduše ovládnout. Samotný americký softwarový gigant za prvotního původce útoku označil čínskou vládní skupinu přezdívanou Hafnium a vydal bezpečnostní záplaty. Dle odhadů může být po celém světě více než čtvrt milionu napadených subjektů.
Experti ovšem varovali, že to je jen začátek a může přijít mnohem závažnější druhá vlna útoků. Taková "zadní vrátka" totiž mohou posloužit k tomu, aby se v počítačích stovek tisíc veřejných institucí i firem po celém světě útočníci dlouhodobě usídlili a získávali z nich utajeně i citlivější informace než e-maily. Případně je dle libosti zcela vyřadili. A to i po ucpání původních bezpečnostních děr. Hrozba, kterou například v USA řeší přímo špičky administrativy Joea Bidena, se nyní potvrzuje i v Česku.
Pátrání Respektu a Aktuálně.cz ukazuje, že čeští kyberbezpečnostní odborníci odhalili útočníky, kteří se pokusili zahnízdit v interních systémech Zdravotnického zařízení Ministerstva vnitra. Tedy instituce, která mimo jiné zajišťuje lékařské prohlídky pracovníkům ministerstva i jemu podřízených bezpečnostních složek. Jeho systémy tak protékají vysoce citlivé osobní informace o lidech, kteří jsou cílem zájmu zahraničních špionů. Experti také nalezli útočníky v některých systémech Hasičského záchranného sboru, který rovněž patří pod ministerstvo vnitra.
Ministr Jan Hamáček nechtěl konkrétní cíle hackerů potvrdit. Připustil ale, že se do systémů některých institucí spadajících do jeho resortu dostali. "Já můžu potvrdit, že v resortu ministerstva vnitra došlo ke dvěma případům, které se ale nedotkly páteřních sítí nebo systému samotného ministerstva. Na oba tyto případy jsme reagovali ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost. V současné době jsou problémy odstraněny. Konkrétní lokalitu nemůžu sdělit," řekl Aktuálně.cz a Respektu Hamáček.
Dle několika zdrojů redakcí přitom experti v systémech zdravotnického zařízení odhalili a odstranili dva škodlivé kódy, které umožňovaly dlouhodobě z nich vysávat informace. Dle "západních" expertů Čína v posledních měsících koronavirové pandemie útočí na západní zdravotnická zařízení ve zvýšené míře. Její hackeři například ukradli ze sítí Evropské lékové agentury (EMA) část dokumentů týkajících se protikoronavirových vakcín.
Zda zadní vrátka umístili hackeři řízení přímo čínskou komunistickou vládou se špionážními úmysly i do počítačů ministerstva vnitra, ale není potvrzené.
Dle bezpečnostních odborníků totiž začala stejné zranitelnosti jako hackerská skupina Hafnium v posledních týdnech zneužívat minimálně desítka hackerských skupin. Informovala o tom před týdnem například slovenská antivirová firma Eset. Některé z nich mají rovněž vazby na čínskou vládu, jiné jsou komerční skupiny, které na napadání počítačů a prodeji informací chtějí vydělat. Ve vzniklém chaosu je reálného původce a jeho úmysly mimořádně obtížné odhalit.
Použili hackeři proti Microsoftu jeho vlastní záplaty?
Uznávaný americký expert Brian Krebs cituje své zdroje z bezpečnostních složek, dle kterých v některých systémech jejich obránci odhalili až osmero různých zadních vrátek, kterými bylo možné se do nich nepozorovaně dostat i po opravení původních chyb.
Wall Street Journal informoval, že Microsoft nyní vyšetřuje, zda informace, jak závažné bezpečnostní chyby zneužít, neunikly k hackerům přímo od něj. K masivnímu nárůstu počtu útoků totiž došlo zhruba týden předtím, než bezpečnostní záplaty Microsoft vydal. Do té doby byla zřejmě zranitelnost známá jen úzkému okruhu útočníků.
Microsoft se ovšem následně dopředu o podrobnosti chyb podělil se sítí svých bezpečnostních partnerů. Program, který to umožňuje, zahrnuje 80 firem, desítka z nich sídlí v Číně. Společnosti jsou nyní terčem vyšetřování, zda úmyslně či neúmyslně následně informace nepředaly hackerům.
Ve hře je ale i varianta, že se čínští vládní hackeři o své znalosti s komerčními "kolegy" podělili záměrně. Podobná taktika má z pohledu vládních hackerů další výhodu - bezpečnostní odborníci, kteří proti nim bojují, jsou množstvím napadených cílů přetížení, což může výrazně prodloužit dobu, po kterou budou mít útočníci do počítačů přístup. Vše přitom nasvědčuje tomu, že prolomená ochrana Zdravotnického zařízení Ministerstva vnitra je jen zlomek toho, co v posledních týdnech útočníci ve vládních počítačích v Česku páchají.
Experti stále pracují s verzí, že prolomena je ochrana všech institucí, které oblíbené e-mailové servery od Microsoftu používají. A těch jsou tisíce. Přítomnost hackerů zatím dle několika zdrojů Aktuálně.cz a Respektu experti odhalili i u některých českých nemocnic, které nyní zápolí s náporem pacientů s covidem. V rozsáhlé operaci ale stále prověřují i to, zda nebylo napadeno ministerstvo obrany, vnitra, bezpečnostní služby či Úřad vlády. U mnohých organizací to zatím s jistotou nedokážou říci.
Vládní kyberúřad: Nařizujeme vám instalaci oprav
V Česku zatím veřejně útok na magistrátní systémy přiznal pražský primátor Zdeněk Hřib (Piráti) a Seznam Zprávám ho také potvrdila ministryně práce a sociálních věcí Jana Maláčová (ČSSD) s tím, že k úniku dat nedošlo.
V pátek Národní úřad pro kybernetickou bezpečnost (NÚKIB) využil své zákonné pravomoci a povinně nařídil všem institucím spadajícím do kritické infrastruktury, aby bezpečnostní záplaty vydané Microsoftem nainstalovaly. A zároveň pátraly po stopách toho, zda se v jejich počítačích hackeři neusídlili. Přes závažnou situaci to totiž mnohé z nich do té doby neudělaly. Do té doby takový postup NÚKIB pouze důrazně doporučoval.
"O využití reaktivního opatření jsme uvažovali od začátku, ale jelikož se problém netýká zdaleka jen systémů regulovaných podle zákona o kybernetické bezpečnosti, rozhodli jsme se napřed plošně informovat našimi komunikačními kanály. Postupně přicházející informace z celého světa o závažnosti tohoto incidentu v kombinaci s našimi zjištěními o obecně pomalém postupu subjektů při reakci na tuto hrozbu nás vedly k rozhodnutí reaktivní opatření vydat," vysvětluje důvody aktuálního kroku ředitel NÚKIB Karel Řehka.
Konkrétní napadené či ubráněné instituce NÚKIB upřesnit odmítá, aby hackerům neposkytoval další informace.
Samotný Microsoft varoval subjekty, které jeho e-mailové servery využívají, aby si zálohovaly svá data. Už se totiž objevují případy, kdy útočníci využijí přístup do systémů k tomu, aby je zašifrovali a následně žádali výkupné. Podobný útok vyděračského viru loni donutil Fakultní nemocnici Brno vrátit se načas od počítačů k papíru a NCOZ dodnes vyšetřuje, kdo způsobil škodu zhruba 150 milionů korun.
Hafnium
- Skupina, za níž dle Microsoftu stojí čínská vláda, se dosud soustředila primárně na cíle v USA. Mezi nimi na výzkumníky infekčních chorob, právní firmy, vysoké školy, armádní dodavatele, think tanky nebo neziskové organizace.
- Napadala je za pomocí prolomení zabezpečení jejich serverů připojených k internetu. Jakmile takto hackeři získali přístup k síti svých obětí, ukradli data.
- Hafnium dle Microsoftu sice sídlí v Číně, ke svým operacím ale primárně používá počítače, které si pronajme v USA. Jejich aktivity je tak obtížnější odhalit.
