"Uplynulý rok potvrdil dlouholetý zájem aktérů napojených na Ruskou federaci a Čínskou lidovou republiku o skryté působení v sítích českých strategických institucí. Lze hovořit o minimálně čtyřech separátních pokusech či úspěšných průnicích do sítí těchto organizací," popsal ve zprávě jeden z nejzávažnějších poznatků ředitel Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Lukáš Kintr.
Cílem nepřátelských operací byla kybernetická špionáž. Zjednodušeně řečeno se ruští a čínští hackeři snažili získat citlivé informace státu. Zpráva z bezpečnostních důvodů neuvádí, o jaké instituce se jednalo. Dokument se soustředí především na popis obecných trendů na poli kyberbezpečnosti.
Hlavními motivy roku 2023 byly hackerské útoky a kybekriminalita, přímo úřad musel řešit 262 incidentů. Jde o události, při nichž došlo k porušení kyberbezpečnosti. Nikdy jich nebylo více, v předchozím roce jich úřad napočítal "jen" 146. Typické byly phishing, podvodné útoky s cílem vylákat informace, a vyřazení webových stránek z provozu.
Ruská kyberšpionáž
V souvislosti s kyberšpionáží ukázal úřad na skupiny APT29 a ATP28 napojené na režim ruského vládce Vladimira Putina. První spolupracuje s ruskou civilní rozvědkou SVR, druhá podléhá ruské vojenské rozvědce GRU. APT28 vede útočnou kampaň i proti dalším západním spojencům, cílem byly Bílý dům či struktury NATO.
Ostatně letos v lednu proti ní provedla organizovaný zásah FBI se spojenci, úderu se účastnilo i Vojenské zpravodajství. V květnu se pak vůči skupině vůbec poprvé veřejně vymezilo české ministerstvo zahraničí, výslovně ji spojilo s kyberšpionáží. Rusové k ní využívali zranitelnost aplikace Microsoft Outlook.
"APT28 se na Česko zaměřuje dlouhodobě. Vyzýváme Ruskou federaci, aby těchto aktivit zanechala. Kybernetické útoky proti politickým subjektům, státním institucím a kritické infrastruktuře jsou nejen ohrožením národní bezpečnosti, ale narušují rovněž demokratické procesy, na kterých je založena svobodná společnost," uvedl resort Jana Lipavského (Piráti).
Iránci útočí na vodní hospodářství
Jeden úspěšný průnik připisuje zpráva blíže neoznačené hackerské skupině čínského původu. Podle zprávy pak phishingovou kampaň vedla v Česku čínská skupina Mustang Panda, která "minimálně od ruské invaze na Ukrajinu směřuje značnou část svých aktivit proti evropským cílům, včetně těch českých".
V českém kyberprostoru operuje i severokorejská hackerská skupina Lazarus, jež spadá pod tamní tajnou službu Generální úřad pro průzkum. Známá je také pod názvem Diamond Sleeth. "Ta měla kompromitovat společnosti činné v obranném průmyslu, a to nejenom v tuzemsku, nýbrž i dalších zemích NATO a EU," píše úřad.
Aktivní jsou v Česku také hackeři napojení na Írán. U nich motivace plyne z toho, že Česko stojí v konfliktu v Pásmu Gazy vyvolané teroristickým útokem hnutí Hamás na straně napadeného Izraele. Cílem bylo vodní hospodářství. "Stalo se tak v rámci globální kampaně útočící na subjekty používající přístroje izraelské společnosti Unitronics," uvádí zpráva.
55 útoků na webové stránky
"Ruská agrese na Ukrajině změnila hackerskou scénu. Pokud nějaká skupina měla ruské i ukrajinské členy, rozpadla se. Následně si skupiny vybraly, jestli podporují Rusko. Podle toho došlo k výrazné aktivizaci těchto hackerů," řekl Aktuálně.cz přední odborník a čestný prezident Českého institutu manažerů informační bezpečnosti Aleš Špidla.
Jím zmíněný trend potvrzuje i zpráva NÚKIB. Tito hackeři se projevují především DDoS útoky, jež cíleným zahlcením vyřadí z provozu webové stránky. Loni takto opakovaně dočasně nefungoval web resortu obrany, jehož ministryně Jana Černochová (ODS) aktivně podporuje napadenou Ukrajinu.
Kybernetické incidenty za rok 2023 v číslech
Výroční zpráva NÚKIB shrnuje rok 2023 i podrobnou statistikou. Aktuálně.cz vybírá nejdůležitější čísla.
- 262 incidentů řešených na úrovni NÚKIB
- z toho 217 méně závažných incidentů
- z toho naopak 2 velmi významné incidenty
- 2752 incidentů celkem na úrovni kyberbezpečnosti
- z toho 2064 phishingových útoků
- 18 554 trestných činů v oblasti kyberkriminality a kriminality páchané na internetu
"Zmínit lze útoky v reakci na oznámení materiální či jiné pomoci Kyjevu nebo některá vyjádření českých politických představitelů v souvislosti s ukrajinským konfliktem," píše se ve zprávě. Za tyto akce odpovídá ruskojazyčná skupina NoName057(16), jež loni útočila v Česku ve třech vlnách - na konci ledna, března a července. Útoků bylo celkem 55.
Česko bylo loni čtvrtým nejčastějším cílem této skupiny v Evropě, více se NoName057(16) soustředila jen na Polsko, Ukrajinu a Litvu. Poláci napočítali 118 útoků na své webové stránky. DDoS útoky byly vůbec nejčastějším typem kybernetických incidentů, svým dopadem se ale řadí mezi méně závažné. Web je mimo provoz nejdéle hodiny.
Vydírání Univerzity obrany
Coby výrazný trend uvádí NÚKIB ransomwarové útoky. Aktér zablokuje citlivá data cíle, za jejichž zpřístupnění chce výkupné. Nebo peníze žádá za to, že získané informace nezveřejní. Na tomto poli byly aktivní skupiny PLAY a LockBit spojované s Ruskem. Loni v září se stala terčem skupiny zvané Monti Univerzita obrany, spadající pod resort ministryně Černochové.
"Kromě zašifrování dat použila skupina vydírání, kdy docházelo k výhrůžkám, že v případě nezaplacení výkupného budou data zveřejněna. Potom, co univerzita odmítla, se tak stalo a mezi zveřejněnými dokumenty byly osobní údaje vyučujících důstojníků, zápisy z porad nebo studijní plány. Tyto informace mohou být cenné i pro státní aktéry," uvádí úřad.
Zpráva popisuje dramatický vzestup phishingu. Jde o snahu získat údaje, jako je přihlašovací jméno či heslo, aby se útočník dostal třeba k penězům cíle. Typickým příkladem je podvodný e-mail, jenž díky vnějším znakům, jako je grafika, styl či jazyk, působí důvěryhodně. Nejčastější byly tyto útoky ve finančním, zdravotnickém a průmyslovém sektoru.
"Phishingové pokusy vypadají věrohodněji, mají bezchybnou češtinu či velmi konkrétní znalosti o oběti, případně dané společnosti," stojí ve zprávě. V tomto ohledu ředitel Kintr varuje před umělou inteligencí. "Poskytuje stále lepší výchozí pozice pro útočníky k efektivní manipulaci obětí, přičemž lze očekávat, že tento trend bude i nadále akcelerovat."