Ruští hackeři si vybudovali celosvětovou infrastrukturu. Jejich cílem je kyberšpionáž, upozorňuje ředitel NÚKIB

Včera jste spolu s Vojenským zpravodajstvím a s americkou FBI informovali o mezinárodní akci proti hackerskému útoku skupiny APT28. Ta je spojovaná s ruskou vojenskou zpravodajskou službou GRU. Uvedli jste, že tato skupina přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v Česku i v zahraničí. Jak závažný byl tento útok? Zaznamenali jste už v minulosti něco podobného?

Nejednalo se o první akci tohoto typu. V tomto případě šlo zejména o časový horizont, kdy ty routery byly zranitelné poměrně dlouhou dobu a nebyla jiná možnost, jak efektivně tuto zranitelnost odstranit a jak nabourat infrastrukturu, kterou zmiňovaná skupina APT28 využívala pro další útoky.

Ve včerejší tiskové zprávě jste popsali, že útočníci pronikli do slabě zabezpečených routerů a následně upravili jejich konfiguraci. Pokud bychom to zkusili přeložit úplným laikům, routery jsou krabičky s anténami, které máme doma nebo ve firmách, a které zajišťují připojení počítačů, mobilů nebo tabletů k síti, respektive k WiFi. Hackeři tato zařízení dokázali ovládnout. K čemu jim to bylo?

Oni si takto vybudovali poměrně rozsáhlou celosvětovou síť, kterou nazýváme jejich infrastrukturou. Díky ní potom část našich požadavků, které směrem k internetu jako uživatelé máme, tedy že otevíráme webové stránky, přihlašujeme se do banky a podobně, dokázali přesměrovat na svá zařízení.

Čtěte také

iROZHLAS

Etický hacker: Nejnebezpečnější je důvěřivost. Čelíme ruským dezinformacím i kvantovému průlomu

Díky nim byli schopni odposlouchávat třeba naše přihlašovací údaje nebo nás nasměrovat na nějakou webovou stránku, která vypadala velmi podobně té, kterou byste si chtěli otevřít, ale kromě toho normálního obsahu na ní byl třeba nějaký další škodlivý kód.

Přístup ke zprávám

Znamená to, že se tedy mohli dostat k e-mailům nebo textovým zprávám z mobilu?

Pokud jde o e-maily, tam to je určitě možné. U textových zpráv z mobilu záleží, jestli se jedná o klasické SMS zprávy, ty nechodí většinou přes WiFi síť. Pokud jde o Messenger a aplikace, které si posílají zprávy datovou linkou, tedy po internetu, tak tam to možné samozřejmě bylo.

Čtěte také

iROZHLAS

Hackeři s vazbami na Írán tvrdí, že se nabourali do e-mailu ředitele FBI. Zveřejnili i fotky

Šlo konkrétně o jeden specifický model vyráběný společností TP-Link. Takový router pro vaši představu stojí zhruba 500 korun a je možné ho stále koupit. Ta zranitelnost, kterou útočník zneužil, byla objevena v roce 2023. Bavíme se tedy o zranitelnosti známé tři roky. Proto jsem na začátku upozorňoval na časový aspekt, kdy ty routery byly zranitelné opravdu velmi dlouho.

Už jste mluvil o tom, že se mohli dostat k heslům. Jakékoliv heslo, které jsem zadával na stránce, kterou oni si převedli na svůj server, mohli zjistit?

Přesně tak. Pokud byste hypoteticky takový router měl doma a používal ho pravidelně, pokud byste se přihlašoval třeba k e-mailu nebo k nějakému dalšímu podobnému webu, tak byli schopni díky tomu přesměrování a vzdálenému přístupu číst identifikační údaje.

Tím pádem byli schopni se dostat třeba i do internetového bankovnictví.

Teoreticky ano, nicméně primárním cílem této skupiny je dlouhodobě kyberšpionáž a nejinak tomu bylo v tomto konkrétním případě.

Čtěte také

iROZHLAS

‚Zresetujeme zařízení.‘ Čeští zpravodajci ve spolupráci s FBI zasáhli proti zneužitým přístrojům

Tito útočníci cílí spíše na služební systémy. Pokud byste se z domu v rámci třeba home office připojoval k nějakému systému vašeho zaměstnavatele, tak to jsou primární cíle, kvůli kterým oni tuto akci provádí.

V tomto konkrétním případě Vojenské zpravodajství uvedlo, že napadená zařízení byla zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v Česku, v zahraničí, včetně našich spojenců v NATO a EU. Byl v tomto směru útok úspěšný? Dostali se pachatelé k významným informacím?

To je velmi těžké dnes s jistotou zhodnotit. Nicméně s ohledem na to, že podle informací americké FBI víme, že tato akce probíhala minimálně od roku 2024, lze předpokládat, že minimálně zčásti úspěšní byli.

Kolik bylo v Česku tímto způsobem napadeno routerů?

Já tyto informace přesně nemám k dispozici. To je otázka, která by lépe seděla někomu z Vojenského zpravodajství.

Celosvětový problém

To znamená, ani řádově nevíte, jestli jde o stovky nebo tisíce zařízení.

Řádově se mělo jednat o desítky zařízení.

Čtěte také

iROZHLAS

Proti hackerským útokům se zabezpečují nemocnice na jižní Moravě. Investují až stovky milionů korun

Šlo primárně o domácí zařízení, nebo o malé firmy?

To je také velmi těžko hodnotitelné. Na nějaké IP adrese je router, kterého se útok týká, ale úplně přesně nevíme, kdo ho spravuje a jestli je nasazen v domácnosti nebo v infrastruktuře menší kanceláře.

Můžeme vycházet opravdu jenom z toho, že tento typ routeru nebývá nasazován v nějaké mohutnější, rozsáhlejší infrastruktuře, v budově, kde je třeba několik pater kanceláří. Pro tyto potřeby tento typ není určen.

Můžete prozradit, komu a jak se podařilo odhalit tuto věc?

Jak už bylo uvedeno v tiskových zprávách, akce vychází z iniciativy amerického ministerstva spravedlnosti a FBI. Řekněme, že se potkalo více vstupů z různých stran. Důsledkem toho všeho, kdy se daly všechny informace a poznatky z činnosti každého z aktérů dohromady, bylo toto.

Jaké byly role FBI, českého Vojenského zpravodajství a Národního úřadu pro kybernetickou a informační bezpečnost?

Role NÚKIB je o obdobných zranitelnostech informovat veřejnost a subjekty nebo osoby, kterých se případně podobné zranitelnosti mohou dotýkat. Za tímto účelem provozujeme na sociální síti x účet, kde pravidelně zveřejňujeme velké množství podobných zranitelností, případně přistupujeme k těm zranitelnostem individuálně.

Samozřejmě z naší činnosti také máme nějaké analytické vstupy, které mohou v obecné rovině přispívat. Pokud se podíváme na české Vojenské zpravodajství, tak jejich role je dána zákonem, který říká, že mají budovat kapacity pro to, aby se Česká republika mohla aktivně bránit v kyberprostoru a s protějšky napříč světem.

Kolika států se tato věc týkala?

Ani tady nemám úplně nejpřesnější informace, nicméně závěry FBI, které jsou veřejně dostupné, mluví o tom, že to byl opravdu celosvětový problém.

Jak Vojenské zpravodajství zasáhlo proti hackerským útokům? A týká se riziko jen jednoho typu routeru? Poslechněte si celý rozhovor.