Přestože i v loňském roce se většina útoků identifikovaných a šetřených Bezpečnostní informační službou (BIS) týkala státních institucí, BIS zaznamenala i kybernetické útoky cílené na české politické strany nebo na nevládní či neziskové organizace. Informuje o tom ve své výroční zprávě za loňský rok. Tajná služba ve své výroční zprávě varuje také před hack and leak dezinformačními kampaněmi, jejichž cílem je zahrnutí zcela vyfabulované informace (falešný dokument, text e-mailu, fotografie) mezi skutečné uveřejňované dokumenty získané v rámci útoku. I soukromě-pracovní údaje mohou být pro útočníky v některých případech mnohem cennější než interní dokumenty institucí,“ upozornila BIS.
U šetřených útoků se jednalo především o snahy o kompromitaci počítačové sítě či e-mailových schránek a následnou exfiltraci dat. Ta byla potvrzena u jedné státní instituce, ze které bylo exfiltrováno značné množství dokumentů a jiných souborů do infrastruktury útočníků.
„Kompromitací vládních institucí získají aktéři nejen informace o záměrech a postojích České republiky v určitých tématech, ale rovněž informace o konkrétních zaměstnancích nebo vrcholných představitelích státu včetně jejich názorů na určitá témata (např. komentáře a revize
u exfiltrovaných dokumentů) či mezilidských vztazích pracovníků (např. z uniklé korespondence). Odcizené informace pak činí dotčené osoby zranitelnějšími vůči metodám klasické špionáže,“ stojí ve zprávě civilní kontrarozvědky.
Soukromé (ale samozřejmě i pracovní) e-mailové schránky státních zaměstnanců navíc zpravidla obsahují nespočet osobních údajů, včetně kopií dokladů, nebo další přihlašovací údaje do nejrůznějších služeb (jiných e-mailových schránek, sociálních sítí, e-shopů atd.).
Takové údaje mohou být pro útočníky, resp. státní/státem podporované aktéry v některých případech mnohem cennější než interní dokumenty institucí, v nichž zaměstnanci pracují.
Výše uvedené údaje jsou totiž dále využitelné pro cílený kybernetický útok na vybraného zaměstnance či vrcholného představitele státu nebo jej opět činí zranitelnějším vůči metodám klasické špionáže.
V případě kompromitace sítě státní instituce nebo e-mailové schránky vysokého státního představitele či zaměstnance může dojít k tzv. hack and leak scénáři, tj. postupnému selektovanému uvolňování exfiltrovaných informací a jejich využití v předpřipravené dezinformační kampani, která může být zacílena na diskreditaci kompromitované instituce, konkrétního státního představitele/zaměstnance či ČR jako takovou.
Dalším stupněm v takové hack and leak dezinformační kampani je zahrnutí zcela vyfabulované informace (falešný dokument, text e-mailu, fotografie) mezi skutečné uveřejňované dokumenty získané v rámci útoku.
„Oběť dezinformační (diskreditační) kampaně prakticky nemá reálnou možnost, jak se bránit a dopad na důvěryhodnost instituce či jednotlivce, vůči kterým je tato kampaň vedena, může být u veřejnosti enormní a v konečném důsledku již nevratný. Na atribuci kybernetických útoků konkrétním aktérům je nezbytné pohlížet jako na dlouhodobý proces, který, ačkoliv může trvat měsíce, nemusí v některých případech dospět k požadovanému konci. Atribuce kybernetických útoků je z převážné většiny založena na technické analýze útoku a dále na tzv. všezdrojové analýze,“ konstatuje BIS.
V rámci technické analýzy útoku jsou z hlediska atribuce posuzovány zejména nástroje používané útočníky, jejich typické postupy a identifikovaná infrastruktura.
„Všeobecně lze konstatovat, že lze v poslední době pozorovat určitý posun útočníků od užívání jejich vlastních nástrojů (např. malware) směrem k nástrojům, které jsou volně dostupné a používané (např. Mimikatz, PowerShell, Cobalt Strike). Stejně tak již velmi zřídka dochází k využívání tzv. vlastní infrastruktury, tj. typicky serverů zřízených a provozovaných samotnými aktéry, a je stále zřetelnější trend posunu aktérů směrem k pronajímané infrastruktuře
(pronajaté VPS u velkých poskytovatelů na velmi krátkou dobu, užívání komerčních VPN v anonymizačním řetězci a dále služby Dropbox, Google Drive apod.),“ pokračuje analýza BIS.
Tyto skutečnosti značně ztěžují a ovlivňují jednoznačnost atribuce prováděných útoků. U tzv. všezdrojové analýzy jsou klíčovými částmi především analýza otevřených a odborných zdrojů (např. reportů výzkumných společností) a dále korelace útoků vycházejících z informací získaných
v rámci zahraniční spolupráce, přičemž právě zahraniční spolupráci lze v případě šetření
kybernetických útoků označit za naprosto stěžejní.
Atribuci kybernetických útoků podle tajné služby také paradoxně komplikují výzkumné reporty bezpečnostních společností detailně popisující proběhlé útoky státních/státem podporovaných aktérů.
„Tyto reporty v mnohých případech obsahují značně podrobný popis technik a nástrojů používaných identifikovanými aktéry a pro jiné pokročilé státní/státem podporované aktéry
pak není problém tyto techniky a nástroje použít či napodobit a provádět útoky ´pod cizí
vlajkou´ (tzv. false flag),“ dodává BIS ve své výroční zprávě za loňský rok.
Tomáš Rovný