Hackeři se dostali ke 150 emailovým schránkám MZ ČR

7. 12. 2018

BIS vydala výroční zprávu za rok 2018, ve které zveřejnila informace o útocích ruských hackerů na emailové schránky Ministerstva zahraničních věcí ČR. Šlo o dva (podle BIS) na sobě nezávislé útoky. V prvním případě šlo o kompromitaci 150 emailových schránek MZ, ze kterých útočníci opakovaně kopírovali zprávy i s přílohami. Způsob útoku zpráva nezmiňuje.

Druhý útok byl proveden technikou brute force* (hrubá síla) a ze zprávy není zřejmé, zda byl úspěšný.

Dále zpráva zmiňuje kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící
MO ČR/AČR malwarem známým pod názvem X-Agent**.

Na začátku roku 2017 BIS získala informaci o nedostatečném zabezpečení webového portálu jiného z českých ministerstev. Na subdoméně portálu ministerstva bylo možné pomocí manipulace URL odkazů získat informace o konfiguraci serveru i některé přihlašovací údaje. Webový portál byl také zranitelný útoky typu SQL injection***, kterými by mohl případný útočník neoprávněně zasahovat do databáze a kompromitovat nebo poškodit uložená data.

Celá zpráva BIS je ke stažení zde, část o kybernetické bezpečnosti je citována níže.


*Brute force útok je jediný známý způsob, jak prolomit jakékoliv heslo nebo šifru. Funguje tak, že se vyzkoušejí veškeré možné kombinace znaků nebo slov. Je to však proces velmi náročný na výpočetní výkon, při delších heslech je prakticky nepoužitelný (prolomení dlouhého hesla může teoreticky trvat i několik milionů let). Jako obrana proti němu je dostatečně dlouhé a unikátní heslo.

**X-Agent je program pro sběr a odesílání souborů na napadaném zařízení útočníkům. Funguje na zařízeních s operačním systémem Windows, Linux, iOS, nebo Android. Kvalitní a aktualizovaný antivirový program by ho měl odhalit.

***SQL injection je útok, který využívá nedostatečného zabezpečení internetových stránek a pomocí kterého je útočník schopen vložit do stránek kód, který umí číst, měnit nebo mazat údaje v databázích. Aktualizovaný a dobře ošetřený server by mu měl zabránit (chyby v software se mohou objevit, proto je důležité je včas opravovat a aktualizovat).


Výňatek ze zprávy BIS:

2.6.Kybernetická bezpečnost
Kybernetická špionáž
Rok 2017 se v oblasti kybernetické bezpečnosti nesl především ve znamení kybernetické špionáže vůči ČR, přičemž nejvýznamnějším případem co do rozsahu i konečných důsledků byla kompromitace informačního systému Ministerstva zahraničních věcí (MZV), která byla odhalena počátkem roku 2017, avšak probíhala již minimálně od počátku roku předešlého.
Ke kompromitaci systému elektronické pošty MZV docházelo nejméně od počátku roku 2016, kdy útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. Získali tak údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně.
Případ kompromitace emailových schránek se v mnoha podstatných rysech shoduje s podobnými případy kyberšpionáže, které probíhaly ve stejném období i v jiných evropských státech.
Paralelně s tímto kyberšpionážním útokem probíhal od prosince 2016 útok proti emailovým schránkám téhož ministerstva, při kterém se útočníci snažili o uhádnutí přístupových údajů do emailových schránek hrubou silou (tzv. brute force attack), a pokusili se tak o kompromitaci několika set emailových schránek.
S největší pravděpodobností šlo o dva navzájem nesouvisející incidenty. Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU.
Mezi nejaktivnější kyberšpionážní kampaně patřila ruská kampaň APT28/Sofacy. Ta necílí jen na data samotná, ale se stále větší intenzitou se zaměřuje na krádeže osobních údajů a přihlašovacích údajů do informačních a komunikačních systémů, které mohou být dále využity k pozdějším sofistikovaným spearphishingovým útokům.
Stejně jako v roce 2016 šlo zřejmě o nejaktivnější a nejviditelnější ruskou kyberšpionážní kampaň. APT28/Sofacy využívala k útokům proti českým cílům zahraniční počítačovou infrastrukturu. V souvislosti s touto kampaní odhalila BIS několik útoků proti českým vojenským cílům, z nichž k nejzávažnějším patřily kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící MO ČR/AČR malwarem známým pod názvem X-Agent. Ačkoliv útočníci tímto útokem s nejvyšší pravděpodobností nezískali žádné informace utajované podle zákona č. 412/2005 Sb., získali řadu osobních informací a citlivých údajů, které mohou být dále zneužity pro další útoky či nelegitimní aktivity.
Vlna spearphishingových emailů cílila především na osoby z oblasti vojenské diplomacie působící v Evropě. Vektor i cíle tohoto útoku plně odpovídaly způsobu útoku i oblasti, na které primárně cílí ruská kyberšpionážní kampaň APT28/Sofacy. Obdobný spearphishingový útok směřoval také na evropské zbrojařské společnosti a pohraniční stráž jednoho evropského státu. Mimo případy kybernetické špionáže odhalila BIS rozsahy IP adres, na kterých se nachází servery a domény využívané k páchání trestné činnosti nebo ke kyberšpionážním účelům.
Na začátku roku 2017 BIS získala informaci o nedostatečném zabezpečení webového portálu jiného z českých ministerstev. Na subdoméně portálu ministerstva bylo možné pomocí manipulace URL odkazů získat informace o konfiguraci serveru i některé přihlašovací údaje. Webový portál byl také zranitelný útoky typu SQL injection, kterými by mohl případný útočník neoprávněně zasahovat do databáze a kompromitovat nebo poškodit uložená data. BIS neprodleně informovala příslušného ministra a ředitele NBÚ jako tehdejšího garanta kybernetické bezpečnosti v ČR.


Visapoint
BIS se nadále věnovala přetrvávajícím problémům informačního systému Visapoint, který zprostředkovatelé víz zneužívali k neoprávněnému finančnímu prospěchu. Přestože se MZV ve spolupráci s dodavatelem systému snažilo v minulosti nedostatky odstranit a jeho zneužívání alespoň omezit, řada problémů přetrvávala. Funkčnost systému byla dlouhodobě omezena, což umožňovalo zprostředkovatelům víz blokovat a následně prodávat volné termíny pro pohovory na českých zastupitelských úřadech. To v důsledku vedlo k poškozování dobrého jména ČR v mezinárodním kontextu. I kvůli přetrvávajícím problémům byl provoz systému v říjnu 2017 ukončen.

Milan

Jmenuji se Milan Půlkrábek, pamatuji si počítače bez internetu, Internet bez Google a mobilní komunikaci bez šifrování. Mám za sebou více než dvacet let profesionální praxe v IT, přednáším a píšu články o IT bezpečnosti, kryptoměnách a nových technologiích. Od roku 2014 jsem součástí nezikové organizace Paralelní Polis v Praze.