Masivnímu hackerskému útoku čelí i české instituce. Microsoft ukázal na Čínu

Česká ministerstva, radnice či nemocnice jsou podle zjištění Respektu a Aktuálně.cz pod bezprecedentním náporem hackerů cílících na díry v serverech Microsoftu. Firma vydala opravu, ale instituce se obávají, že mezitím už útočníci otevřeli další díry do systémů a využijí je k jejich odstavení. Původní útok podle Microsoftu po celém světě provedli čínští vládní hackeři. Nyní ale jejich techniku masivně zneužívají další soukromé skupiny.

Microsoft Exchange Server je mimořádně populární řešení, které zajišťuje e-mailovou komunikaci nejen českým ministerstvům, radnicím, nemocnicím či policii, ale stovkám tisíc podobných institucí po celém světě. Před týdnem se ukázalo, že hackeři zneužívají sérii bezpečnostních zranitelností, které jim  jednoduše umožňují převzít na dálku nad servery kontrolu.

V Česku zatím veřejně útok na magistrátní systémy přiznal pražský primátor Zdeněk Hřib (Piráti) a webu Seznam Zprávy ho potvrdila také ministryně práce a sociálních věcí Jana Maláčová (ČSSD) s tím, že k úniku dat nedošlo. Podle několika zdrojů Respektu a Aktuálně.cz je však útok mnohem rozsáhlejší a hrozba zdaleka není zažehnaná. Bezpečnostní experti státu pracují s verzí, že může být zasažena prakticky každá instituce, která v Česku mailový software od Microsoftu používá.

Jak tvrdí zdroje Respektu a Aktuálně.cz, přítomnost hackerů experti už odhalili u některých českých nemocnic, které nyní zápolí s náporem covidových pacientů. V rozsáhlé operaci ale prověřují rovněž to, zda nebylo napadeno ministerstvo obrany, vnitra, bezpečnostní služby či úřad vlády.

Záplaty nemusí stačit

Zároveň se bezpečnostní odborníci připravují i na variantu, že „děravé“ e-mailové servery hackerům posloužily k tomu, aby si vybudovali předpolí pro další fázi útoků - ta už může zasáhnout kritičtější systémy státní správy, vyřadit je či umožnit krádež citlivých dat. Proto se experti pokoušejí zachytit jakékoliv stopy toho, že útočníci v systémech zůstali i potom, co administrátoři uzavřeli „zadní vrátka“, jimiž se hackeři dostali dovnitř.

Microsoft vydal před týdnem opravu bezpečnostních děr. Útočníci ale měli i několik týdnů na to, aby se v systémech „zabydleli“. Podle bezpečnostního experta Briana Krebse  Microsoft o mezerách v zabezpečení věděl minimálně od 5. ledna. Záplata je k dispozici až od 2. března. Už v lednu přitom kyberfirmy zachytily internetový provoz, který svědčil o tom, že hackeři chyby aktivně zneužívají; již na začátku ledna ho identifikovala bezpečnostní firma Volexity.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který má v Česku na starosti ochranu kritické infrastruktury před hackery, varoval před zranitelností systémů 3. března, jakmile Microsoft vydal záplaty. A doporučil, aby instituce instalaci těchto aktualizací přisoudily nejvyšší prioritu. Zároveň ovšem zdůraznil, že ani tento krok nemusí stačit. „Upozorňujeme, že nainstalování aktualizace nevyřeší situaci, kdy už je server kompromitován,“ varuje NÚKIB. Zdaleka ne všichni stihli navíc opravy nainstalovat. Ještě v pátek podle některých scanů mělo záplatu jen zhruba 10 procent serverů připojených po světě k internetu. Číslo nicméně roste.

NÚKIB zatím nechce komentovat, jak velké škody zjistil. Jeho představitelé odkazují pouze na páteční prohlášení zveřejněné na webu. „NÚKIB spolu s dalšími partnery, včetně Národní centrály proti organizovanému zločinu, v tuto chvíli pomáhá zasaženým organizacím tuto situaci řešit a minimalizovat rozsah škod. Bližší informace o rozsahu incidentu či postižených subjektech však nebudeme poskytovat,“ píše se tu. Čeští bezpečnostní experti se nyní podle zdrojů redakcí pokoušejí vyšetřit i to, kdo přesně české instituce napadá a s jakým záměrem.

Původní útok Microsoft připisuje hackerské skupině nazývané Hafnium, za níž stojí čínská komunistická vláda a jsou jí připisovány špionážní cíle. V posledních týdnech se ale znalost techniky útoku rozšířila natolik, že je začaly provádět běžné komerční skupiny útočníků, kteří na nich chtějí vydělat. Například server MIT Technology Review uvádí, že už v sobotu rozsáhle napadaly servery minimálně čtyři další hackerské skupiny.

Výsledkem je chaos. I čeští experti mimo záznam přiznávají, že původní útok čínské skupiny mohl být limitován na menší počet cílů po světě, které jsou zajímavé z hlediska špionáže, nicméně nyní jsou pod palbou prakticky všechny instituce, ale i soukromé firmy, které zranitelné servery Microsoft Exchange využívají. Experti upozorňují, že neopravené díry dokáží podle návodu zneužít i amatéři.

Odhalit záměr i závažnost útoků je tak mimořádně obtížné. Kyberodborníci spekulují, že i to mohl být cíl původních čínských hackerů, kteří znalost slabých míst rozšířili, aby tak vytvořili kouřovou clonu, v níž lze obtížně rozpoznat jejich skutečné cíle. Zda se čínští vládní hackeři přímo zaměřili i na českou instituci, nebo na zmíněný pražský magistrát cílili až jejich komerční následovníci, zůstává v tuto chvíli nejasné.

Vyhrocené vztahy

Vztahy Česka s Čínou se v posledním roce vyostřily. Pražský primátor Hřib už předloni Čínu popudil, když žádal vyškrtnout z partnerské smlouvy Prahy s Pekingem pasáž o jednotné Číně, která popírala samostatnost ostrovního Tchaj-wanu. Peking následně dohodu vypověděl a Hřib loni uzavřel smlouvu s Tchaj-pejí.

Ještě závažněji Čína vnímala cestu šéfa Senátu Miloše Vystrčila (ODS) na Tchaj-wan, který Peking považuje za svou vzbouřenou provincii. Aktuálně.cz tehdy upozornilo, že předtím čínská ambasáda vyhrožovala Vystrčilovu předchůdci Jaroslavu Kuberovi (ODS) s tím, že v případě uskutečnění cesty za to budou české firmy platit.

Kontrarozvědka BIS, která má v Česku boj proti zahraničním hrozbám na starost, možný vztah aktivit čínské hackerské skupiny Hafnium a útoků na servery českých institucí komentuje jen obecně. „Není strategické se k podobným případům veřejně vyjadřovat. Pokud by BIS hypoteticky měla zprávy o nějakém vztahu kauzy k České republice, tak by takové informace ihned předávala zákonným adresátům a Policii ČR,“ reagoval na dotazy Aktuálně.cz a Respektu mluvčí BIS Ladislav Šticha.

Zdroje z administrativy amerického prezidenta Joea Bidena o víkendu CNN řekly, že podle odhadů je nyní úspěšně napadených cílů po celém světě na 250 tisíc a jde o „aktivní hrozbu“. Mezi cíli útoků jsou nemocnice, firmy, vládní instituce i továrny. Americká vláda sestavila speciální tým, který má hrozbě čelit. Už v půlce minulého týdne varoval na Twitteru před útoky Jake Sullivan, poradce Bílého domu pro národní bezpečnost. Nezvykle otevřeně pak před kybernetickou hrozbou varovala i mluvčí prezidenta Jen Psaki.

Že je jednou z obětí, tento týden oznámil i Evropský orgán pro bankovnictví (EBA), který má na starosti dohled nad bankovním trhem Evropské unie. A nevyloučil přitom, že z jeho serverů unikla data. Zda incident hodlá řešit speciálními opatřeními i česká vláda, Respekt a Aktuálně.cz zjišťují. Premiér Andrej Babiš (ANO) na dotazy do vydání textu neodpověděl.

Hafnium: Skupina, za kterou podle Microsoftu stojí čínská vláda, se dosud soustředila primárně na cíle v USA. Mezi nimi na výzkumníky infekčních chorob, právní firmy, vysoké školy, armádní dodavatele, think tanky nebo neziskové organizace. Napadala je tím, že prolomila zabezpečení jejich serverů připojených k internetu. Jakmile takto hackeři získali přístup k jejich síti, ukradli jim data. Hafnium podle Microsoftu sice sídlí v Číně, ale ke svým operacím  primárně používá počítače, které si pronajme v USA. Jejich aktivity je tak obtížnější odhalit.