Útok pokračuje. Hackeři si vzali na mušku zdravotnické zařízení ministerstva vnitra

Hackeři podle zjištění Respektu a Aktuálně.cz napadli Zdravotnické zařízení ministerstva vnitra, kterým protékají citlivé informace o příslušnících bezpečnostních složek. Útok je součástí operace, kdy útočníci po celém světě postupně udeřili na stovky tisíc subjektů využívajících e-mailový systém firmy Microsoft - a experti její počátek spojují s čínskými vládními hackery. Ministr vnitra Jan Hamáček (ČSSD) tvrdí, že útok na českou instituci se nezdařil.

Předminulý týden se ukázalo, že hackeři možná více než dva měsíce zneužívají závažné bezpečnostní mezery v poštovních programech Microsoftu, jež umožňují jednoduše přes internet ovládnout počítače a sítě těch, kteří tyto programy používají. Americký softwarový gigant za prvotního původce útoku označil čínskou vládní skupinu přezdívanou Hafnium a vydal bezpečnostní záplaty.

Podle odhadů může být po celém světě více než čtvrt milionu obětí. Experti přitom varovali, že to je jen začátek a může přijít druhá, mnohem závažnější druhá vlna útoků. Vybudovaná „zadní vrátka“ mohou posloužit k tomu, aby se v počítačích stovek tisíc veřejných institucí i firem po celém světě útočníci dlouhodobě usídlili a tajně z nich získávali i citlivější informace než e-maily. Případně je dle libosti zcela vyřadili – a  to i po záplatování původních bezpečnostních děr.

Vnitro i hasiči

Hrozba, kterou v USA řeší přímo špičky administrativy Joea Bidena, se nyní potvrzuje i v Česku. Pátrání Respektu a Aktuálně.cz ukazuje, že čeští odborníci na kyberbezpečnost odhalili útočníky, kteří se pokusili zahnízdit v interních systémech Zdravotnického zařízení ministerstva vnitra. Tedy instituce, která mimo jiné zajišťuje lékařské prohlídky pracovníků ministerstva a jemu podřízených bezpečnostních složek. Jeho systémy tak protékají vysoce citlivé osobní informace o lidech, kteří jsou cílem zájmu zahraničních špionů. Experti také našli útočníky v některých systémech Hasičského záchranného sboru.

Ministr vnitra Jan Hamáček nechtěl konkrétní cíle hackerů potvrdit. Připustil však, že se dostali do systémů některých institucí spadajících do jeho rezortu. „Já můžu potvrdit, že v resortu ministerstvu vnitra došlo ke dvěma případům, ale nedotkly se páteřních sítí nebo systému samotného ministerstva. Na oba tyto případy jsme reagovali ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost. V současné době jsou problémy odstraněny. Konkrétní lokalitu nemůžu sdělit,“ řekl redakcím Hamáček.

Podle několika zdrojů redakcí experti v systémech Zdravotnického zařízení odhalili a odstranili hned dva škodlivé kódy, které umožňovaly dlouhodobě odsávat informace. Čína v posledních měsících koronavirové pandemie, která se do světa rozšířila právě z komunistické země, útočí na západní zdravotnická zařízení ve zvýšené míře. Její hackeři například ukradli ze sítí Evropské lékové agentury (EMA) část dokumentů týkajících se protikoronavirových vakcín.

Není ale potvrzeno, zda hackeři řízení čínskou komunistickou vládou se špionážními úmysly umístili zadní vrátka i do počítačů ministerstva vnitra. Stejné cesty jako Hafnium totiž v posledních týdnech podle bezpečnostních odborníků začala zneužívat minimálně desítka hackerských skupin. Informovala o tom před týdnem například slovenská antivirová firma Eset. Některé z nich mají rovněž vazby na čínskou vládu, jiné jsou komerční skupiny, které na napadání počítačů a prodeji informací chtějí vydělat. Ve vzniklém chaosu je reálného původce a jeho úmysly pro experty mimořádně obtížné odhalit.

Únik z firmy

Uznávaný americký expert Brian Krebs cituje své zdroje z bezpečnostních složek, podle kterých v některých systémech jejich obránci odhalili až osm různých zadních vrátek, kterými bylo možné dostat se nepozorovaně do napadených počítačů po opravení původních chyb. Wall Street Journal informoval, že Microsoft nyní vyšetřuje, zda informace, jak zneužít závažné bezpečnostní chyby, neunikly k hackerům přímo z firmy.

K masivnímu nárůstu počtu útoků totiž došlo zhruba týden předtím, než bezpečnostní záplaty Microsoft vydal. Do té doby byla zřejmě zranitelnost známa jen úzkému okruhu útočníků. Microsoft se nicméně s předstihem o podrobnosti ohledně chyb podělil se sítí svých bezpečnostních partnerů. Program, který to umožňuje, zahrnuje  80 firem - a desítka z nich sídlí v Číně. Společnosti jsou nyní cílem vyšetřování, zda úmyslně či neúmyslně následně informace nepředaly hackerům.

Ve hře je ale i varianta, že se čínští vládní hackeři následně o své znalosti s komerčními „kolegy“ podělili záměrně. Podobná taktika má z pohledu vládních hackerů další výhodu - bezpečnostní odborníci, kteří proti nim bojují, jsou množstvím napadených cílů přetížení, což může výrazně prodloužit dobu, po kterou budou do počítačů mít útočníci přístup. Vše přitom nasvědčuje tomu, že prolomená obrana zdravotního ústavu je jen zlomkem toho, do kolika vládních počítačů v Česku se útočníci v posledních týdnech dostali.

Experti stále pracují i s verzí, že prolomena je obrana všech institucí, které oblíbené e-mailové servery od Microsoftu používají. A těch jsou tisíce. Přítomnost hackerů zatím podle několika zdrojů Aktuálně.cz a Respektu experti odhalili i u některých českých nemocnic, které nyní zápolí s náporem pacientů s covidem. V rozsáhlé operaci stále prověřují i to, zda nebylo napadeno ministerstvo obrany, vnitra, bezpečnostní služby či úřad vlády. U mnohých organizací to zatím s jistotou nedokážou říci.

Nařizujeme instalaci oprav

V Česku zatím veřejně útok na magistrátní systémy přiznal pražský primátor Zdeněk Hřib (Piráti) a Seznam Zprávám ho také potvrdila ministryně práce a sociálních věcí Jana Maláčová (ČSSD) s tím, že k úniku dat nedošlo. V pátek Národní úřad pro kybernetickou bezpečnost (NÚKIB) využil své zákonné pravomoci a povinně nařídil všem institucím spadajícím do kritické infrastruktury, aby bezpečnostní záplaty vydané Microsoftem nainstalovali a pátrali po známkách toho, zda se v jejich počítačích hackeři neusídlili. Přes závažnost situaci to totiž mnohé z nich ještě neudělaly.  Do té doby takový postup NÚKIB pouze důrazně doporučoval.

„O využití reaktivního opatření jsme uvažovali od začátku, ale jelikož se problém netýká zdaleka jen systémů regulovaných podle zákona o kybernetické bezpečnosti, rozhodli jsme se napřed plošně informovat našimi komunikačními kanály. Postupně přicházející informace z celého světa o závažnosti tohoto incidentu v kombinaci s našimi zjištěními o obecně pomalém postupu subjektů při reakci na tuto hrozbu nás vedly k rozhodnutí reaktivní opatření vydat,“ vysvětluje důvody aktuálního kroku ředitel NÚKIB Karel Řehka.

Konkrétní napadené či ubráněné instituce NÚKIB upřesnit odmítá, aby hackerům neposkytoval další informace. Microsoft varoval subjekty, které jeho e-mailové servery využívají, aby si svá data zálohovali. Už se totiž objevují případy, kdy útočníci využijí přístup do systémů k tomu, aby je zašifrovali a následně žádali výkupné. Podobný útok vyděračského viru loni donutil Fakultní nemocnici Brno vrátit se načas od počítačů k papíru a NCOZ dodnes vyšetřuje, kdo způsobil škodu zhruba 150 milionů korun.