Tajná služba potvrdila, že na e-maily ministerstva zahraničí útočili Rusové

BIS potvrdila ve své čerstvé výroční zprávě již publikované informace Respektu, že na komunikační systém ministerstva zahraničí útočily ruské tajné služby. Respekt napsal,  že se tímto vážným bezpečnostním problémem opakovaně zabývali představitelé vlády, lidé z tajných služeb i odborníci na kybernetickou bezpečnost na Bezpečnostní radě státu.

Podle informací z vládních kruhů členové rady intenzivně zjišťovali, do jakých rukou se dostal obrovský balík e-mailů českých diplomatů po hackerské krádeži v roce 2016. Mohly v něm být totiž informace umožňující kompromitaci diplomatů či jejich vydírání, ale i citlivé a neveřejné zprávy o strategii českého státu při jednáních Evropské unie a Severoatlantické aliance. Diplomaté v ukradených e-mailech také psali, které české firmy mají v dotyčných zemích zájem o konkrétní zakázky či kdo z místních a proč je na ambasádách kontaktuje s různými iniciativami. Tedy informace, které mohou být využité obchodní konkurencí, v průmyslové špionáži i k politickým protitahům.

Minulý rok ministerstvo zahraničí na základě prvotních zjištění veřejně oznámilo, že hackerský průlom trval jen několik měsíců. Členové bezpečnostní rady však obdrželi výrazně znepokojivější informace. Podle nich se hackeři měli do e-mailové komunikace diplomatů dostat dříve. Do systému měli podle dřívějších informací Respektu proniknout kromě Rusů i hackeři spojení s Čínou. Po nějakou dobu útočili hackeři obou zemí na vládní počítače paralelně. Průběžně prý kopírovali všechny pracovní e-maily všech zaměstnanců ministerstva zahraničí, nejen několika desítek, jak se předpokládalo. Jde o tisíce e-mailů, v nichž diplomati vyřizovali pracovní i soukromé věci.

Mohli si v nich psát se svými milenkami, zmiňovat slabosti kolegů či problematické momenty v jejich minulosti (kdo má například zálibu v pití alkoholu či jiné neřesti). Hackeři z nich tedy mohli získat mnoho kompromitujících informací o diplomatech i zaměstnancích ministerstva, mohli si udělat obrázek o vztazích na ministerstvu či jednotlivých šéfech. Podobné informace mohou tajné služby využít mimo jiné k tlaku na vybrané cíle a při jejich nucení ke spolupráci.

Systém stále nefunguje

BIS o čínské stopě ve své výroční zprávě nepíše, o ruské naopak ano. Kontrarozvědka dospěla k tomu, že „ke kompromitaci systému elektronické pošty ministerstva zahraničí docházelo nejméně od počátku roku 2016, kdy útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh“.

Podle BIS tak „získali údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně“.

Jak zjistil Respekt, hackeři se měli dostat ještě před zveřejněním útoku i ke korespondenci nejvyšších ústavních činitelů o Číně. Konkrétně k tzv. dopisu čtyř – tedy společnému prohlášení prezidenta, předsedy vlády a šéfů obou komor parlamentu, kdy se Česko bezprecedentně sklonilo před vládou v Pekingu. Poté, co se ministr kultury setkal v říjnu 2016 s tibetským duchovním vůdcem dalajlámou, nejvyšší představitelé státu se za to omluvili, což vedlo k dalšímu odklonu od politiky lidských práv.

BIS ve své výroční zprávě uvádí, že „případ kompromitace emailových schránek se v mnoha podstatných rysech shoduje s podobnými případy kyberšpionáže, které probíhaly ve stejném období i v jiných evropských státech“. Podle BIS navíc paralelně s tímto kyberšpionážním útokem probíhal od prosince 2016 útok proti emailovým schránkám téhož ministerstva, při kterém se útočníci snažili o uhádnutí přístupových údajů do emailových schránek hrubou silou (tzv. brute force attack), a pokusili se tak o kompromitaci několika set emailových schránek.

BIS je přesvědčená, že v pozadí jsou Rusové. „Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU,“ uvádí BIS. Útoky proti českým cílům využívaly zahraniční počítačovou infrastrukturu.

Napadeno nebylo jen ministerstvo zahraničí, ale i obrany. „BIS odhalila několik útoků proti českým vojenským cílům, z nichž k nejzávažnějším patřily kompromitace několika soukromých emailových účtů patřících osobám spojeným s ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící MO ČR/AČR malwarem známým pod názvem X-Agent,“ píše BIS. „Ačkoliv útočníci tímto útokem s nejvyšší pravděpodobností nezískali žádné informace utajované podle zákona č. 412/2005 Sb., získali řadu osobních informací a citlivých údajů, které mohou být dále zneužity pro další útoky či nelegitimní aktivity.“ Podle informací Respektu měla být v minulosti zasažena i emailová pošta českých vojáků působících v jedné ze zahraničních misí, mluví se o Mali.

Ministerstvo zahraničí se snažilo svůj počítačový systém od hackerských virů vyčistit, ale jak vyšlo najevo, dosud se to nepodařilo. Systém je stále poškozen, navíc není jisté, zda do něj nejsou vloženy spící viry, které mohou být oživeny třeba za dva roky a mohou opět elektronický systém ministerstva zahraničí napadnout. Bezpečnostní rada státu proto probírala, že systém bude muset být znovu kompletně postaven. Stát by to mělo přijít na stovky milionů, možná i nižší miliardy korun.