BIS: Na české diplomaty útočili hackeři z ruských tajných služeb

Byl to jeden z největších kyberútoků na české úřady, hackeři během něj postahovali tisíce dat z emailových schránek českých diplomatů. Nyní civilní kontrarozvědka BIS oznámila, že za útokem stály ruské tajné služby.

Útoky probíhaly po dvou linících, podle tajné služby přitom podle všeho nebyly společně koordinované. V jednom se podařilo systém v Černínském paláci prolomit, v druhém šlo o pokusy získat přístupová hesla. “ Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU,“ stojí ve výroční zprávě BIS.

„Útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. Získali tak údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně,“ dodávají analytici BIS.

K tomuto tématu

» Detaily hackerského útoku na českou diplomacii
» Blesková zpráva: Hackerský útok na české diplomaty
» Hackerský útok na Sobotku, policie jde po české stopě

První vlna útoku začala zkraje roku 2016, další pak nejpozději 5. září téhož roku. V ten den se podle zjištění Neovlivní.cz z IP adresy 31.31.72.43  kdosi napojil na emaily zástupce velvyslance v Dílí Romana Masaříka a elektronické pošty dalších dvou diplomatů. Z této IP adresy bylo z diplomatických schránek staženo 36 dokumentů.

Tato adresa se přitom jako jediná nachází v České republice. Další adresy, z nichž byly napadeny účty ministerstva zahraničí a byly z nich postahovány tisíce souborů, jsou v dalších zemích. V útocích byl systém. Probíhaly vždy ráno, ve dvou časových intervalech. Mezi šestou a sedmou hodinou a pak po osmé hodině ranní. Hackeři úřadovali nejen během pracovního týdne, ale i o víkendech.

Celkem šlo nejméně o 7 119 souborů, osmačtyřicet jich pak bylo přímo z účtu tehdejšího ministra Lubomíra Zaorálka.

I jeho email byl mezi napadenými. Zaorálek také tehdy obratem naznačil, že hackeři mohli být z Ruska. „Charakter útoku je sofistikovaný. Vypadá jako prováděný nějakým zahraničním státem. Způsob připomíná charakter útoku na internetový systém demokratické strany v USA,” prohlásil tehdy ministr. Z těchto útoků USA obvinily právě Rusko.

Na email ministra Zaorálka hackeři skutečně přistupovali z adresy, na které je ruské phpBB fórum. Server je pak hostován v Německu. U dalších třiceti adres je možné vysledovat spojení s aktéry, kterým americké služby připisují útok na Demokratickou stranu. Ani to ovšem podle expertů, kteří se případem kyberútoku v Černínském paláci zabývají, neznamená, že za útokem je Rusko.

Důkazy tehdy na stůl nikdo nepoložil. Teprve BIS tedy nyní po letech oficiálně připsala útoky ruským zpravodajským službám.