Představitelé českého státu nedávno poprvé ukázali prstem na konkrétní hackerskou skupinu, která vede kybernetické útoky proti tuzemským institucím. Jde o ruské uskupení APT28 (Sednit, Fancy Bear) napojené na vojenskou rozvědku GRU. Česko v prohlášeních podpořily EU a NATO. Lze očekávat, že státem podporované skupiny ze zemí nepřátelských k Západu včetně České republiky budou pokračovat.
Dle pozorování se zejména ruské a čínské skupiny nechtějí zaměřovat pouze na státní organizace, kde se zajímají o diplomatické a další materiály a dlouhodobou špionáž, ale také na západní firmy.
“Stále častěji vídáme státy sponzorované útoky na soukromé subjekty, přičemž to úzce souvisí s geopolitikou,” nastínil Robert Lipovský ze společnosti ESET. “Geopolitika je v kyberútocích na soukromý sektor stále signifikantnější. Vedení společností toto musí brát v potaz. Dříve izolované sektory jsou nyní cílem státních aktérů,” doplnil Tope Olufon, analytik společnosti Forrester.
Příkladem je čínská organizace Mustang Panda, která má za sebou útoky na západní neziskovky, vlády a další. Letos napadla systémy několika společností provozujících dopravní lodě v Norsku, Řecku a Nizozemsku. Tyto systémy jsou často izolovány mimo internet, případně připojeny přes satelit. Dostat se do nich je tedy větší výzva. “Nevíme, jak se tam útočníci dostali, asi do vyžadovalo přístup offline, možná přes USB klíčenky,” shrnul Lipovský.
Společnost Check Point spočítala, že české v dubnu čelila každá česká společnost v průměru dvěma tisícům útokům denně. Na konci března to bylo kolem 1600 útoků.
Čína nejčastěji útočí na státní sektor, což doplňuje průmyslem, výrobou a technologiemi. Výrazně se tedy zajímá o průmyslovou špionáž.
Ukázalo se také, že Čína ke kyberútokům využívá “soukromé” společnosti. Nedávno unikly dokumenty patřící šanghajské firmě I-SOON. Mezi nimi jsou i soubory získané z českého ministerstva zahraničních věcí.
Rusko se nejvíce zajímá o státní sektor, energetiku, obranu a neziskovky. V krádežích duševního vlastnictví na Západě tedy není tak aktivní jako Čína a vzhledem k probíhající válce na Ukrajině se zajímavé hlavně o politiku, diplomacii a vojenský sektor.
Ruská APT28 pokračuje v aktivitách, přičemž hledá zranitelnosti v populárních aplikacích typu WinRAR, Outlook a podobně a rozesílá phishingové e-maily. Ty například podvrhují jména osob z Evropské rady. APT28 od února letošního roku zintenzivnila útoky vůči evropským vládním institucím.
Přisouzení neboli atribuce útoků konkrétní skupině, jako to udělalo Česko v případě APT28, je důležitá věc. “Atribuce je proces, který koordinovaně přisoudí škodlivé aktivity v kybernetickém prostoru konkrétnímu aktérovi. Ten může být státní nebo i nezávislý na státních strukturách. ČR má od roku 2021 k dispozici Společnou atribuční skupinu a nastaveny procesy pro technickou a politickou atribuci na národní úrovni. Činnosti aktéra APT28 sledujeme dlouhodobě. Pro úspěšný boj proti takové skupině je spolupráce se spojenci více než žádoucí. A společná atribuce má pak větší váhu,” uvedl Václav Žid z Vojenského zpravodajství.
“Rozhodnutí o provedení atribuce je vždy založeno na posouzení řady státních orgánů, které se atribucí zabývají v rámci své činnosti a jsou schopny určit závažnost kybernetických útoků. Identifikace útočníka je od roku 2020 jedním z hlavních témat bezpečnostní komunity v České republice, což je zdůrazněno ve Strategii kybernetické bezpečnosti České republiky – v části nazvané Sebevědomě v kyberprostoru. Atribuce může být provedena v rámci zainteresovaných stran bezpečnostní komunity daného státu nebo může být součástí návrhu společné atribuce. V rámci společné atribuce mohou členské státy EU využít nástroj SZBP EU Cyber Diplomacy ToolBox, který byl pravděpodobně využit i v rámci české a německé atribuce,” popsal blog Cybule.