Čeští kyberšpioni zasáhli proti ruským hackerům. VZ popsalo operaci proti APT28

Aktivní zásah proti infrastruktuře GRU

České Vojenské zpravodajství zveřejnilo nové detaily o mezinárodní operaci zaměřené proti ruské hackerské skupině APT28, známé také jako Fancy Bear. Skupina je dlouhodobě spojována s ruskou vojenskou rozvědkou GRU a patří mezi nejaktivnější státní aktéry v oblasti kyberšpionáže.

Podle zveřejněných informací útočníci několik měsíců kompromitovali tisíce domácích a kancelářských routerů po celém světě, včetně zařízení na území České republiky. Napadená zařízení následně využívali jako prostředníky pro další operace, maskování útoků a odchyt síťové komunikace.

Operace probíhala ve spolupráci s americkou FBI a dalšími zahraničními partnery. Samotný zásah se uskutečnil začátkem dubna a podle Vojenského zpravodajství během něj čeští specialisté provedli úpravu nastavení části zneužívané infrastruktury a zabezpečili potenciálně zneužitelná zařízení na území ČR.

Routery jako nástroj špionáže

Podle zveřejněných technických detailů skupina APT28 zneužívala známé zranitelnosti zejména v SOHO routerech (Small Office / Home Office). V některých případech šlo o zařízení se zastaralým firmwarem nebo veřejně známými bezpečnostními chybami.

Útočníci následně měnili nastavení DNS a síťové konfigurace, díky čemuž mohli přesměrovávat komunikaci, zachytávat přihlašovací údaje nebo skrývat původ dalších kybernetických operací.

Právě využívání kompromitovaných routerů jako mezistanic je podle bezpečnostních služeb jedním z hlavních důvodů, proč je atribuce podobných útoků komplikovaná.

„Kdyby útočili přímo z Ruska, bylo by jejich odhalení výrazně jednodušší,“ uvedl pro Seznam Zprávy jeden z důstojníků zapojených do operace.

Potvrzení z USA i Británie

Informace českých úřadů potvrzují také zahraniční bezpečnostní instituce.

Americké ministerstvo spravedlnosti společně s FBI oznámilo operaci proti infrastruktuře využívané ruskou GRU pro DNS hijacking a adversary-in-the-middle útoky. Britské NCSC následně zveřejnilo technickou analýzu kampaně APT28 zaměřené na kompromitaci síťových zařízení.

Podle britských expertů útočníci dlouhodobě využívají kompromitované routery a další edge zařízení k budování anonymizační vrstvy pro státem podporované operace.

Jeden z mála veřejně komunikovaných aktivních zásahů

Pro české Vojenské zpravodajství jde o jeden z mála veřejně komunikovaných aktivních zásahů v kyberprostoru.

Možnost provádět aktivní obranné operace získala česká vojenská rozvědka až po legislativních změnách v roce 2021. Ty umožnily Vojenskému zpravodajství nejen monitorovat hrozby, ale v určitých případech také aktivně zasahovat proti probíhajícím kybernetickým útokům.

Podle ředitele Národního centra kybernetických operací Václava Borovičky jde o zásadní změnu v přístupu ke kybernetické obraně.

„Předtím to bylo hlavně o detekci a doporučeních. Nebyl tady nikdo, kdo by mohl útočníkům aktivně zasáhnout do infrastruktury ještě v době míru,“ uvedl Borovička.

Hybridní válka bez vyhlášení konfliktu

Bezpečnostní experti dlouhodobě upozorňují, že právě státem podporované APT skupiny představují jednu z největších kybernetických hrozeb pro Evropu a členské státy NATO.

Cílem podobných operací často není okamžitá destrukce systémů, ale dlouhodobá špionáž, získávání citlivých dat nebo budování přístupu do kritické infrastruktury pro případ budoucí eskalace konfliktu.

APT28 je v minulosti spojována například s útoky proti vládním institucím, armádním organizacím, diplomatickým cílům nebo volebním systémům.

Podle Vojenského zpravodajství jsou podobné operace součástí širšího trendu hybridních aktivit, které mají destabilizovat státy bez nutnosti otevřeného vojenského konfliktu.

Slabým místem zůstávají domácí routery

Celý případ zároveň znovu ukazuje dlouhodobý problém běžných síťových zařízení. Levné domácí routery často nedostávají bezpečnostní aktualizace, používají výchozí hesla nebo běží roky bez jakékoliv správy.

Právě taková zařízení pak mohou sloužit jako ideální infrastruktura pro státem podporované útočníky.

Bezpečnostní organizace proto doporučují pravidelně aktualizovat firmware, měnit výchozí hesla a vypnout vzdálenou správu zařízení, pokud není nutná.

Česko ukazuje, že umí aktivně zasáhnout

Operace proti infrastruktuře APT28 představuje jeden z nejviditelnějších příkladů aktivní kyberobrany v českém prostředí za poslední roky.

Vedle technického zásahu má podle expertů i důležitý symbolický rozměr: ukazuje, že české bezpečnostní složky už nejsou pouze v pasivní roli, ale dokáží společně se zahraničními partnery aktivně narušovat infrastrukturu státních hackerů.

A zároveň vysílají jasný signál, že i v digitálním prostoru mohou mít podobné operace konkrétní důsledky.