Víme, jak probíhal útok na ministra Zaorálka. E-maily mu četli celý rok!

  • Máme detailní informace o útoku hackerů na Ministerstvo zahraničí
  • Ministerské e-maily si kdosi četl nejméně rok
  • Unikly také tisíce souborů DOC, PDF a jiných

Česká bezpečnostní scéna posledních pár dnů řeší průnik neznámých útočníků do poštovního systému Ministerstva zahraničních věcí (více informací zde). Ačkoliv někteří politici uklidňují veřejnost, že nedošlo ke ztrátě citlivých informací, jiní jsou opačného názoru.

Máme k dispozici materiály, které odkrývají, co se vlastně stalo a čeho všeho se neznámí útočníci zmocnili.

19. ledna 2017 informovalo Ministerstvo zahraničních věcí Národní centrum kybernetické bezpečnosti (NCKB) o útoku na e-mailový systém úřadu a požádalo jej o rychlý audit.

Klasická e-mailová pošta sice nesplňuje kritéria tzv. KII – Kritické informační infrastruktury a i ministerstvo se brání, že e-mail nepoužívá k přenosu tajných informací, čili vyšetřování ani nespadá do kompetencí NCKB, bezpečností specialisté se nicméně přesto pustili do pročítání části logů, které od úřadu získali.

Analytici brzy s hrůzou zjistili, že se nejednalo o nějaký letmý průnik do poštovní schránky některého z nižších úředníků ministerstva, ale o detailní sledování 168 schránek, které započalo přinejmenším 8. ledna 2016. Neznámý záškodník měl tedy přístup k ministerské poště déle než jeden rok, aniž by si toho kdokoliv všiml!

Za útokem nejspíše stál Východ

Právě dlouhodobá akce hackerů a fakt, že se zajímali především o schránky nejvyšších činitelů v čele s Lubomírem Zaorálkem, budí podezření, že se jednalo o státem sponzorovaný útok, a to nejspíše z východu. Hackeři se totiž k poštovním schránkám připojovali z IP adresy 78.46.236.7, na které běží ruské webové fórum, případně z adres, které jsou evidované jako uzly anonymní sítě Tor, skrze které pravděpodobně loni útočili Rusové na e-maily představitelů americké Demokratické strany. Konkrétnější spojitost mezi oběma případy ale chybí.

Achillovou patou Ministerstva zahraničních věcí byl jeden z administrátorských poštovních účtů admin5. Zatím není jisté, jak útočníci získali jeho přihlašovací údaje, jelikož však NCKB doporučila ministerstvu zavést u klíčových účtů dvoufaktorové přihlašování a zvážit přístup k důležitým účtům jen z intranetových IP adres, zdá se, že opravdu stačilo sehnat login a heslo – třeba jen sociálním inženýringem, phishingem aj.

Tisíce souborů, seznamy adres...

Každopádně platí, že jakmile útočníci loni zkraje roku pronikli do e-mailu správce, dostali se rázem do celého poštovního systému a bez nadsázky začalo hotové rodeo.

Během roku stáhli z poštovního serveru nejméně 7 119 souborů PDF, DOC a jiných a e-mailové adresy domácích i zahraničních partnerů. Padesátku dokumentů získali z e-mailu Lubomíra Zaorálka, vedle kterého měli dále největší zájem o poštu tehdejších náměstků Petra Druláka, Jakuba Kulhánka, politického ředitele Ivo Šrámka a interní poštovní ústřednu ComCen, která funguje jako jakési překladiště e-mailů.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Upravený Firefox pro anonymní surfování v síti Tor. Pokud zadám do prohlížeče webovou adresu, požadavek na stránku je několikanásobně zašifrovaný a cestuje přes tři různé další uživatele–uzly Toru (na obrázku Francie, Německo, USA), takže jsem velmi těžko dohledatelný, protože na internetu vystupuji pod IP adresou posledního článku v tomto řetězci.

Tyto schránky útočníci sledovali prakticky permanentně po celý rok a mohli je kdykoliv zneužít pro vlastní phishing, kdy jménem některého z vysokých představitelů státu mohli zasílat partnerům ze zahraničí i českým úřadům nejrůznější malware a pokoušet se o další úroveň sofistikovaného sociálního inženýringu: „Ahoj Mirku, tady Lubomír. Jak jste prosím tě pokročili v jednání ohledně XXX?“

O jaké soubory ministerstvo také přišlo

  • Koordinace přípravy pozic ČR.doc
  • szbp_evropska_bezp_strategie_mailing_list.pdf
  • Zápis ze schůze Výboru pro vnitřní bezpečnost 06_2016.pdf
  • 20161220_02 Příloha 1 Tabulka úkolů z jednání EUMC 20. prosince 2016.doc
    2016 30.3-7.4. pracovní cesta_USA7.2..doc

(EUMC – European Union Military Committee)

Podle hlaviček zcizených e-mailů se útočníci dozvěděli o přípravách nejrůznějších jednání, získali představu o interním chodu úřadu, jeho prioritách a rozhodovacích procesech. Problém totiž opravdu spočívá v délce sledování. I když totiž e-mail nesloužil k výměně opravdu tajných informací, díky celoročnímu sledování nabrali i tak hromadu citlivých dat, která mohli jako střípky mozaiky složit do uceleného obrazu a získat tak třeba strategickou výhodu při bilaterálních a multilaterálních jednání.

Abych byl konkrétnější, neznámí útočníci sledovali třeba přípravu nejrůznějších dokumentů v čase, takže získali hromadu jejich verzí a tušili, jakým směrem se jednání vyvíjí. Kdyby získali jen jednu verzi, o tento kontext by přišli.

Stačil by dvoufaktor

Nejsmutnější je však na celé věci skutečnost, že běžný e-mail od Googlu (Gmail), Applu nebo třeba Microsoftu (Outlook.com) je mnohem lépe zabezpečený než e-mail jednoho z nejdůležitějších úřadů v zemi. Nabízí totiž volitelně dvoufaktorové přihlašování, kdy ke vstupu na účet potřebujete ještě další ověření třeba pomocí mobilní aplikace, anebo kódu, který dorazí v SMS.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Princip dvoufaktorového/dvoufázového přihlašování. Znalost e-mailové adresy a hesla nestačí, dodatečně je třeba totiž zadat ještě kód, který dorazí třeba jako SMS, anebo potvrdit přihlášení v mobilní aplikaci. Útočník by tedy musel získat fyzický přístup k telefonu, což není tak jednoduché.

Kdyby státní správa používala současný běžný standard zabezpečení jakékoliv komunikace, kdesi nejspíše v Rusku by se nyní rozvědčíci nebavili pročítáním ministerské nedůležité korespondence.

Národní centrum kybernetické bezpečnosti

NCKB sídlí v Brně a je součástí Národního bezpečnostního úřadu. Koordinuje spolupráci na národní i mezinárodní úrovni při předcházení kybernetickým útokům a navrhuje opatření při řešení aktuálních incidentů. Věnuje se také výzkum ua vývoji v oblasti kybernetické bezpečnosti.

Témata článku: Bezpečnost, Hacking, Zajímavosti, Únik dat, Heslo, Malware, Politika, Odposlech, E-mail, Aféry, Rusko, Dvoufázové ověření, Phishing, Drogy, .doc

51 komentářů

Nejnovější komentáře

  • Petr Korbélyi 3. 2. 2017 21:21:55
    Tento případ jen ukazuje tragickou ignoranci pracovníků v byrokratickém...
  • Miloš Zemen 3. 2. 2017 16:14:51
    přístupová hesla jsem poskytl dobrovolně. za orálek
  • Petr Ježek 3. 2. 2017 14:24:08
    Jediný důležitý problém, ostatní bez důležitosti. Je zcela lhostejné, kdo...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 56

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59

Brněnské soudy daly stop Uberu. Je to dobře, nebo krok zpět?

Brněnské soudy daly stop Uberu. Je to dobře, nebo krok zpět?

** Před několika měsíci začal Uber nabízet své služby i v Brně ** Nyní ale narazil, soudům se to totiž nelíbí ** Má sdílená ekonomika dostat zelenou?

22.  4.  2017 | Jakub Čížek | 28


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5