Víme, jak probíhal útok na ministra Zaorálka. E-maily mu četli celý rok!

  • Máme detailní informace o útoku hackerů na Ministerstvo zahraničí
  • Ministerské e-maily si kdosi četl nejméně rok
  • Unikly také tisíce souborů DOC, PDF a jiných
Upravený Firefox pro anonymní surfování v síti Tor

Česká bezpečnostní scéna posledních pár dnů řeší průnik neznámých útočníků do poštovního systému Ministerstva zahraničních věcí (více informací zde). Ačkoliv někteří politici uklidňují veřejnost, že nedošlo ke ztrátě citlivých informací, jiní jsou opačného názoru.

Máme k dispozici materiály, které odkrývají, co se vlastně stalo a čeho všeho se neznámí útočníci zmocnili.

19. ledna 2017 informovalo Ministerstvo zahraničních věcí Národní centrum kybernetické bezpečnosti (NCKB) o útoku na e-mailový systém úřadu a požádalo jej o rychlý audit.

Klasická e-mailová pošta sice nesplňuje kritéria tzv. KII – Kritické informační infrastruktury a i ministerstvo se brání, že e-mail nepoužívá k přenosu tajných informací, čili vyšetřování ani nespadá do kompetencí NCKB, bezpečností specialisté se nicméně přesto pustili do pročítání části logů, které od úřadu získali.

Analytici brzy s hrůzou zjistili, že se nejednalo o nějaký letmý průnik do poštovní schránky některého z nižších úředníků ministerstva, ale o detailní sledování 168 schránek, které započalo přinejmenším 8. ledna 2016. Neznámý záškodník měl tedy přístup k ministerské poště déle než jeden rok, aniž by si toho kdokoliv všiml!

Za útokem nejspíše stál Východ

Právě dlouhodobá akce hackerů a fakt, že se zajímali především o schránky nejvyšších činitelů v čele s Lubomírem Zaorálkem, budí podezření, že se jednalo o státem sponzorovaný útok, a to nejspíše z východu. Hackeři se totiž k poštovním schránkám připojovali z IP adresy 78.46.236.7, na které běží ruské webové fórum, případně z adres, které jsou evidované jako uzly anonymní sítě Tor, skrze které pravděpodobně loni útočili Rusové na e-maily představitelů americké Demokratické strany. Konkrétnější spojitost mezi oběma případy ale chybí.

Achillovou patou Ministerstva zahraničních věcí byl jeden z administrátorských poštovních účtů admin5. Zatím není jisté, jak útočníci získali jeho přihlašovací údaje, jelikož však NCKB doporučila ministerstvu zavést u klíčových účtů dvoufaktorové přihlašování a zvážit přístup k důležitým účtům jen z intranetových IP adres, zdá se, že opravdu stačilo sehnat login a heslo – třeba jen sociálním inženýringem, phishingem aj.

Tisíce souborů, seznamy adres...

Každopádně platí, že jakmile útočníci loni zkraje roku pronikli do e-mailu správce, dostali se rázem do celého poštovního systému a bez nadsázky začalo hotové rodeo.

Během roku stáhli z poštovního serveru nejméně 7 119 souborů PDF, DOC a jiných a e-mailové adresy domácích i zahraničních partnerů. Padesátku dokumentů získali z e-mailu Lubomíra Zaorálka, vedle kterého měli dále největší zájem o poštu tehdejších náměstků Petra Druláka, Jakuba Kulhánka, politického ředitele Ivo Šrámka a interní poštovní ústřednu ComCen, která funguje jako jakési překladiště e-mailů.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Upravený Firefox pro anonymní surfování v síti Tor. Pokud zadám do prohlížeče webovou adresu, požadavek na stránku je několikanásobně zašifrovaný a cestuje přes tři různé další uživatele–uzly Toru (na obrázku Francie, Německo, USA), takže jsem velmi těžko dohledatelný, protože na internetu vystupuji pod IP adresou posledního článku v tomto řetězci.

Tyto schránky útočníci sledovali prakticky permanentně po celý rok a mohli je kdykoliv zneužít pro vlastní phishing, kdy jménem některého z vysokých představitelů státu mohli zasílat partnerům ze zahraničí i českým úřadům nejrůznější malware a pokoušet se o další úroveň sofistikovaného sociálního inženýringu: „Ahoj Mirku, tady Lubomír. Jak jste prosím tě pokročili v jednání ohledně XXX?“

O jaké soubory ministerstvo také přišlo

  • Koordinace přípravy pozic ČR.doc
  • szbp_evropska_bezp_strategie_mailing_list.pdf
  • Zápis ze schůze Výboru pro vnitřní bezpečnost 06_2016.pdf
  • 20161220_02 Příloha 1 Tabulka úkolů z jednání EUMC 20. prosince 2016.doc
    2016 30.3-7.4. pracovní cesta_USA7.2..doc

(EUMC – European Union Military Committee)

Podle hlaviček zcizených e-mailů se útočníci dozvěděli o přípravách nejrůznějších jednání, získali představu o interním chodu úřadu, jeho prioritách a rozhodovacích procesech. Problém totiž opravdu spočívá v délce sledování. I když totiž e-mail nesloužil k výměně opravdu tajných informací, díky celoročnímu sledování nabrali i tak hromadu citlivých dat, která mohli jako střípky mozaiky složit do uceleného obrazu a získat tak třeba strategickou výhodu při bilaterálních a multilaterálních jednání.

Abych byl konkrétnější, neznámí útočníci sledovali třeba přípravu nejrůznějších dokumentů v čase, takže získali hromadu jejich verzí a tušili, jakým směrem se jednání vyvíjí. Kdyby získali jen jednu verzi, o tento kontext by přišli.

Stačil by dvoufaktor

Nejsmutnější je však na celé věci skutečnost, že běžný e-mail od Googlu (Gmail), Applu nebo třeba Microsoftu (Outlook.com) je mnohem lépe zabezpečený než e-mail jednoho z nejdůležitějších úřadů v zemi. Nabízí totiž volitelně dvoufaktorové přihlašování, kdy ke vstupu na účet potřebujete ještě další ověření třeba pomocí mobilní aplikace, anebo kódu, který dorazí v SMS.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Princip dvoufaktorového/dvoufázového přihlašování. Znalost e-mailové adresy a hesla nestačí, dodatečně je třeba totiž zadat ještě kód, který dorazí třeba jako SMS, anebo potvrdit přihlášení v mobilní aplikaci. Útočník by tedy musel získat fyzický přístup k telefonu, což není tak jednoduché.

Kdyby státní správa používala současný běžný standard zabezpečení jakékoliv komunikace, kdesi nejspíše v Rusku by se nyní rozvědčíci nebavili pročítáním ministerské nedůležité korespondence.

Národní centrum kybernetické bezpečnosti

NCKB sídlí v Brně a je součástí Národního bezpečnostního úřadu. Koordinuje spolupráci na národní i mezinárodní úrovni při předcházení kybernetickým útokům a navrhuje opatření při řešení aktuálních incidentů. Věnuje se také výzkum ua vývoji v oblasti kybernetické bezpečnosti.

Témata článku: Bezpečnost, Zajímavosti, Hacking, Malware, Heslo, Únik dat, Rusko, E-mail, Politika, Odposlech, Aféry, Dvoufázové ověření, Phishing, Drogy, Kybernetický útok

51 komentářů

Nejnovější komentáře

  • Petr Korbélyi 3. 2. 2017 21:21:55
    Tento případ jen ukazuje tragickou ignoranci pracovníků v byrokratickém...
  • Miloš Zemen 3. 2. 2017 16:14:51
    přístupová hesla jsem poskytl dobrovolně. za orálek
  • Petr Ježek 3. 2. 2017 14:24:08
    Jediný důležitý problém, ostatní bez důležitosti. Je zcela lhostejné, kdo...
Určitě si přečtěte

11 tipů, jak efektivně a přesně sledovat počasí pomocí internetu

11 tipů, jak efektivně a přesně sledovat počasí pomocí internetu

** Sledujte počasí z více zdrojů a podrobněji, přesněji tak určíte, jaké počasí vás potká na dovolené ** Na webu najdete hromadu pokročilých předpovědí počasí, ale i specializované meteorologické služby ** Vybrali jsme 14 služeb na počasí, které se vám můžou hodit

23.  6.  2017 | Jakub Čížek | 19

Herní počítač vs. Xbox One X: Kvalita obrazu není všechno

Herní počítač vs. Xbox One X: Kvalita obrazu není všechno

** Nový Xbox One X slibuje hraní ve 4K s HDR za 13 tisíc korun ** Aby stejnou kvalitu obrazu zvládl počítač, museli byste za něj dát minimálně dvakrát tolik ** Přesto herní počítače stále svůj smysl mají

24.  6.  2017 | Tomáš Holčík | 58

Nejlepší program pro střih videa na doma: 9 video editorů, ze kterých si vyberete

Nejlepší program pro střih videa na doma: 9 video editorů, ze kterých si vyberete

** Pokročilé střihové programy pro neprofesionální využití stojí do 3 000 Kč, jsou ale i zdarma ** Podpora 4K, hromada editačních funkcí a efektové filtry jsou samozřejmostí ** Vybrali jsme 9 nejzajímavějších programů pro nejrozšířenější operační systém Windows

25.  6.  2017 | Stanislav Janů | 32


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky