Bezpečnost | Hacking | Aféry

Víme, jak probíhal útok na ministra Zaorálka. E-maily mu četli celý rok!

  • Máme detailní informace o útoku hackerů na Ministerstvo zahraničí
  • Ministerské e-maily si kdosi četl nejméně rok
  • Unikly také tisíce souborů DOC, PDF a jiných

Česká bezpečnostní scéna posledních pár dnů řeší průnik neznámých útočníků do poštovního systému Ministerstva zahraničních věcí (více informací zde). Ačkoliv někteří politici uklidňují veřejnost, že nedošlo ke ztrátě citlivých informací, jiní jsou opačného názoru.

Máme k dispozici materiály, které odkrývají, co se vlastně stalo a čeho všeho se neznámí útočníci zmocnili.

19. ledna 2017 informovalo Ministerstvo zahraničních věcí Národní centrum kybernetické bezpečnosti (NCKB) o útoku na e-mailový systém úřadu a požádalo jej o rychlý audit.

Klasická e-mailová pošta sice nesplňuje kritéria tzv. KII – Kritické informační infrastruktury a i ministerstvo se brání, že e-mail nepoužívá k přenosu tajných informací, čili vyšetřování ani nespadá do kompetencí NCKB, bezpečností specialisté se nicméně přesto pustili do pročítání části logů, které od úřadu získali.

Analytici brzy s hrůzou zjistili, že se nejednalo o nějaký letmý průnik do poštovní schránky některého z nižších úředníků ministerstva, ale o detailní sledování 168 schránek, které započalo přinejmenším 8. ledna 2016. Neznámý záškodník měl tedy přístup k ministerské poště déle než jeden rok, aniž by si toho kdokoliv všiml!

Za útokem nejspíše stál Východ

Právě dlouhodobá akce hackerů a fakt, že se zajímali především o schránky nejvyšších činitelů v čele s Lubomírem Zaorálkem, budí podezření, že se jednalo o státem sponzorovaný útok, a to nejspíše z východu. Hackeři se totiž k poštovním schránkám připojovali z IP adresy 78.46.236.7, na které běží ruské webové fórum, případně z adres, které jsou evidované jako uzly anonymní sítě Tor, skrze které pravděpodobně loni útočili Rusové na e-maily představitelů americké Demokratické strany. Konkrétnější spojitost mezi oběma případy ale chybí.

Achillovou patou Ministerstva zahraničních věcí byl jeden z administrátorských poštovních účtů admin5. Zatím není jisté, jak útočníci získali jeho přihlašovací údaje, jelikož však NCKB doporučila ministerstvu zavést u klíčových účtů dvoufaktorové přihlašování a zvážit přístup k důležitým účtům jen z intranetových IP adres, zdá se, že opravdu stačilo sehnat login a heslo – třeba jen sociálním inženýringem, phishingem aj.

Tisíce souborů, seznamy adres...

Každopádně platí, že jakmile útočníci loni zkraje roku pronikli do e-mailu správce, dostali se rázem do celého poštovního systému a bez nadsázky začalo hotové rodeo.

Během roku stáhli z poštovního serveru nejméně 7 119 souborů PDF, DOC a jiných a e-mailové adresy domácích i zahraničních partnerů. Padesátku dokumentů získali z e-mailu Lubomíra Zaorálka, vedle kterého měli dále největší zájem o poštu tehdejších náměstků Petra Druláka, Jakuba Kulhánka, politického ředitele Ivo Šrámka a interní poštovní ústřednu ComCen, která funguje jako jakési překladiště e-mailů.

870574591 918637670
Upravený Firefox pro anonymní surfování v síti Tor. Pokud zadám do prohlížeče webovou adresu, požadavek na stránku je několikanásobně zašifrovaný a cestuje přes tři různé další uživatele–uzly Toru (na obrázku Francie, Německo, USA), takže jsem velmi těžko dohledatelný, protože na internetu vystupuji pod IP adresou posledního článku v tomto řetězci.

Tyto schránky útočníci sledovali prakticky permanentně po celý rok a mohli je kdykoliv zneužít pro vlastní phishing, kdy jménem některého z vysokých představitelů státu mohli zasílat partnerům ze zahraničí i českým úřadům nejrůznější malware a pokoušet se o další úroveň sofistikovaného sociálního inženýringu: „Ahoj Mirku, tady Lubomír. Jak jste prosím tě pokročili v jednání ohledně XXX?“

O jaké soubory ministerstvo také přišlo

  • Koordinace přípravy pozic ČR.doc
  • szbp_evropska_bezp_strategie_mailing_list.pdf
  • Zápis ze schůze Výboru pro vnitřní bezpečnost 06_2016.pdf
  • 20161220_02 Příloha 1 Tabulka úkolů z jednání EUMC 20. prosince 2016.doc
    2016 30.3-7.4. pracovní cesta_USA7.2..doc

(EUMC – European Union Military Committee)

Podle hlaviček zcizených e-mailů se útočníci dozvěděli o přípravách nejrůznějších jednání, získali představu o interním chodu úřadu, jeho prioritách a rozhodovacích procesech. Problém totiž opravdu spočívá v délce sledování. I když totiž e-mail nesloužil k výměně opravdu tajných informací, díky celoročnímu sledování nabrali i tak hromadu citlivých dat, která mohli jako střípky mozaiky složit do uceleného obrazu a získat tak třeba strategickou výhodu při bilaterálních a multilaterálních jednání.

Abych byl konkrétnější, neznámí útočníci sledovali třeba přípravu nejrůznějších dokumentů v čase, takže získali hromadu jejich verzí a tušili, jakým směrem se jednání vyvíjí. Kdyby získali jen jednu verzi, o tento kontext by přišli.

Stačil by dvoufaktor

Nejsmutnější je však na celé věci skutečnost, že běžný e-mail od Googlu (Gmail), Applu nebo třeba Microsoftu (Outlook.com) je mnohem lépe zabezpečený než e-mail jednoho z nejdůležitějších úřadů v zemi. Nabízí totiž volitelně dvoufaktorové přihlašování, kdy ke vstupu na účet potřebujete ještě další ověření třeba pomocí mobilní aplikace, anebo kódu, který dorazí v SMS.

136294984 677912506
Princip dvoufaktorového/dvoufázového přihlašování. Znalost e-mailové adresy a hesla nestačí, dodatečně je třeba totiž zadat ještě kód, který dorazí třeba jako SMS, anebo potvrdit přihlášení v mobilní aplikaci. Útočník by tedy musel získat fyzický přístup k telefonu, což není tak jednoduché.

Kdyby státní správa používala současný běžný standard zabezpečení jakékoliv komunikace, kdesi nejspíše v Rusku by se nyní rozvědčíci nebavili pročítáním ministerské nedůležité korespondence.

Národní centrum kybernetické bezpečnosti

NCKB sídlí v Brně a je součástí Národního bezpečnostního úřadu. Koordinuje spolupráci na národní i mezinárodní úrovni při předcházení kybernetickým útokům a navrhuje opatření při řešení aktuálních incidentů. Věnuje se také výzkum ua vývoji v oblasti kybernetické bezpečnosti.

E-mail zdarma - není čas změnit vaši starou adresu?

[CNCVideo: player.zive.cz|5396816

Diskuze (50) Další článek: Pět tisíc let rozvoje astronomie: Nejzávažnější objevy nás teprve čekají

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,