Hlavní obsah

Důkaz. Ministerstvo zahraničí se stalo terčem kyberšpionů čínské vlády

Foto: Profimedia.cz

Hackeři najatí Čínou zaútočili na dokumenty české vlády.

Najatí čínští kyberšpioni získali zřejmě v době před českým předsednictvím EU přístup k interním vládním dokumentům. Mimo jiné se v nich řešilo, jak se v energetice odstřihnout od Ruska, se kterým Čína spolupracuje.

Článek

Když v únoru někdo neznámý nahrál na server GitHub složku zhruba 580 souborů, vyvolalo to v globální bezpečnostní komunitě pozdvižení.

Experti totiž byli schopni potvrdit, že sbírka dat dává autentický a dosud nevídaný vhled do hackerských operací Číny - respektive šanghajské firmy I-Soon, která krade citlivá data jiných zemí a prodává je čínským tajným službám – v reklamních prospektech se chlubí, že dokáže napadnout oběti po celém světě, aniž by na to kdokoliv přišel.

Mezi uniklými soubory doteď bez povšimnutí zůstával obrázek pojmenovaný 07f179c5-5705-4dbd-94a7-66eed1e066b0_0.png. Přitom odhaluje, že mezi cíli kyberšpionů byla i česká vláda. A to v době, kdy Česká republika byla v roce 2022 předsednickou zemí Evropské unie a kdy se kvůli ruské agresi na Ukrajině řešilo, jak se může Západ ostřihnout od energetické závislosti na Vladimiru Putinovi.

Zmíněný snímek zvěčnil obsah počítačové složky pojmenované „MZV“ z interního systému I-Soon - podle názvů jde mimo jiné právě o plány českého předsednictví EU a o archivy e-mailové komunikace mezi českými a zahraničními diplomaty.

Seznam Zprávy na to upozornil někdejší vysoce postavený kyberexpert státní správy, který dnes pracuje pro soukromý sektor a kvůli bezpečnosti chce zůstat v anonymitě. Svou analýzu souběžně zveřejnil na odborném portále Cybule.cz.

Foto: Seznam Zprávy

Snímek obrazovky se soubory českého Ministerstva zahraničních věcí z uniklého balíku dat čínské hackerské firmy.

Prověřovali jsme to

Že čínští hackeři k citlivým souborům české vlády mohli získat přístup, ministerstvo zahraničí na dotazy reportérů nepopřelo.

„MZV se tímto případem zabývalo a šetřilo jej v rámci procesu řešení kybernetických bezpečnostních událostí a incidentů. Informace z takových šetření však nelze z pochopitelných důvodů poskytovat,“ reagoval mluvčí ministerstva zahraničí Daniel Drake.

Další souvislosti Černínský palác komentovat odmítl. Nesdělil například ani to, zda věc řeší s policií.

A případ odmítl komentovat i Národní kybernetický úřad, který ze zákona hackerské incidenty důležitých systémů státu řeší. „Informace máme k dispozici. Blíže se k situaci nebudeme vyjadřovat,“ řekl mluvčí instituce Marek Vala.

Bezpečnostní informační služba, která má v gesci boj proti špionáži, zase poskytla pouze obecný komentář. „Mohu potvrdit, že se BIS společně s dalšími bezpečnostními složkami věnuje dlouhodobě útokům na IT infrastrukturu MZV,“ uvedl mluvčí BIS Ladislav Šticha.

Ve výroční zprávě za rok 2022, jímž jsou výše zmíněné soubory datované, se však kontrarozvědka vyjádřila více explicitně. Čína se podle ní více zaměřila na Česko právě kvůli postavení předsednické země s cílem získat zájmové informace.

„Některé z těchto kybernetických aktivit byly minimálně z části úspěšné,“ uvedla BIS.

Šéf výboru pro zahraniční věci, obranu a bezpečnost Senátu Pavel Fischer, který se čínskému vlivu dlouhodobě věnuje, informaci o české stopě v úniku z I-Soon považuje za velmi závažnou.

„Zprávy, že by režim ČLR měl napadat kybernetickými útoky třetí státy a využívat při tom soukromých firem, mě s ohledem na utajované informace od našich bezpečnostních složek i veřejně dostupné zdroje vůbec nepřekvapují. Je to čínská praxe, proti které se musíme aktivně bránit,“ řekl Fischer.

„O konkrétním útoku nemám informace, které bych mohl sdílet, a proto budu mluvit obecně: pokud by se potvrdily zprávy, že například během našeho předsednictví v Radě EU měla být terčem útoků Česká republika jako předsednická země, pak by šlo o mimořádně vážný útok na celou sedmadvacítku, tedy na všechny členské státy EU27,“ dodal zákonodárce.

Může to být větší

Podle kyberexperta, který ve spolupráci se Seznam Zprávami soubory analyzoval, je vysoce pravděpodobné, že čínští kyberšpioni citlivé informace z ministerstva zahraničí skutečně získali.

Byť v úniku dat z firmy I-Soon - stejně jako v případě dalších cílů - samotný obsah souborů dostupný není. Neznámý „vynašeč“ se soustředil nikoliv na hacknutá data, ale na obnažení fungování samotných čínských kyberšpionů.

Soubory pojmenované zčásti česky jsou dle snímku datovány květnem 2022 - tři měsíce po začátku ruské agrese proti Ukrajině a dva měsíce před začátkem předsednictví.

„Je zřejmé, že se útočník dostal k podkladům nastiňujícím pozici České republiky k jedné z priorit českého předsednictví, jehož mimořádnost byla daná i kontextem ruské invaze na Ukrajinu. I neutajované dokumenty mohou nepovolané třetí straně prozradit citlivé informace a množství neutajovaných informací se svým významem může přiblížit utajovaným informacím,“ řekl Seznam Zprávám odborník.

A dal i příklad: „Význam znalosti různých verzí jednoho dokumentu spočívá například v tom, že útočník má schopnost porovnat průběžné verze s finální podobou dokumentu a identifikovat tak citlivá či kontroverzní témata, ať už v rámci dané napadené instituce, nebo v rámci meziresortního či mezistátního vyjednávání,“ dodal s tím, že rozsah útoku může být výrazně větší než jen uvedených 11 souborů.

Spolupráce Číny a Ruska

Zdroje Seznam Zpráv z bezpečnostní komunity přitom uvádějí, že je vysoké riziko, že se mohly interní informace dostat k tomu, komu by se hodily nejvíce - k Rusku.

Peking a Moskva v únoru 2022 vyhlásily „přátelství bez hranic“ a například podle varování amerických tajných služeb v mnoha oblastech spolupracují, aby oslabily vliv Západu ve světě.

„Musíme mít na paměti, že Čína aktivně podporuje Rusko. Pokud by útok Číny měl například pomáhat Rusku v získání informací z přípravných schůzek sedmadvacítky, jednalo by se o ohrožení našich strategických zájmů,“ doplnil Fischer.

Zabezpečení českého ministerstva zahraničí přitom i v minulosti opakovaně úspěšně prolomili nejen čínští, ale právě i ruští hackeři.

Naposledy to vyšlo najevo v roce 2017. Nedůvěra českých diplomatů ve vlastní IT systémy nabobtnala do té míry, že například pro e-mailovou komunikaci podle zdrojů Seznam Zpráv začali místo oficiálních schránek ministerstva používat e-maily nabízené zdarma jinými provozovateli.

Ministerstvo zahraničí nyní vedené Janem Lipavským (Piráti) zdůrazňuje, že se bezpečnost svých systémů pokouší zvýšit.

„Na zvyšování bezpečnosti svých sítí MZV pracuje soustavně, zavedená nebo zaváděná opatření ale opět nelze komentovat; jednalo by se o kontraproduktivní aktivitu, která by mohla zvýšit riziko úspěšnosti budoucích kybernetických útoků,“ dodal mluvčí Černínského paláce Drake.

Podle zdrojů Seznam Zpráv z bezpečnostní komunity se ministerstvo už roky pokouší vybudovat zcela novou síť, protože není jasné, jaké přesně části té dosud používané jsou nebo mohou být kompromitované hackery, a odkud tak informace unikají.

Fischer i Lipavský cílem další hackerské skupiny

Jiné čínské hackerské skupině nazývané APT31 čelil i sám Lipavský, ještě jako opoziční poslanec. Předseda senátního výboru Fischer Seznam Zprávám potvrdil, že byl rovněž cílem skupiny APT31.

V roce 2021 se podle nedávného oznámení USA či Velké Británie APT31 pokoušela získávat informace o západních zákonodárcích sdružených v organizaci IPAC, která se zaměřuje na hrozby Číny. USA nyní sedm členů skupiny obvinily z trestné činnosti a vypsaly za informace o nich odměnu až 10 milionů dolarů. Velká Británie je sankcionovala.

Jak a zda bude Česko reagovat na I-Soon, zůstává nejasné. Ministerstvo zahraničí zatím nerozhodlo, ani jak přistoupí k čínskému diplomatovi, kterého zase česká policie podezřívá, že v Praze sledoval zvolenou viceprezidentku Tchaj-wanu a málem způsobil dopravní nehodu, jak Seznam Zprávy informovaly minulý týden.

Kauza I-Soon

  • Neznámý aktér nahrál na server GitHub data 16. února 2024. Připsal je kyberbezpečnostní společnosti Shanghai I-Soon Information Technology. GitHub údaje brzy smazal. Seznam Zprávy ale mají jejich kopii k dispozici.
  • I-Soon existuje od roku 2010. Její šéf Wu Haibo patřil mezi takzvané rudé hackery, kteří pracovali ve prospěch čínské komunistické vlády. Dnes v Číně existuje trh soukromých kyberšpionážních firem, které si vzájemně konkurují a své služby čínskému státu prodávají.
  • Špičkoví světoví experti se shodují na tom, že uniklá data z I-Soon jsou autentická. Není jasné jen to, kdo je vypustil. Zda to byla například cizí zpravodajská služba, která hackla hackery, konkurent, nebo přímo některý z nespokojených zaměstnanců čínské firmy. V balíků jsou totiž i konverzace údajných zaměstnanců I-Soon, v nichž si stěžují na sexismus, špatné mzdy i pracovní podmínky.
  • Zároveň jsou ale v balíku seznamy klientů I-Soon - Ministerstvo veřejné bezpečnosti, pod kterým působí i čínská policie, civilní rozvědka Ministerstva státní bezpečnosti i Čínská lidově osvobozenecké armáda. Ale balík zrcadlí i seznamy cílů - analytici v nich objevili zhruba dvacítku cizích vlád - například Indii, Thajsko, Jižní Koreu, Velkou Británii či Tchaj-wan.
  • Únik zahrnuje i prospekty, které zachycují nabídku těmto klientům včetně ceníku. Ke koupení za v přepočtu stovky tisíc až miliony korun jsou například nástroje umožňující vlomit se do e-mailů, nástroje odhalit identitu anonymních uživatelů sociálních sítí mimo Čínu a šířit na nich dezinformace, nebo zařízení maskovaná třeba jako powerbanky, která mohou být použita k proniknutí do sítí Wi-Fi.
  • A únik dává nahlédnout i do nacenění konkrétních hackerských útoků. Například za přístup do interního systému dopravní policie ve Vietnamu I-Soon čínské vládě naúčtoval v přepočtu zhruba 1,3 milionu korun. Přístup k osobním informacím ze sociálních sítí konkrétních lidí je dražší - třeba i za 6,6 milionu korun.

Doporučované