Na školy útočí „dněpropetrovští maniaci“. E-maily mohl napsat Rus

Ve výhrůžném e-mailu, který dorazil do škol a který mají Seznam Zprávy k dispozici, se pachatelé označují jako „dněpropetrovští maniaci“. Odkazují se k případu sériových vrahů z Ukrajiny z roku 2007, kdy v Dněpropetrovské oblasti řádila dvojice sadistických mladíků. Krutým způsobem zavraždili přes 20 lidí, které obvykle náhodně vybírali, činy také točili na video.

Autoři e-mailu se odkazují rovněž na sociální síť Telegram. Na Telegramu, vlastněném ruským podnikatelem Pavlem Durovem, kterého mimochodem nedávno zatkla policie ve Francii, také podle české policie před rozesláním druhé várky výhrůžek kolovala zpráva, že se tak (opětovné zaslání výhrůžek) stane.

Z posledních zpráv začíná být zřejmé, že autoři e-mailu nejsou žádní záškoláci, kteří by si chtěli prodloužit prázdniny. Ministr vnitra Vít Rakušan (STAN) ve středu uvedl, že policie pracuje s více vyšetřovacími verzemi.

Podle zdroje Seznam Zpráv z bezpečnostní komunity jde údajně o skupinu, která je součástí ukrajinsko-ruského konfliktu. Podle expertů bude dopátrání se skutečných pachatelů obtížné, byť ne nereálné.

„Kolem války je na internetu plno dezinformací, a určit tak skutečného odesílatele je velice komplikované,“ míní Josef Korbel, etický hacker ze společnosti Citadelo.

Podle Michala Saláta, ředitele výzkumu hrozeb z bezpečnostní firmy Gen (dříve Avast), to ale nemusí nutně znamenat, že autoři e-mailu pochází z Ruska nebo Ukrajiny.

„Mohl to poslat člověk z anonymní e-mailové služby nebo z ukradené schránky. U e-mailů je anonymita složitější, pokud je ale pachatel technicky zdatný, zvládne takový útok prakticky odkudkoliv,“ vysvětluje expert.

Policie, Národní úřad pro kybernetickou bezpečnost (NÚKIB) nebo Národní centrála proti terorismu, extremismu a kybernetické kriminalitě (NCTEKK) podle Saláta mají možnosti, jak konkrétního pachatele dopátrat, jejich specifika se Seznam Zprávy rozhodly neuvádět, a nepomáhat tak kyberútočníkům v jejich činnosti.

Poslat naráz stovky e-mailů není nic neobvyklého, standardní marketingová kampaň dokáže mít o několik řádů vyšší dosah. „Autor e-mailů musel nejdříve shromáždit e-mailové schránky všech dotčených škol, což s největší pravděpodobností provedl nějakým automatizovaným způsobem. Pomoci může seznam všech akreditovaných škol na stránkách ministerstva školství,“ dodává Korbel.

Zkušení útočníci v těchto případech často využívají anonymizované poštovní servery, které se nacházejí v datových centrech po celém světě. „Mnohdy jsou dostupné v rámci prostředí Darknet,“ říká Václav Svátek, ředitel technologické společnosti ČMIS.

Pachatelé takových výhrůžných kampaní, jakých je Česko svědkem za poslední dva dny, podle Svátka často zneužívají zabezpečené privátní služby, jako je například Proton Mail, kdy k e-mailové schránce má přístup pouze osoba, která si mailbox zřídí, a celé prostředí je šifrováno bez možnosti použití nějakého „univerzálního“ klíče.

„Technické řešení je například blokovat nedůvěryhodné a nově vzniklé poštovní servery a domény. Ovšem blokovat služby, jako je Proton Mail, je nežádoucí, jedná se totiž o veřejnou službu s důrazem na ochranu soukromí a její zneužití pro podobné účely bohužel je poškozování jejího renomé a dobrého záměru. Navíc nikdy nelze předem mít jistotu, zda se jedná o pouhou výhrůžku, nebo existuje reálné riziko, že útočník myslí svoje sdělení vážně. Účinná obrana bez nežádoucích efektů pro podobné případy bohužel neexistuje,“ dodává Svátek.

Jak složité to útočník v případě českých škol pro policii a kyberúřad doopravdy udělal, se podle Saláta zřejmě dozvíme až později. „Pokud byl šikovný, mohl to poslat i z cizího e-mailu. První krok vyšetřovatelů by tak mohl být k někomu třetímu,“ přemýšlí Salát.

Expert je toho názoru, že jde spíše o špatný překlad než o text vytvořený pomocí AI. Vedou ho k tomu už první dvě slova e-mailu, kdy místo obvyklého „zdraví vás“ pachatel používá neobratné „přivítají vás“.

„V případě jazykových modelů AI by se také nemělo stávat, že se střídá jednotné a množné číslo,“ doplňuje Salát. Slovenská verze e-mailu je totožná, pouze ve slovenštině. Podle experta je možné, že bude e-mail s totožným zněním přeložen a poslán také do dalších zemí EU.

Souhlasí s ním i expert Svátek, který znění e-mailu nechal analyzovat nástrojem ZeroGPT, který dokáže odhalit, zda byl nějaký text napsán pomocí jazykového modelu. Výsledek byl negativní. „Veřejně dostupné jazykové modely jsou programovány s celou řadou pojistek, které nedovolí používat formulace skloňující násilí, manipulaci, výhrůžky a tak podobně. Můj kvalifikovaný odhad by byl takový, že text byl psán v originále jiným jazykem (ruština, ukrajinština atp.) a následně byl strojově přeložen,“ uvádí Svátek.

Rusista a sémiotik Tomáš Glanc potvrzuje teorii, že text nebyl napsán česky. „V textu skutečně ani jedna ze sedmi vět nezní úplně česky, ačkoliv žádná z vět neobsahuje jednoznačné gramatické nebo pravopisné chyby,“ říká pro Seznam Zprávy lingvista.

Už první slovo zprávy je z hlediska české stylistiky nevhodné, „přivítat“ se nepoužívá v souvislosti s terorismem nebo ozbrojeným útokem. Podle Glance by mohlo být překladem ruského „вас встретят“, což znamená mimo jiné i „budete konfrontováni s…“ nebo „budou na vás čekat…“

Pokud by text byl ukrajinského původu, mohl by podle Glance pocházet jedině z okupované – proruské – Ukrajiny. „Podezřelé je už slovní spojení „dněpropetrovští maniaci“. Město Dněpropetrovsk existovalo pod tímto názvem pouze v letech 1926 až 2016, od té doby se jmenuje Dnipro (v Rusku se často užívá rusifikovaná podoba Dněpr), Ukrajinci název Dněpropetrovsk chápou jako odkaz na nesvobodné období sovětské nadvlády řízené z Moskvy,“ vysvětluje lingvista.

Že by text sestavil rodilý mluvčí češtiny se zkušeností s psaným projevem, považuje lingvista za nepravděpodobné. I přes malou pravděpodobnost reálné hrozby je podle bezpečnostních expertů důležité, aby školy a instituce vždy výhrůžné e-maily braly vážně, dokud se neprokáže jejich nepravdivost.

„Opatrnost je klíčová a jakákoli výhrůžka by měla být okamžitě nahlášena orgánům činným v trestním řízení, které následně provedou potřebné kroky k zajištění bezpečnosti,“ uvádí Petr Zahálka ze skupiny Thein Security.

Seznam Zprávy prozkoumaly také telegramový účet, na který se autoři e-mailu odkazují. Kromě krátkého popisu v azbuce zaujme především náhledovým obrázkem, na kterém je fotografie zkrvavené ruky, do které je nožem vyrytý název telegramové skupiny.

Ale zpět k technikáliím, které jsou v případě výhrůžných e-mailů důležité. Pro rozesílání takovýchto zpráv používají útočníci maskování pomocí různých proxy serverů (prostředník mezi klientem a cílovým počítačem) a VPN neboli virtuální privátní sítě, jež vytváří digitální spojení mezi počítačem a vzdáleným serverem vlastněným poskytovatelem sítě VPN, čímž vzniká bodový tunel, který zašifruje osobní údaje.

Oblíbené jsou služby v rámci takzvaných TOR sítí, které pomáhají zdroj fakticky anonymizovat. V případě zmíněné služby Proton Mail se například jedná o Švýcarsko, kde jsou servery umístěny.

„Vždy když se jedná o přeshraniční spolupráci, je to složitější. Pokud ale bude útočník fyzicky někde ve státech EU, případně alespoň používat infrastrukturu z EU, má policie k dispozici více stop, po kterých může jít,“ konstatuje Salát.

I když to v případě výhrůžných e-mailu tak nebylo, podobným útokům rozvoj generativní umělé inteligence, která je schopná připravit text v takřka kterémkoliv jazyce, rozhodně nahrává.

„AI fakticky zbořila překážky v podobě specifik jednotlivých jazyků. Typickým problémem v rámci EU byla čeština nebo litevština. Toto již neplatí, útočníci kvůli jazykovým modelům mají k dispozici dokonalý nástroj pro tvorbu textů v kterémkoliv jazyce,“ sděluje Svátek.

Školy by se i přes své omezené možnosti podle expertů měly na podobné výhrůžky pro příště lépe připravit. „Měly by používat aktualizované bezpečnostní systémy a e-mailové servery. Pravidelné aktualizace softwaru a bezpečnostních protokolů mohou zabránit zneužití zranitelností,“ sděluje Zahálka. Zmiňuje také důležitost školení zaměstnanců.

„Školení o kybernetických hrozbách, včetně toho, jak rozpoznat podezřelé e-maily, je klíčové. Zaměstnanci musí vědět, jak reagovat na výhrůžné e-maily a komu je hlásit. A v neposlední řadě zavést antispamové a antivirové ochrany. Nastavení efektivních filtrů, které zachytí podezřelé e-maily předtím, než dorazí do schránek příjemců, je zásadní,“ dodává Zahálka.

Vyhrožování na školách prověřuje NCTEKK. Podle jejího ředitele Břetislava Brejchy jde v tomto ohledu o trestné činy šíření poplašné zprávy, případně vyhrožování teroristickým trestným činem, za které hrozí pachateli nebo pachatelům v krajním případě až 15 let odnětí svobody.

„Obecně se dá říci, že cílem podobných jednání může být vyvolání pocitu nejistoty, ohrožení a nebezpečí ve společnosti. S ohledem na charakter sdělení se relevance rozsahu popisovaných útoků jeví jako nízká. Rád bych poděkoval veřejnosti za případné relevantní poznatky k této situaci, kterou rozhodně nepodceňujeme. Na případu velmi intenzivně pracujeme za využití všech dostupných prostředků a snažíme se získat z virtuálního prostředí potřebné informace,“ napsal Brejcha Seznam Zprávám.