Článek
Na české nemocnice v minulých týdnech opakovaně zaútočili hackeři. Redakci Seznam Zpráv se nyní podařilo zrekonstruovat, jak byly jejich akce organizovány a kdo za nimi stál.
Nová zjištění míří nejen k tomu, že útoky byly vedeny z Ruska, ale že v pozadí lidí, kteří se na útocích podíleli, najdeme společnost, v níž drží kontrolní balík akcií ruský stát.
K tomuto výsledku dospělo tři týdny trvající pátrání, do něhož se spolu s analytickým týmem Seznam Zpráv zapojila skupina takzvaných etických hackerů - tedy expertů, kteří se zabývají právě ochranou před ataky hackerů a případně také jejich identifikací.
Závěr, k němuž celkem pětičlenný tým dospěl, dokresluje mimo jiné poznatky zdejší zpravodajské komunity. „Za útoky na české zdravotnictví je podle všeho Rusko, všechno na to ukazuje,“ potvrdil Seznam Zprávám zdroj z této branže.
Jaké pro to existují konkrétní důkazy?
Muž z Moskvy
Seznam Zprávy nejprve s pomocí analytiků popsaly, že charakter útoků na české nemocnice připomíná „vyhlášení války“ (více v infoboxu níže), ale dostaly se i ke konkrétnímu jménu člověka, který je s nimi spojen.
Stopu Alexandra Alexandroviče Černyšova zaznamenali etičtí hackeři v malém office centru v Moskvě, ve čtvrti Marina rošča ležící v severní části ruského hlavního města.
Seznam Zprávám se s Černyšovem podařilo spojit a z rozhovoru vedeného prostřednictvím e-mailu vyplynulo, že je vlastníkem podílu a ředitelem v nevelké ruské IT společnosti Team-host.
„Zabýváme se komunikačními službami a servisem data center,“ napsal Seznam Zprávám Černyšov, k němuž analytiky a etické hackery dovedlo to, že si osobně zaregistroval IP adresy, ze kterých byly některé hackerské útoky na české nemocnice podniknuty.
I když Černyšov odmítl, že by se akcí účastnil přímo, není fakticky možné, aby jako registrátor a provider o útocích nevěděl. Jeho jméno se docela často objevuje kolem IP adres na takzvaných blacklistech - tedy seznamech „agresorských“ IP rozsahů, mezi etickými hackery je docela známé.
„Zrovna nedávno jsem na něj zase narazil, opět přes jím spravované rozsahy, a zase probíhal útok,“ říká jeden z etických hackerů, jehož identitu redakce zná, ale slíbila ji utajit.
Proč jsou kyberútoky na nemocnice „podivné“
Etičtí hackeři, kteří spolupracují se Seznam Zprávami, popsali několik zvláštností, které kyberútoky na české nemocnice mají.
1. Hackeři většinou něco chtějí - peníze, nebo data. V „našich“ případech sice útoky trvají dlouho, takže jsou velmi nákladné, ale útočník sám vlastně nic nechce.
2. Hackeři za sebou většinou dokážou zamést stopy a na jejich úspěšné útoky většinou nepřijde nikdo. A pokud ano, tak s velkým časovým odstupem, kdy už není možné nic moc zjistit. Tady však podle analytiků útočník sám po sobě zanechává stopy. Přitom je patrné, že nejde o práci amatéra. „Skoro to vypadá, jako by chtěl, abychom ho dokázali najít,“ komentuje to spolupracovník redakce.
3. Nemocnice a jejich experti se dokážou útoku ubránit, pokud se o to snaží. Efekt útoku je tedy hlavně v tom, že neustále přitahuje pozornost. „Z našeho pohledu to vypadá jako vyhlášení války,“ vystihuje to lakonicky už citovaný expert.
4. Útoky mohou mít přitom velmi nebezpečné dopady. Kupříkladu nemocnice v Brně v Bohunicích se musela fakticky celá vypnout v polovině března a řadu pacientů převézt jinam.
Já to jen spravoval
Že s hackery přinejmenším vědomě spolupracuje, vyplývá i z toho, co Černyšov říká. Je součástí jejich skupiny.
Spolupracovníci Seznam Zpráv se v této souvislosti přiklánějí k tomu, že útoky nemohly být jeho soukromou akcí. „Pro soukromou osobu to nedává smysl. Jenom to stojí peníze a čas,“ poznamenává jeden z nich.
Pro ilustraci: Útok, který redakce zkoumá, trval týden, odehrál se na konci dubna a byl veden zároveň z nejméně dvanácti zařízení.
Sám Černyšov pak Seznam Zprávám vysvětloval, že IP adresy, na nichž byl při pátrání po hackerech objeven, pouze spravuje. A to pro klienta. Jeho jméno - samozřejmě - neprozradí.
„Jméno vám neřeknu. Je rusky mluvící, platí nám měsíčně za pronájem a je to fyzická osoba. Platí i za pronájem serverů,“ uvedl Černyšov ke klientovi, jemuž spravuje infrastrukturu, z níž byly kyberútoky na česká zdravotnická zařízení vedeny.
Další informace, že jeho klient je fyzická osoba, je zajímavá, ale ještě to neznamená, že nereprezentuje někoho - nějakou společnost.
„Byznys se v naší zemi dělá často přes fyzické osoby, aby se snížilo zdanění,“ vysvětluje Černyšov. Kdo jsou lidé, nebo firmy, pro které klient pracuje, však opět odmítl říci.
I tak však poskytl velmi důležité vodítko. Z toho, co řekl a co zjistili etičtí hackeři, je totiž patrné, že Černyšov je prostředník, který klientovi umožňuje se schovávat a poskytuje mu elektronické nástroje, aby útoky mohl provádět.
Spojeni se státem
Kdo jsou tedy klíčoví Černyšovovi klienti?
Redakce se k nim (ve spolupráci s etickými hackery a analytiky) dostala jednak přes Černyšovovo jméno, a pak také přes další údaje, které o něm díky tomu zjistila.
Jako zásadní se ukázala adresa místa jeho kanceláře a právě IP rozsahy, které si zaregistroval.
Na stejné adrese v ulici Skladočnaja v Moskvě, kde je registrován Černyšov, je možné najít, krom několika dalších, i společnosti Matrix telecom a Avantel.
„Ano, Avantel je náš klient jako telekomunikační operátor,“ potvrdil Seznam Zprávám Černyšov.
Znamená to, že Avantel a Černyšova nespojuje jen stejná poštovní adresa, ale také společná elektronická stopa, konkrétně opět IP adresy. Ale v tomto případě i správa připojení k internetu, takže Avantel je pro Černyšova významným a velkým klientem.
Podle ruského obchodního rejstříku přitom Avantel původně vlastnil jistý Andrej Gončarov, avšak přede dvěma lety, tedy v roce 2018, vydal Federální antimonopolní úřad Ruské federace rozhodnutí, že tuto společnost může převzít největší ruská státem zřízená telekomunikační společnost Rostelecom.
A to se také stalo, dnes je vlastníkem Avantelu Rostelecom, konkrétně přes svou dceřinou firmu Bachtel.
Lze tedy udělat závěr, že lidé jako Černyšov, kteří jsou součástí hackerské skupiny útočící na české nemocnice, pracují i pro ruský stát.
V Rostelekomu má totiž právě ruský stát kontrolní balík 43 procent akcií, je to největší podíl mezi ostatními akcionáři.
Seznam Zprávy se pokusili tuto ruskou společnost kontaktovat, ale na dotazy nereagovala.
Nedostali jsme tedy odpovědi na to, zda Černyšov pracuje přímo pro ni, nebo na to, zda se na akcích proti českému zdravotnictví nějak podílejí.
Mimochodem v Rusku obecně existují přísné postihy za hackerské útoky, nebo za účast na nich. Alexandr Alexandrovič Černyšov však už mnoho let pracuje zcela bez následků.