Vojenské zpravodajství (VZ) se v březnu zapojilo do mezinárodní operace proti aktivitám hackerské skupiny APT28, která je spojovaná s ruskou vojenskou zpravodajskou službou GRU a která přes slabě zabezpečené routery prováděla kybernetické útoky na státní a další organizace v ČR i zahraničí. Operaci vedl americký Federální úřad pro vyšetřování (FBI) a jejím cílem bylo odebrat útočníkům přístup k napadeným zařízením a ty následně zabezpečit. Vojenské zpravodajství to dnes uvedlo na síti X a ČTK to řekl jeho mluvčí Jan Pejšek.
Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) hackeři kvůli kyberšpionáži ovládli routery typu TP-Link pro malé a domácí kanceláře.
„Vojenské zpravodajství provedlo aktivní zásah spočívající v úpravě nastavení části globálně zneužívané infrastruktury a zabezpečení potenciálně zneužitelných zařízení na území České republiky. Kompromitovaná zařízení byla APT28 zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v České republice i v zahraničí, včetně našich spojenců v NATO a EU,“ uvedlo zpravodajství ke svému zásahu. Pejšek následně upřesnil, že zásah spočíval v odebraní přístupu útočníků ke zranitelným zařízením a jejich následném zabezpečení, aby jejich zranitelnosti nemohl v budoucnu opět někdo zneužít.
NÚKIB informoval, že podle zprávy FBI útočníci využili slabinu v modelu routeru TP‑Link TL‑WR841N, která umožňuje obejít přihlášení a získat plnou kontrolu nad zařízením. Skupina podle zprávy po získání přístupu měnila nastavení routerů a přesměrovávala provoz připojených zařízení na vlastní DNS servery. Tím mohla sledovat dotazy na doménová jména a u vybraných služeb vracet falešné odpovědi, což umožnilo útoky na šifrovanou komunikaci. Útočníci tak získávali hesla či další citlivé údaje, včetně obsahu e‑mailů. Podle zprávy FBI jsou nejvíce ohroženy routery, které stále používají původní hesla, doplnil úřad.
„Využití zranitelných zařízení slouží jednak k zakrytí původce útoku, jednak poskytuje škodlivým aktérům rozsáhlou infrastrukturu pro útoky, distribuovanou po celém světě, a to v podstatě bez jakýchkoliv nákladů,“ doplnil Pejšek.
Obrana ČR v kyberprostoru je jedním z úkolů Vojenského zpravodajství. Podle něj ale nestačí blokovat jednotlivé hackerské útoky, protože vysoce pokročilé skupiny jako ruská APT28 nebo čínská APT31 se dokážou během hodin přizpůsobit, a pokud je zneškodněn jediný uzel, přepnou na jiný. „Efektivní obrana proto musí zasáhnout celou infrastrukturu najednou, a to dříve, než útočník stihne reagovat. Jde o závod s časem, kde každý kompromitovaný přístroj prodlužuje útočníkovu životnost a stěžuje jeho odhalení,“ doplnilo VZ.
VZ současně vyzvalo veřejnost k „základní kybernetické hygieně“, protože jedním z článků řetězce, přes který hackeři útočí na kritickou infrastrukturu, energetiku nebo státní správu, mohou být i nezabezpečená domácí zařízení. Lidé by si proto měli pravidelně aktualizovat jejich zabezpečení, měli by mít silná hesla a ověřovat si pravost navštěvovaných webů.
