Zdravím tě, milý čtenáři!
Dnes se krátce podíváme na zprávu ohledně čínských hackerů, kteří se dokázali dostat do jedné neutajované sítě Ministerstva zahraničních věcí ČR.
Co se stalo: Ministerstvo zahraničních věcí ČR vydalo krátkou zprávu o tom, že čínská kyberšpionážní skupina APT31 se dokázala dostat do jejich neutajované sítě. Byla tam už od roku 2022. Jejich vyjádření je zde: https://mzv.gov.cz/jnp/cz/udalosti_a_media/tiskove_zpravy/prohlaseni_vlady_ceske_republiky.html. Zároveň jejich slova podpořil NÚKIB, BIS, UZSI a Vojenské zpravodajství, tedy všechny relevantní subjekty v rámci ČR. Zároveň i NATO a EU vydaly prohlášení odsuzující tento útok.
Bohužel k tomu nemohu nic moc říci, protože celkem logicky nebyly sděleny žádné okolnosti typu: jak se tam dostali, jaké aktivity vyvíjeli v té síti ani jak byli detekováni. Dá se ale usuzovat, že se na vyšetřování podílely všechny výše jmenované subjekty a skoro jistě proběhla i nějaká kooperace s NATO. Minimálně byli nějakým způsobem všichni sladěni už kvůli těm společným prohlášením. A za toto jsem rád, protože spolu dokážou spolupracovat a zároveň i relevantní partneři v NATO s námi sdílí informace. Pojďme se ale zkusit podívat na dvě asi nejlogičtější otázky:
Jak dokázali zjistit, že se jedná o APT31?
Tomuto procesu, kdy se snažíme zjistit, co je to za útočníka a odkud je, se říká atribuce. A ne, nejedná se o to, že pokud vidím komunikaci na IP adresu z Ruska, tak to musí automaticky být ruská skupina. Celý proces je samozřejmě složitější. Každý útočník je v něčem specifický. Používá nějaké nástroje (="hackovací programy"), používá nějaké taktiky a techniky a nakonec i nějakou infrastrukturu, kde se nám objeví i ta IP adresa. Když se dokážeme dostat k datům ohledně spousty kybernetických útoků (řekněme na evropské instituce) a zároveň byl i někdo schopen ty útoky pořádně vyšetřit, tak se začne stávat, že některé útoky se budou navzájem podobat. Podobné budou v tom smyslu, že průběh útoků i použité nástroje budou stejné. Dáme si analogii z filmu Sám doma, kde byli "Mokrý banditi" - Harry a Marv. Marv vždycky, když vykradli dům, zapnul vodu a ucpal umyvadlo. Je to sice blbost, ale když se k tomu připočte i to, že používali páčidlo, do baráku se dostávali vchodem nebo oknem v přízemí, odnesli si asi jen to, co se jim vešlo do jejich dodávky - tak už se oproti jiným lupičům v okolí dost lišili. Konec této možná divné analogie.
Podobné je to i v IT světě. Některá skupina si třeba programuje nástroje sama pro sebe a jiným hackerům je nedává. Když takový nástroj objevíte, je to už celkem solidní stopa. Jiná jako prvotní vektor používá hesla z nějaké uniklé databáze. Další nějakou konkrétní zranitelnost. Abyste mohli začít provádět atribuci potřebujete tuto "knihovnu" útočníků a jejich chování. V tomto udělal svět už celkem krok kupředu. Je minimálně jedna dobrá zadarmo a pokud si chcete něco přečíst (v angličtině) o APT31, tak tady je link: https://attack.mitre.org/groups/G0128/.
Je jasné, že jakmile si skupina APT31 o sobě přečte, co se o ní ví, tak se může snažit modifikovat svoje chování. Z těchto různých databází a knihoven útočníků tedy nevidíme, jací jsou teď, ale jací byli v minulosti. Pokud jste ale Ministerstvo zahraničí a přijdou vám na pomoc všechny naše tajné služby a NÚKIB, tak si buďte jistí, že ti mají k dispozici i neveřejné informace o skupině APT31.
Proč v té síti byl ten útočník tři roky, než ho detekovali?
Tři roky je celkem dlouhá doba, že? Někdy ne. Někdy je i úspěch, že útočníka vůbec odhalíte. Obzvlášť pokud se jedná o státem podporované skupiny (někdy jsou to v podstatě tajné služby samotné), které nejsou časově ani finančně moc omezeny. Takový útočník může být velmi nepříjemný v tom, jak pomalu se vám v síti pohybuje a jak opatrně našlapuje. Když k tomu připočteme i možnost znalosti zranitelností a exploitů, o kterých neví okolní svět, ale pouze tento útočník, tak si jen těžko můžeme představit obtížnější úkol pro obránce než takového útočníka detekovat. V tomto případě se navíc jednalo o neutajovanou síť, takže se lze domnívat, že nebyla tolik monitorovaná a zabezpečená jako ty utajované. Nechci tím nikoho omlouvat, obzvlášť, když neznám detaily. Je ale možné, že ministerstva zahraničí ostatních evropských států mají tuto skupinu ve své síti také, ale ještě o tom neví.