Hackeři podnikli phishingový útok na evropské experty na ruskou problematiku. Mezi cíli byli i Češi
Třicet specialistů věnujících se Rusku se na konci července stalo oběťmi phishingového útoku. Mezi nimi byli i analytici českého think-tanku Evropské hodnoty. S informací přišla investigativní skupina Bellingcat. Podle novináře britského listu The Guardian Lukea Hardinga „všechny důkazy ukazují“ na ruskou vojenskou zpravodajskou službu GRU. Že k napadení došlo, potvrdil i poskytovatel šifrovaných e-mailových klientů ProtonMail.
Celá akce byla podle Evropských hodnot velmi propracovaným příkladem phishingu, tedy podvodné techniky získávání citlivých údajů. Generální ředitel ProtonMailu Andy Yen phishingový útok označil za „nejsofistikovanější, se kterým se kdy setkal“.
Co je to phishing?
Phishing je snaha počítačových podvodníků získat citlivé osobní informace, jako jsou hesla, údaje o platebních kartách, rodná čísla nebo čísla bankovních účtů. Šíří se podvodnými e-mailovými zprávami nebo přesměrováním na falešné webové stránky. (Zdroj: Avast)
Jedním z typů phishingu je takzvaný spear-phishing. Původci těchto útoků sbírají informace o vysoce postaveném zaměstnanci konkrétní firmy, aby na jejich základě mohli vytvořit cílenou phishingovou zprávu. (Zdroj: Avast)
Podle Bellingcatu je pravděpodobné, že za útokem stojí ruská zpravodajská služba GRU. „Je to založené na komplexním nepřímém dokazování. Například v kódu zůstaly i lingvistické nápovědy, které nás přivedly na myšlenky, že nejpravděpodobněji nejde jenom o rusky mluvící skupinu, ale pravděpodobně o stejnou skupinu, která napadla Demokratický národní výbor v roce 2016,“ potvrdil Radiožurnálu analytik bezpečnostních hrozeb společnosti Bellingcat Moritz Rakuszitzky.
Terčem útoku se stali dva analytici ze skupiny Bellingcat, investigativní novinář britské veřejnoprávní BBC, tři reportéři deníku The Guardian či tři reportéři z různých ruských investigativních médií.
Hackeři cílili i na specialisty zaměřující se na zahraniční politiku Kremlu a ruské tajné operace v zahraničí, ale také think-tanky zaměřené na Rusko: například Evropské hodnoty či Free Russia Foundation. Některé z útoků byly úspěšné, píše Bellingcat v článku.
„Během tohoto incidentu nebyly ohroženy žádné z našich citlivých údajů,“ řekl výkonný ředitel think-tanku Evropské hodnoty Jakub Janda. Útok podle něj ukazuje, že jejich analytici mají společně s dalšími odborníky na Rusko „pomyslné terče na zádech“.
„Je obvyklé, že se to děje, stává se to spoustě lidem. Tenhle útok, tak jak ho vyšetřila skupina Bellingcat, která byla také jedním z terčů, měl řadu znaků, které byli předtím viditelné u útoků, které vedla ruská zpravodajská služba GRU,“ doplnil.
Právě Čechů je mezi oběťmi útoku nejvíc, dohromady osm. „Je to pravděpodobně nejvíc zastoupená země. Jsou to novináři, lidé z neziskových organizací a výzkumníci,“ řekl Rakuszitzky.
Janda zároveň upřesnil serveru iROZHLAS.cz, že šlo kromě analytiků z Evropských hodnot a také o tři české novináře. Kromě toho jsou ve třicítce napadených i dva aktivisti za lidská práva ze Střední Asie, kteří žijí v Praze.
Mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Radek Holý serveru iROZHLAS.cz řekl, že úřad obdržel od Evropských hodnot hlášení, že byly napadeny phishingovým útokem, konkrétně se prý jednalo o takzvaný spear-phishing.
Analýza zdrojového kódu
Museli přesně vědět, kdo má jaký e-mail, říká analytik Kalenský k napadení svého účtu
Číst článek
Skupina Bellingcat analyzovala zdrojový kód a zjistila, že za útokem pravděpodobně stojí státní aktér a nikoli jednotlivec či skupina hackerů. Ukazuje na to „množství času, který zabralo vytvoření (nebo rekonstrukce) kódu a infrastruktury celé operace“, píše se v tiskové zprávě.
Investigativci obnovili velkou část kódu z paměti prohlížeče napadeného počítače a zjistili, že pozadí, používané na přihlašovacím portálu falešného webu, byla upravená verze pozadí, které používá ProtonMail a obsahovalo metadata, která v originálu nejsou.
Informace byly upraveny 8. března 2018. To svědčí o tom, že operace byla chystaná více než rok dopředu.
Dalším důkazem je podle Bellingcatu i to, že existuje „vývojová“ webová stránka, která byla s útokem spojená a existovala několik měsíců před ním.
Švýcarští kriminalisté už podle informací Bellingcatu zahájili vyšetřování phishingového útoku. Francouzi a Belgičané, jejichž IP adresy byly nalezeny v různých fázích operace, byli také informováni o několika cílových uživatelích, kterých se mohlo týkat případné kriminální jednání, na jejich územích. Zvažují vlastní vyšetřování.
Of note, in this case, we found utility in pivoting based on WHOIS creation timestamps with @DomainTools to identify additional domains registered through resellers at the same time as those we were investigating. 5/5
20:52 – 26. 07. 2019
