Operácia Masquerade: České tajné služby zasiahli proti ruským hackerom, ktorí získavali citlivé údaje
Českí vojenskí spravodajcovia sa v priebehu marca zapojili do medzinárodnej operácie Masquerade, ktorú viedol americký Federálny úrad pre vyšetrovanie (FBI) a zasiahla proti ruským hackerom.
Tí prostredníctvom ovládnutia siete routerov získavali citlivé informácie týkajúce sa najmä armádnych a vládnych inštitúcií či organizácií kritickej infraštruktúry.
V stredu o tom informovalo Vojenské spravodajstvo (VZ) a tiež Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB). Ten podotkol, že cieľom hackerskej skupiny je kyberšpionáž.
Za útokom je podľa VZ skupina APT28, ktorá spadá pod ruskú vojenskú spravodajskú službu GRU. Hackerská skupina podľa správy FBI vybudovala globálnu sieť kompromitovaných routerov.
Hackeri pri prieniku využili konkrétnu zraniteľnosť v určitých modeloch TP-Link, ktorá im umožnila získať neoprávnený prístup. Následne upravili ich konfiguráciu, ktorú prevzali aj ďalšie zariadenia pripojené na dané routery. Tým bola sieťová prevádzka pripojených počítačov a mobilov presmerovaná na DNS servery, ktoré kontroloval útočník. Na základe toho mohol útočiť na šifrovanú komunikáciu.
Skupina APT28 týmto spôsobom získavala heslá, autentifikačné tokeny a ďalšie citlivé informácie vrátane obsahov e-mailov či webovej komunikácie, ktoré by za normálnych okolností chránilo šifrovanie. Skupina takto zasiahla mnoho cieľov v Spojených štátoch a ďalších krajinách vrátane Česka.
„Nepriateľské spravodajské služby a im podriadené skupiny dnes na svoje operácie vo veľkej miere nevyužívajú vlastnú infraštruktúru. Namiesto toho v tichosti preberajú kontrolu nad tisíckami úplne bežných zariadení po celom svete - domácimi routermi, smart kamerami alebo firemnými počítačmi. Ich vlastníci o tom nevedia nič. Pre útočníka však tieto zariadenia tvoria globálnu sieť, cez ktorú skrýva svoju totožnosť, preposiela údaje z prevádzky alebo odpočúva komunikáciu napadnutých inštitúcií,“ vysvetlilo Vojenské spravodajstvo.
Preto podľa Vojenského spravodajstva nestačí blokovať jednotlivé útoky, ale obrana musí zasiahnuť celú infraštruktúru naraz a skôr, než útočník stihne reagovať. V tomto prípade VZ podľa svojho vyjadrenia upravilo nastavenie časti globálne zneužívanej infraštruktúry a zabezpečilo potenciálne zneužiteľné zariadenia na území ČR.
NÚKIB upozornil, že najväčšie riziko sa týka tých zariadení, ktoré používajú pôvodné administrátorské heslá. Užívateľom odporučil zmeniť pôvodné prihlasovacie údaje, aktualizovať firmware a tiež vypnúť alebo obmedziť vzdialená správu routera.