Analytik z Bellingcatu o útocích na účty novinářů: Máme důkazy o zapojení ruské tajné služby GRU
Analytici investigativní platformy Bellingcat mají důkazy o tom, že do nedávných phishingových útoků na evropské novináře a experty na Rusko byla zapojena ruská tajná služba GRU. Pro Radiožurnál to uvedl analytik bezpečnostních hrozeb, který si nechává říkat Moritz Rakuszitzky a který se sám stal jedním z cílů útoku. Některé stopy podle něj dokazují, že phishing útočníci plánovali nejméně od jara 2018.
Tvrdíte, že útočníci jsou z vojenské zpravodajské služby GRU. Máte pro to nějaké důkazy?
Je to velmi pravděpodobné. Naše zjištění jsou založena na komplexních nepřímých důkazech a okolnostech případu. Nemáme sice „kouřící zbraň“ a podpis, ale máme silné důvody věřit, že jde o GRU. Zaprvé – mnoho cílů bylo již dříve terčem phishingových útoků, u nichž se účast GRU prokázala. Například v letech 2015 a 2016 byl tým Bellingcat napaden velmi propracovaným phishingovým útokem, jedním z nejsložitějších způsobů, jaký jsme do té doby viděli. Jako návnadu použili speciálně vytvořené dokumenty, u nichž bylo několika mezinárodními společnostmi, jež vyhodnocují hrozby - Threat Connect a CrowdStrike -, prokázáno, že pocházejí z GRU.
Museli přesně vědět, kdo má jaký e-mail, říká analytik Kalenský k napadení svého účtu
Číst článek
V tomto konkrétním případě pracovaly všechny cíle - víme zatím o více než čtyřiceti lidech a organizacích - na ruských tématech a prověřovaly různé aspekty ruských tajných a kriminálních aktivit v zahraničí. Takže víme, že se útočníci zajímali o jedince, kteří se mohli na Rusko zaměřovat a získávat informace.
A dále: někteří registrátoři domén, kteří byli použiti při tomto phishingovém útoku, byli už v minulosti použiti divizí GRU Fancy Bear (hackerská a špionážní skupina, která je podle analytiků spojena s GRU, pozn. red.). V neposlední řadě máme k dispozici jazykové indicie, které naznačují, že šlo o skupinu nejen rusky hovořící, ale pravděpodobně o tu samou, která stála před lety za útoky na Demokratický národní výbor (DNC).
Co přesně znamená „sofistikovaný phishingový útok“? Mohl byste to přiblížit?
Útočníci dokázali překonat dříve neznámá zranitelná místa. Překonali filtr ProtonMailu (šifrovaná e-mailová služba, pozn. red.), což je jedna z nejlépe zabezpečených služeb v oblasti soukromí a e-mailové korespondence. Mají takzvané end-to-end šifrování všech zpráv (šifrování, které zamezí přístup jinému než pravému majiteli, pozn. red.) a několik géniů, kteří na něm ve firmě pracují. Sdělili nám, že ať už za útokem stál kdokoli, byl schopen proniknout velmi složitým systémem filtrů. To umožnilo vydávat se za společnost ProtonMail, přesněji za adresu podpory ProtonMailu, přímo v jejich systému. Už tohle je nesmírně složité.
Co je to phishing?
Phishing je snaha počítačových podvodníků získat citlivé osobní informace, jako jsou hesla, údaje o platebních kartách, rodná čísla nebo čísla bankovních účtů. Šíří se podvodnými e-mailovými zprávami nebo přesměrováním na falešné webové stránky. (Zdroj: Avast)
Jedním z typů phishingu je takzvaný spear-phishing. Původci těchto útoků sbírají informace o vysoce postaveném zaměstnanci konkrétní firmy, aby na jejich základě mohli vytvořit cílenou phishingovou zprávu. (Zdroj: Avast)
Podle ProtonMailu útočníci věděli o určité chybě či nedostatku v systému, který nebyl veřejně znám. Ten je součástí softwaru postaveném na otevřeném zdrojovém kódu, který používá většina velkých poskytovatelů e-mailových služeb po celém světě. Podle ProtonMailu mohla o této chybě vědět velice malá skupina lidí.
Druhým příkladem sofistikovaného útoku je fakt, že útočníci byli schopni pro tento hack vytvořit program v jazyce JavaScript, který umožnil, aby každý uživatel žil po kliknutí na falešný odkaz v domnění, že ho nasměroval na skutečnou doménu ProtonMailu. Tato phishingová doména se v reálném čase zesynchronizovala i s dvoufázovým ověřením se skutečnou doménou. To znamená, že jste mohli strávit minuty či hodiny na falešném účtu i přes dvoufázové ověření, jež nám doteď vždy dávalo jistotu, že jsme na té správné, pravé doméně a službě. Takový systém synchronizace mezi pravým a falešným účtem velmi ztíží situaci někomu, kdo se této technické problematice nevěnuje. Vůbec neví, zda je na správné doméně, či ne.
Od března 2018
Na falešné doméně jste prý našli speciální obrázek.
Ano, objevili jsme obrázek, který byl převzat z originální domény ProtonMailu, ale byl lehce upraven ve Photoshopu. Zjistil jsem, že tento obrázek byl upravován v březnu 2018. To nám naznačuje, že phishingová kampaň byla v tomto období přinejmenším naplánována. Takže s přihlédnutím k tomu, že poprvé byla spuštěna letos v dubnu, na ni ten, kdo ji plánoval, pracoval přes rok. A jsme přesvědčeni, že žádný soukromý hacker byl nedokázal shromáždit takové prostředky. Šlo evidentně o koordinovanou činnost nějaké skupiny, protože zdrojový kód, který jsme objevili, obsahuje spoustu komentářů a zpráv pro další kolegy a kodéry. Rozhodně nešlo o jednoho, dva hackery, kteří by pracovali ze svého obýváku. Je to známka práce profesionální organizace.
Hackeři podnikli phishingový útok na evropské experty na ruskou problematiku. Mezi cíli byli i Češi
Číst článek
Jak jste přišli na to, že na vás zaútočili?
Já jsem byl varován s předstihem, protože mi zavolal kolega z jiné neziskové organizace sídlící v Londýně a ptal se mě: „Hele, taky dostáváš zvláštní zprávy?“ To bylo začátkem července a já mu odpověděl, že ne a že si nemyslím, že by někdo dosud překonal ochranu ProtonMailu. On na to: „Myslím si, že jde o phishing, protože několik dalších kolegů dostalo stejné zprávy, které odkazují na nějakou divnou doménu.“ Když se ke mně tahle informace dostala, začal jsem zjišťovat podrobnosti a za dva týdny dostal tu samou zprávu, takže jsem už věděl, že jde o phishingový útok. Někteří mí kolegové o tom ale nevěděli a odkaz otevřeli. Jejich zprávy tak bohužel byly nejméně několik minut nechráněné.
Kdo se tedy stal obětí útoku?
Zatím máme seznam dvaačtyřiceti účtů, z nichž je asi osm českých, což je zajímavé, protože jde zřejmě o největší počet z jedné země. Jde o kombinaci schránek novinářů, pracovníků neziskových organizací a výzkumníků. Máme několik účtů novinářů a výzkumníků z Bellingcatu. Máme účty tří ruských novinářů, ale pravděpodobně jich bude víc, protože jsme ještě neidentifikovali všechny. Máme několik velkých neziskových organizací, jako je například Open Society Fund a další, které byly také napadeny. Celkem je to tedy dvaačtyřicet a všichni zmínění v posledních měsících pracovali na ruských tématech.
Podvodný e-mail, který přišel majitelům účtů na ProtonMail.
Přiznali všichni, že byli napadeni, nebo se o tom některé společnosti či jedinci nechtěli bavit?
Předně: spousta lidí ještě ani neví, že čelila útoku, a dokonce i dnes (ve středu, pozn. red.) jsem obdržel zprávu od dvou novinářů, kteří teprve zjistili, že mají v e-mailové schránce podezřelé zprávy. Zdaleka nejsme u konce. Musíme přijít na to, kolik lidí se stalo obětí phishingu - můj odhad je, že to bude kolem stovky. A taky musíme zjistit, kolik účtů bylo nechráněných, i když si jejich uživatelé myslí, že byly. Lidé mají za to, že pokud jde o technologie, jsou velmi chytří a na podezřelé odkazy neklikají, ale u účtů několika kolegů jsme při kontrole zjistili, že odkaz otevřeli a zapomněli na to. Zatím vám tedy nemůžu říct, kolik účtů bylo kompromitováno, ale útočníci cílili přinejmenším na padesát.
Články na podivných webech
Napáchali útočníci nějaké škody?
Myslím, že ano. Bylo by naivní říct, že nezpůsobili. Přinejmenším u několika nechráněných účtů byli útočníci schopní shromáždit seznam kontaktů a teď znají tajné účty novinářů a výzkumníků na ProtonMailu. A ti nechtěli, aby se vědělo, že jde o jejich adresy, protože mohou být součástí soukromé komunikace se zdroji a podobně. Tam škoda určitě vznikla. Už jen samotný fakt, že útočníci znali účty, které obvykle ani nejsou spojeny se jménem, ale například s číslem nebo symboly, je nebezpečný.
‚Je to byznys jako každý jiný.‘ Podvodníci s falešnými profily rozšířili svůj rajón o Instagram
Číst článek
Očekáváme také úniky informací o ruských novinářích, kteří byli napadeni s cílem je zdiskreditovat. Už jsme v posledním týdnu viděli sérii článků na podivných ruských webech útočící na jednoho z našich kolegů - Romana Dobrochotova, který s Bellingcatem spolupracuje na řadě vyšetřování. Víme, že byl napaden a jeho e-mail byl na několik minut kompromitován. Myslíme si, že se nyní začnou na veřejnosti objevovat dokumenty, které útočníci našli v jeho e-mailu a ve schránkách ostatních novinářů, a budou se je snažit zdiskreditovat.
Mohl někdo předstírat, že pracuje pro GRU?
Ano, to je možné, ale myslíme si, že pokud by tomu tak bylo, pravděpodobně by napadl účty několika známějších novinářů, čímž by reputace GRU utrpěla více. V tomto případě existuje velmi, velmi konkrétní seznam lidí, kteří se věnovali tématům souvisejícím s GRU či ruskou bezpečností. Dokonce šlo i o pár lidí, o nichž zatím nebylo veřejně známo, že pracují na takových projektech. Nemyslím, že jiné než ruské služby by v současnosti mohly přijít s tak specifickým seznamem. Je to tedy možné, ale nepravděpodobné. Dal bych tomu tak tří až čtyřprocentní šanci.
Kybernetický úřad: Za červnovým útokem na ministerstvo zahraničí stojí cizí stát
Číst článek
Česká policie vyšetřuje další hackerský útok na ministerstvo zahraničí, který by mohl pocházet z Ruska. Může být mezi oběma případy nějaká spojitost?
Nevíme. Viděli jsme, že Rusko rozprostřelo své hackerské operace mezi několik bezpečnostních divizí, ale i několik soukromých organizací, které spadají pod oligarchy. Ty od státu výměnou za vojenské nebo hackerské služby získávají různé výhody. V jisté době byly tři, čtyři ruské skupiny, jež soupeřily o to, která z nich přinese Kremlu nejlepší výsledky. Nemůžeme si být jisti, ale z toho, co jsme zatím viděli, má nejpropracovanější a nejsofistikovanější skupinu pro sledování a hackerské operace - s více než 300 členy - GRU, následována Federální službou bezpečnosti (FSB).
Víte cokoliv bližšího o zmíněném útoku na Českou republiku?
Ne. Nesledovali jsme ho, ale určitě se na tento případ podíváme, protože teď se hacking stal opět zajímavým.
Jak vás mám představit čtenářům a posluchačům?
Jen jako vyšetřovatele Bellingcatu, který se věnuje bezpečnostním hrozbám. Ale jestli chcete jméno, které používám na Bellingcatu, tak Moritz Rakuszitzky. Ale můžete vlastně použít i mé pravé jméno, o němž jsem si jistý, že ho GRU zná.
Bellingcat
Bellingcat (Bell¿ngcat) je mezinárodní investigativní skupina. V červenci 2014 ji založil britský blogger a novinář Eliot Higgins. Původně debatoval na internetových fórech a začal se zajímat o zbraně ve válkách. Založil blog, začal prohledávat internet a zjistil, že vojenský materiál v syrské válce pocházel z Chorvatska a že rebelům zbraně dodala Saúdská Arábie. Vše s vědomím Západu.
Cesta Moritze Rakuszitzkyho se liší. Vlastní média, podnikal v Rusku i ve východní Evropě. Jednou ho ale okradli, on se začal pídit, jak to udělali. Nakonec pachatele dostal před soud. „Byl to pro mě bod zlomu, protože mi to pomohlo v životě objevit, v čem můžu být nejlepší. Rozkrývat nelegální případy, zažívat při tom dobrodružství a ještě si moct říct, že dělám něco ve veřejném zájmu,“ řekl dříve Respektu.
S pomocí veřejně dostupných zdrojů nyní Bellingcat, který přichází se zjištěnými, ke kterým se nedostanou ani velká novinářská esa, rozkrývá nejdůležitější případy jako je sestřelení civilního letadla MH17 nad Ukrajinou nebo otrava Sergeje Skripala v anglickém Salisbury v březnu 2018. Zaměřují se na diktátorské a autoritativní režimy, porušování lidských práv i kriminální podsvětí. Pořádají semináře, kde učí, jak verifikovat informace, dohledávat pravosti videa.
Název Bellingcat pochází z anglické středověké bajky (Belling the Cat) o myších, které se domlouvají na obraně před kočkou a na tento úkol hledají dobrovolníka.