Kybernetický útok proti Číně - kdo a kam cílí?
V rámci opatření spojených s koronavirem se velká část firem rozhodla přejít na tzv. home office. K tomuto kroku nepřistoupily pouze firmy, ale i většina institucí, vládních organizací a úřadů nyní operuje z domu. To však přináší určitá bezpečnostní rizika - velká část institucí není a nebyla připravena na práci v online prostoru v takovém rozsahu a velmi často čelí hackerským útokům; a ne vždy úspěšně. Obrovské toky dat nyní proudí skrze video konference či na nedostatečně zabezpečených serverech, kam se pracovníci připojují přes vzdálený přístup. Obecně vzato, zajištění bezpečného přenosu informací je nyní velkým tématem.
Na počátku dubna Čína oznámila, že více než 200 VPN vládních serverů bylo napadeno hackery, z nichž 174 bylo umístěno na sítích vládních agentur v Pekingu a Šanghaji, další potom na čínských diplomatických pracovištích například v Itálii, Velké Británii, Pákistánu, Thajsku, Arménii a dalších. Hackeři využili dosud neznámou chybu v podnikovém softwaru Sangfor SSL VPN, využívaného pro práci přes vzdálený přístup, kde nahradili soubor s názvem SangorUD.exe verzí s boodytrapperem (do sítě byl nainstalován škodlivý software, jež pronikl do počítačů uživatelů za účelem sesbírat citlivá data).
Útok je připisovaný hackerské skupině DarkHotel, jejíž původ je nejasný - některé zdroje uvádějí, že se jedná o jihokorejskou skupinu, jiné tvrdí, že útoky přichází ze Severní Koreji. Kapersky lab ve své rozsáhlé analýze z roku 2014 uvádí, že kódy jsou psané v korejštině a angličtině, neposkytuje však hlubší geografickou analýzu. Co upoutává pozornost je cílová skupina a způsob provedení útoků. Skupina je známá od roku 2007, kdy začala skrze málo zabezpečené hotelové sítě napadat osobní zařízení hotelových zákazníků. Za oběti si vybírá pracovníky vládních agentur, tvůrce obranné, obchodní či energetické politiky a nejvyšší vládní představitele. Hackeři dopředu ví, kde bude jejich oběť ubytována a útok je vysoce individualizovaný - nabourání do osobního zařízení a následná krádež dat je sofistikovaná a nedochází k ní skrze běžně užívané viry.
Agentura Bitdefender, jež se zaměřuje na globální kyberbezpečnost, se na základě dostupných informací domnívá, že hackerská skupina je řízená (korejskou) vládou a jejím cílem je špionáž vládních agentur. Kaspersky lab dodává, že samotný útok není cílem, ale slouží k dlouhodobému dohledu nad činnostmi “nepřátelských” vlád.
S příchodem pandemie došlo ke změně cílové skupiny a v březnu byly napadeny servery Světové zdravotnické organizace a přidružených organizací. Pravděpodobným cílem bylo získat neveřejná data o koronaviru a výměnu informací mezi zdravotnickými systémy. Ze stejného důvodu byla napadena i Čína, a to z pozice “země která vyhrála boj koronavirem”. Došlo totiž k napadení jak serverů v Pekingu a Šanghaji, tak čínských diplomatických sídel v zemích, kde je koronavirus nejrozšířenější, s cílem odhalit informační toky mezi těmito sídly. Přes počáteční sympatie k Číně ze strany mnoha zemí ohledně toho, jak se poprala s koronavirem, začínají vyplouvat na povrch informace, ze kterých je zřejmé, že Čína lhala a opakovaně lže o dané situaci. Média se tak začínají ptát: “Jak to tedy je?”
Získat relevantní data z Číny je nyní komplikovanější, než obvykle. K již dříve zakázaným službám, jako jsou Instagram, Twitter, Facebook či Google, čínská vláda ze strachu z úniku jakýchkoliv informací zařadila pod taktovku Great Firewall (systém blokující zahraniční servery a vybrané webové stránky) také online hry a zakázala číňanům komunikovat s cizinci. Není tedy překvapením, že nelegální získání dat je jediným způsobem, jak zjistit pravé informace. Vládní informace jsou však nyní mnohem náchylnější na únik, jelikož i Čína se vydala cestou karantény a home office a skrze sítě VPN proudí obrovské množství citlivých dat.
Prozatím není známo, zda DarkHotel kýžená data získal a jak s nimi naloží. Pakliže se jedná o vládou řízené uskupení, lze čekat, že daná vláda získá velmi silnou pozici vůči Číně a je otázkou, jak ji bude chtít využít. Byl by samozřejmě obrovský rozdíl v tom, zda by skupina byla řízená jihokorejskou nebo severokorejskou vládou. Severní Korea v současnosti čelí ekonomickým i obchodním restrikcím ze strany většiny států a je to právě Čína, kdo vůči Koreji tyto sankce neuplatňuje. Bylo by tedy pošetilé zaprodat jediného obchodního partnera. Pakliže se data nachází v rukou Jižní Koreji, můžeme uvažovat o předání informací například zpravodajské službě 5 eyes (anglofonní zpravodajská aliance zahrnující Austrálii, Kanadu, Nový Zéland, Spojené Království a USA) či naopak.
Vznášet dotaz, zda si může jakákoliv vláda dovolit tímto způsobem napadat servery ostatních zemí je poměrně zbytečné. Nemůže. Nicméně, pokud jsou data nyní v rukou nezávislé hackerské skupiny, je velmi pravděpodobné, že je bude chtít prodat tomu, kdo nabídne nejvyšší sumu. A s postupem času vyjde pravda o tom, jak moc Čínská komunistická strana o smrtícím viru lhala, stejně tak jako vyjde najevo kdo ve skutečnosti za útokem stojí. Je otázka, nebude-li moc pozdě.