Když dorazil řediteli think-tanku Bezpečnostní centrum Evropské hodnoty Jakubu Jandovi e-mail, který ho jménem novinářky globální zpravodajské agentury Associated Press žádal o rozhovor, nevypadalo to nijak podezřele.
„Momentálně připravujeme článek o nedávných posunech v politice mezi USA a Čínou a velmi bychom ocenili vaše postřehy k tomuto tématu. Měl byste čas na krátký rozhovor?“ žádala loni v červenci zpráva podepsaná jménem dlouholeté zpravodajky AP z Pekingu Didi Tang, která dnes působí jako reportérka agentury pro asijské záležitosti.
Popisovaný e-mail měl ale háček. Skutečná Didi Tang o ničem nevěděla a tento e-mail vůbec neposlala. Podle zjištění Seznam Zpráv to totiž byl začátek operace čínských rozvědčíků, která měla nejspíše za cíl nabourat se do systémů v Praze sídlící neziskovky.
Ta se podílí na spolupráci mezi Tchaj-wanem a evropskými zeměmi v bezpečnostní a obranné agendě a je v úzkém kontaktu s řadou vysoce postavených politiků i bezpečnostních pracovníků po světě. Národní úřad pro kybernetickou bezpečnost rozeslal varování před útokem západním spojencům, protože podle něj jde o součást širší operace sledující zájmy komunistické Číny.
E-mail, kterým začala operace proti českému think-tanku.
Zaplatíme cestu do D.C. Stačí kliknout
Seznam Zprávy mají celou komunikaci útočníků k dispozici. „Didi Tang“ ji z e-mailu rychle navrhla přesunout do mobilní aplikace Signal. A následně Jandovi začala nabízet prebendy. „Máte odhad cestovních nákladů do Washingtonu, D.C.? Ráda podám žádost o schválení na naše ústředí. Náš tým vás velmi rád přivítá!“ začala Jandu lákat na hrazenou zahraniční cestu do Spojených států.
Jak podmínkou rozhovoru, tak i samotné cesty ale bylo, aby šéf Evropských hodnot klikl na odkaz, který ho dle tvrzení ve zprávách měl přivést na dokument uložený na zabezpečených serverech Googlu.
„Naše centrála ve Washingtonu, D.C. sdílela příslušné informace prostřednictvím Google Dokumentů. Doufají, že tím zajistí, aby se informace dostaly k uchazeči bezpečně a nebyly zpřístupněny žádným neoprávněným osobám. Proto používáme Google Dokumenty – aby bylo vše centralizované a bezpečné,“ uklidňovala Jandu „Didi“.
Úryvek z komunikace, kterou falešná novinářka odklonila do šifrované aplikace Signal.
Janda ale celou konverzaci nahlásil expertům Národního úřadu pro kybernetickou bezpečnost (NÚKIB), který dlouhodobě varuje před riziky čínské špionáže.
„Tato osoba reálně existuje, takže to vypadalo věrohodně. Jakmile však začala nabízet finance za údajnou konzultační cestu, bylo mi jasné, že pravděpodobně jde o nepřátelskou rozvědku, která užívá falešnou identitu. Jde o obvyklou metodu ruských nebo čínských zpravodajských služeb, kdy se tváří jako standardní diskuze mezi novinářem a expertem, ale nabídkami na hraně si člověka postupně zavazují, aby mu nakonec nabídli placenou spolupráci v oblasti špionáže,“ vysvětluje Janda.
Experti státu: Rozsáhlá kampaň
Jak následně zjistili kyberexperti státu, za odkazem na soubory, který „Didi“ Jandovi poslala, se skrýval falešný přihlašovací formulář k účtu Google. Pokud by se Janda pokusil ke svému kontu přihlásit, útočníci by se tak mohli dostat k citlivých datům jeho organizace. Díky takzvanému phishingu útočníci nemusejí prolamovat kybernetické zabezpečení. Cílí na to, že oběť jim „klíče“ od svých virtuálních cenností dá sama.
NÚKIB svá zjištění Seznam Zprávám potvrdil. „Primárním cílem bylo získání přístupových údajů a potenciálně i další přístup k interní komunikaci, kontaktům nebo analytickým materiálům organizace. Výběr cíle zároveň zapadá do širšího vzorce zájmu o subjekty zabývající se tématy Čína, Tchaj‑wan či mezinárodní bezpečnostní politikou,“ popsal mluvčí kyberúřadu Jakub Neščivera.
Přihlašovací stránka do účtu Microsoft, kterou použila při útoku skupina SparkyCarp. Je falešná. Pakliže se oběť pokusí přihlásit, uživatelské jméno a heslo získají útočníci.
Státní bezpečnostní experti přitom zjistili, že český incident není izolovaný a zapadá do rozsáhlejší globální operace. Pátrání kyberúřadu se totiž překrylo s dřívějšími odhaleními soukromé kyberbezpečnostní firmy Proofpoint, která hackerskou skupinu pojmenovala SparkyCarp (Jiskřivý kapr) a identifikovala ji jako státem sponzorovanou. Proofpoint zdokumentoval, jak se pokoušela vlámat do systémů tchajwanských výrobců čipů, což je oblast, která eminentně zajímá Čínu.
Český kyberúřad ale identifikoval i další možné terče - lidskoprávní aktivisty. „Identifikovaná infrastruktura je napojena na širší síť desítek tematických internetových domén a byla využita i v jiných kampaních, včetně dřívějších útoků proti zahraničním subjektům v oblasti polovodičového průmyslu a pravděpodobně také proti čínskému disentu a lidskoprávním organizacím ve světě,“ potvrdil NÚKIB.
Obžaloba na čínského novináře
Že se stal jeho think-tank jedním z cílů, Jandu nepřekvapuje. „Jako jediný evropský think-tank máme na Tchaj-wanu větší tým analytiků a podílíme se na spolupráci mezi Tchaj-wanem a evropskými zeměmi v bezpečnos…
Read the full article at Seznam Zprávy →
CZ