Vojenské zpravodajství (VZ) a Bezpečnostní informační služba (BIS) dnes oznámily svoji účast na odhalování kybernetické činnosti aktéra spojovaného s jednotkou 29155 působící v rámci ruské vojenské rozvědky GRU s odkazem na podrobnější informace ve zprávě americké Agentury pro kybernetickou bezpečnost (CISA).
Akce měla dle CISA mezinárodní charakter. Zapojit se měly Nizozemí, Kanada, USA, Česká republika, Německo, Estonsko, Litva, Ukrajina, ale také Austrálie a Velká Británie.
Spolupráce se podle české VZ „zaměřila na odhalení činnosti kybernetického aktéra spojovaného s jednotkou 29155 ruské vojenské rozvědky GRU“.
Tento aktér je spojovaný s globálně prováděnými škodlivými aktivitami s cílem sabotáže, špionáže a poškození reputace, které sahají až do roku 2020, tvrdí VZ. „V lednu 2022 napadl Ukrajinu destruktivním malwarem WhisperGate.“
„Výsledkem mezinárodní spolupráce je společné doporučení (Joint CyberSecurity Advisory), které umožní jednotlivým organizacím lépe zabezpečit své počítačové systémy,“ dodá VZ.
Americká Národní bezpečnostní agentura (NSA) společně s FBI a CISA vyhodnotily, že „kybernetičtí aktéři spojení s Hlavním zpravodajským ředitelstvím ruského generálního štábu (GRU), 161. specializovaným výcvikovým střediskem (jednotka 29155), jsou nejméně od roku 2020 zodpovědní za operace v počítačových sítích proti globálním cílům za účelem špionáže, sabotáže a poškození dobrého jména“.
Kybernetičtí aktéři jednotky GRU měli podle zprávy CISA nasazovat destruktivní malware WhisperGate „proti několika ukrajinským organizacím již 13. ledna 2022“.
„Tito kybernetičtí aktéři jsou odděleni od jiných známých a zavedenějších kybernetických skupin napojených na GRU, jako jsou Jednotka 26165 a Jednotka 74455,“ dodává CISA.
Bezpečnostní opatření
Zpráva dále uvádí, že výsledkem mezinárodní operace jsou společná doporučení pro zesílení kybernetické bezpečnosti. Podle CISA zahrnují například „rutinní aktualizace systémů“ a „opravy známých zneužívaných zranitelností“.
Dále mají země povolit „vícefaktorovou autentizaci (MFA) odolnou proti phishingu pro všechny služby účtů, které jsou určeny pro externí uživatele, zejména pro webmail, virtuální privátní sítě (VPN) a účty, které přistupují ke kritickým systémům“.
Mezinárodní zatykače
Česká tajná služba BIS na síti X doplnila, že FBI v souvislosti se společnou akcí vydala mezinárodní zatykače.
„Spolupráce s nejlepšími světovými partnery je v současné bezpečnostní situaci pro Českou republiku klíčová,“ dodala BIS.
Činnost vyšetřované skupiny „zahrnuje kompromitaci webových stránek, skenování infrastruktury či exfiltraci a únik dat, která následně prodávají nebo veřejně publikují,“ shrnuje český úřad pro kybernetickou bezpečnost NÚKIB. Od počátku roku 2022 se jednotka v kyberprostoru podle NÚKIBu soustředí na narušování mezinárodního úsilí směřujícího k poskytování pomoci Ukrajině.
Již v únoru 2024 VZ informovalo, že se Česko zapojilo do mezinárodní operace Dying Ember proti aktivitám ruských tajných služeb.
„Operace spočívala v provedení opatření proti globální infrastruktuře kompromitovaných routerů zneužívaných aktérem APT28, spojovaným s ruskou vojenskou zpravodajskou službou GRU,“ uvedli v únoru vojenští zpravodajci.