Čínští hackeři a jejich aktivita jsou dlouho známy západním kontrarozvědkám, které mapují jejich rozsáhlé průniky do IT systémů soukromého i státního sektoru. Tito zločinci však nemusí být zaměstnanci vládních orgánů, ale i kontraktovaní pracovníci soukromých firem. I o tom se hovořilo na šestém ročníku konference Aktuální bezpečnostní hrozby, která se uskutečnila 29. června v Poslanecké sněmovně ČR.
Čínský špionážní ekosystém je unikátní tím, že armáda i rozvědka využívají ke kybernetické špionáži privátní kontraktory. Jde o jakýsi outsourcing kyberšpionáže na soukromé firmy, vysvětlil na konferenci bezpečnostní analytik Michal Thim, který je zároveň členem think-tanku Sinopsis. Ten se zaměřuje na současné dění v Číně a vliv Čínské lidové republiky (ČLR) ve světě i u nás.
Od armády k rozvědce a dál
Odborník uvedl, že vojenská rozvědka ČLR se až do roku 2015 velmi aktivně podílela na kybernetické průmyslové špionáži jako je krádež duševního vlastnictví. U některých případů se podařilo vytrasovat pachatele až na jednotlivce, kterými prokazatelně byli členové armády, dodal.
„Tohleto armády obvykle v kyberprostoru nedělají. Zaměřují se na obranný sektor, vojenské kapacity soupeře apod.,“ řekl Thim. V roce 2015 nicméně došlo k reformě struktury Lidově-osvobozenecké armády, což dle něj vedlo k výraznému utlumení vojenské kybernetické špionáže v Evropě a USA, i když dál pokračuje směrem k Japonsku, Filipínám a Taiwanu.
Prapor kybernetické špionáže poté přebralo Ministerstvo státní bezpečnosti (MSB), které „navzdory svému názvu není žádným ministerstvem, ale primární zahraniční rozvědkou ČLR“, poznamenal Thim.
Dodal, že čínské zákony ukládají jednotlivcům i firmám povinnost pomáhat státu ve špionážní činnosti, ovšem realita je taková, že k nějakému donucování nedochází, neboť firmy samy ochotně za úplatu s ministerstvem a armádou spolupracují a chtějí partnerství ve svém zájmu rozvíjet. „Řada firem si v podstatě založila svůj byznys na tom, že dělají kyberšpionážní aktivitu pro stát,“ uvedl a dodal, že kromě toho se špionáže účastní také nejrůznější univerzity v zemi.
Z tohoto prostředí podle Thima vzešla také nechvalně známá kyberšpionážní skupina Volt Typhoon. „V roce 2023 americké úřady oznámily, že tato skupina infiltrovala celou řadu organizací a energetickou infrastrukturu, takže energetický sektor, telekomunikace, logistika, nejen v kontinentálních USA, ale třeba i na Guamu, kde je velmi důležitá vojenská základna v západním Pacifiku, “ řekl.
Na skupině bylo zvláštní to, že potom, co kompromitovala IT systémy, „tak si tam sedli a pět let nic nedělali“, poukázal Thim s tím, že podle hypotéz šlo o tzv. prepositioning, získání přístupu do energetických systémů a vyčkávání na příkaz z Pekingu, že je třeba provést nějakou destruktivní akci.
„Ve chvíli, kdy je útočník hluboko v počítačovém systému, může udělat spoustu věcí, může ukrást informace, pokud je to kyberkriminální aktér, tak ty informace může zašifrovat a pak vás kontaktovat s tím, že vám je odšifruje, když mu zaplatíte, nebo pomocí různých softwarových nástrojů ten systém dokáže zničit, aby nebyl znovu spustitelný,“ vysvětlil s tím, že k podobným útokům docházelo hodně ze strany Ruska vůči Ukrajině na začátku války.
Čínští hackeři v Česku
V souvislosti s Českou republikou Thim zmínil hackerskou firmu i-Soon, která má fungovat jako subdodavatel kybernetické špionáže pro čínské státní orgány. Během českého předsednictví v EU se dle něj „pravděpodobně dostali do systému českého ministerstva zahraničních věcí“. Zřejmě nespokojený zaměstnanec firmy vypustil na internet spoustu interních informací, včetně brožur s malware nástroji, které společnost vyvíjela nebo používala. Na událost loni upozornil i český Národní úřad pro kybernetickou a informační bezpečnost.
Z toho bezpečnostní experti pochopili, upřesnil Thim, že i-Soon funguje jednak jako legitimní firma, ale zároveň soutěží o státní zakázky na kyberšpionáž. „Někdy to je sledování tibetské menšiny uvnitř Číny, někdy to je hacknutí kazašského mobilního operátora a někdy prostě lezení do ministerstva,“ vyprávěl.
Vysvětlil, že existují různé typy hackerských týmů. Některé se soustředí na určitý sektor nebo region a u těch pak je snazší je vysledovat. Jiné skupiny jsou ale každý týden v jiné oblasti či sektoru a ty je vypátrat mnohem náročnější. Soukromí kontraktoři pro čínský režim zajišťují podle Thima mnohdy jen počáteční přístup do systému.
Fungování popsal expert následovně: „Ministerstvo státní bezpečnosti dostane pokyn z centra: ,Chceme se dostat do telekomunikační instituce v Indii.‘ Ministerstvo státní bezpečnosti to může celé udělat samo, anebo si řekne, že dá kontrakt pro zajištění počátečního přístupu, aby se nemuselo samo zabývat výzkumem a hledáním zranitelných míst v systému.“ Po získání přístupu její firma údaje rozvědce předá a ta si v systému najde, co potřebuje. „Tohle je nový normál působení čínských kyberšpionážních skupin,“ prohlásil.
Jiná skupina kontraktorů má pro hackery zajišťovat potřebnou infrastrukturu. „Registrují domény, virtuální servery, aby se měli kam schovat nebo exportovat data, nebo jim vyměňují pravidelně IP rozhraní, aby nebyli vysledovatelní,“ řekl Thim.
Tyto taktiky zahlazování stop činí identifikaci konečného aktéra velmi složitou, ale komplikuje i zvládání kybernetických útoků. Bezpečnostní analytici jsou dle Thima sice schopni říct, že za útokem stojí čínský státní aktér, ale zjistit bližší informace o něm už snadné není.
Na závěr své prezentace upozornil, že čínští hackeři se nevyhýbají ani českému prostředí a častým cílem čínských kyberšpionážních skupin jsou různé neziskovky a think-tanky. Jedním z posledních incidentů byl pokus o infiltraci spolku Evropské hodnoty, které se angažují mimo jiné v česko-taiwanských vztazích.
