Sledi za hekerskim napadom na MZZ vodijo do Kitajske

Kdo naj bi po prvih ugotovitvah stal za kibernetskim napadom na zunanje ministrstvo? In koliko časa naj bi imeli napadalci dostop do diplomatskih depeš?

Avtor: Primož Cirman / Tomaž Modic
sreda, 12. 4. 2023, 05:55


Ministrstvo za zunanje zadeve
Po naših informacijah so se napadalci v sisteme ministrstva za zunanje zadeve infiltrirali že pred meseci.
M24

Minuli petek so na ministrstvu za zunanje zadeve potrdili, da so bili tarča kibernetskega napada. Kot je za 24ur.com dejala ministrica Tanja Fajon, je šlo za "napad iz tretje države, ki očitno traja že dlje časa". Poudarila je, da so pristojne institucije začele s preiskavo. Drugih podrobnosti na ministrstvu niso razkrili.

Toda po naših informacijah so na ministrstvu že pridobili prve informacije o domnevnih storilcih. Več med sabo nepovezanih virov je namreč za necenzurirano.si potrdilo, da naj bi za napadom stala organizirana skupina, njene povezave pa segajo do Ljudske republike Kitajske. Ta naj bi že več mesecev dostopala do podatkov s strežnikov slovenskega ministrstva in diplomatske mreže. Po nekaterih informacijah je imela dostop tudi do depeš, ki so jih diplomati pošiljali prek internih kanalov na ministrstva. 

Na uradu za informacijsko varnost, ki je pristojen za preiskavo napada, o dogodku ne dajejo izjav. A slovensko stran naj bi o tem, da je njeno zunanje ministrstvo tarča napada, ki po znanih ugotovitvah prihaja s Kitajske, že pred časom obvestili organi ene od Zahodnih držav. Slovenija je bila namreč le ena od tarč iste skupine, kar je v petek potrdila tudi Fajon. "Aktivnosti smo odkrili sami v sodelovanju s partnerji (...). Napadena so bila zunanja ministrstva in diplomatske mreže večine članic EU, Slovenija pa se nahaja na koncu te vrste," je dejala ministrica. 

Preberite še:
Napad na civilno zaščito: hekerji so imeli prosto pot

Infiltrirali so se že pred meseci

Da za napadom zelo verjetno stoji ena od dobro organiziranih državnih skupin hekerjev, je že v zadnjih dneh ocenilo več strokovnjakov s področja informacijske varnosti. Milan Gabor, etični heker in direktor podjetja Viris, je tako za STA dejal, da lahko "glede na zgodovino in druge primere v veliki večini primerov govorimo, da so zadaj ekipe visoko motiviranih in zelo dobro usposobljenih državnih hekerjev, ki so sposobni vdreti tudi v najbolj zaščitene sisteme in odtujiti pomembne podatke".

1678971208-dsc5155-01-1678971186639
Tanja Fajon, ministrica za zunanje zadeve
Sašo Radej

"Trajanje napada lahko tudi pomeni, da napadalec uporablja taktike, kot so tiho delovanje, izogibanje odkrivanju in prilagajanje taktikam obrambnih mehanizmov, ki skrbijo prav za odkrivanje napadalcev," je dodal Gabor. Koliko časa je trajal napad, uradno ni mogoče izvedeti. Po naših informacijah pa so se napadalci v sisteme ministrstva infiltrirali že pred meseci. Odgovor na vprašanje, katere podatke so pridobili na ta način, bo lahko dala še preiskava, ki utegne trajati več mesecev ali celo let. 

Prav tako še nič ni uradno znanega o tehničnih podrobnostih napada. Medtem ko so na ministrstvu že v petek poudarili, da delo teče nemoteno, ostaja neznanka, kateri podatke iz slovenske diplomatske mreže so pristali v rokah hekerjev. Napad časovno sovpada z intenzivnim lobiranjem slovenske diplomacije pri kandidaturi naše države za nestalno članico varnostnega sveta OZN v letih 2024 in 2025, a po oceni Tanje Fajon ne gre za povezana dogodka. Neznanka ostaja tudi, ali in kakšne varnostne ukrepe je slovenska stran sprejela po tem, ko je iz tujine prejela obvestilo o kibernetskem napadu.

Spletna stran Hacker News je sicer že lani jeseni poročala o napadih kitajskih hekerjev na informacijske sisteme vlad evropskih, bližnjevzhodnih in južnoameriških držav. Pri tem je uporabljala zlonamerno programsko opremo (malware v angl.) PlugX, ki skozi zadnja vrata napadalcu omogoča popolni nadzor nad okuženo elektronsko napravo in praktično nemoteno prenašanje podatkov. 

Preberite še:
Zavrlovi Kitajci prvi v vrsti za 100-milijonski Telekomov posel

Kako vdirajo v pošto uslužbencev vlad

Gre za skupino Bronasti predsednik (Bronze president), ki po oceni Hacker News od leta 2018 deluje na Kitajskem in to pod patronatom tamkajšnje države. V obveščevalnih dokumentih se pojavlja tudi pod imeni HoneyMite, Mustang Panda, Red Lich, RedDelta, TA416 in Temp.Hex.

Kitajska, Peking, kongres
/
sta

S posodobljeno verzijo trojanskega modula PlugX je v začetku lanskega leta napadala elektronske naprave posameznih uslužbencev ruske vlade. Uporabniki so ga sprožili z odprtjem ene od okuženih datotek, najpogosteje lažnega dokumenta s končnico .pdf, ki je bil dejansko bližnjica za operacijski sistem Windows, v posameznikovo napravo pa je prišel prek datoteke RAR. 

Med njenimi znanimi tarčami so bili Vatikan in telekomunikacijska podjetja v Aziji, Evropi in ZDA. Uporabniki napadenih naprav so zlonamerno programsko opremo običajno aktivirali z odprtem elektronskega sporočila, v katerem je bila povezava do podtaknjenih datotek s končnico .zip. 28. februarja lani, štiri dni po ruskem napadu na Ukrajino, je skupina uspela vdreti v elektronsko pošto diplomata ene od držav članic zveze Nato. 

"Institucije na geografskih območjih, kjer ima Kitajska strateške interese, bi morale pozorno spremljati delovanje te skupine. Še posebej to velja za vladne institucije," so za Hacker News že septembra lani opozarjali predstavniki kibernetskega podjetja Secureworks. 

Tarča kibernetskih napadov je tudi Kitajska. V zadnjih letih je vlada v Pekingu uradno potrdila 51 takšnih napadov. Aprila 2021 naj bi tako ameriška agencija za nacionalno varnost (NSA) stala za hekerskim napadom na enega od raziskovalnih centrov za letalstvo. Uradna Kitajska priznava, da je večina teh napadov "nevidnih".