JustPaste.it

Putinovi hackeři vidí do tajných informací maďarského ministerstva zahraničí

Originál: https://www.direkt36.hu/en/putyin-hekkerei-is-latjak-a-magyar-kulugy-titkait-az-orban-kormany-evek-ota-nem-birja-elharitani-oket/ 
Anglická verze: https://www.direkt36.hu/en/putyin-hekkerei-is-latjak-a-magyar-kulugy-titkait-az-orban-kormany-evek-ota-nem-birja-elharitani-oket/ 

270803463_449508356642463_1921298231414493478_n.jpg


Ruský ministr zahraničí Sergej Lavrov připnul 30. prosince 2021 v Moskvě svému maďarskému protějšku Péteru Szijjártóovi medaili přátelství. Ačkoli medaili předal Lavrov, udělil ji sám ruský prezident Vladimir Putin. Ne náhodou je medaile, která má podobu věnce z olivových ratolestí obklopujícího zeměkouli s cyrilským nápisem "Mír a přátelství" na rubu, nejvyšším ruským státním vyznamenáním, které lze udělit cizinci.

"Jsem hrdý na to, že navzdory mimořádně nepříznivému globálnímu a regionálnímu vývoji v posledních letech jsme při respektování našich aliančních závazků dokázali udržet spolupráci s Moskvou založenou na vzájemné důvěře a v souladu s našimi národními zájmy," pochlubil se maďarský ministr zahraničí na své facebookové stránce.

Péter Szijjártó už dávno věděl, že ruské tajné služby napadly a nabouraly se do informačních systémů ministerstva zahraničních věcí a obchodu (MZV), které vedl. V druhé polovině roku 2021 již bylo jasné, že Rusové zcela kompromitovali počítačovou síť a interní korespondenci ministerstva zahraničí a nabourali se také do šifrované sítě používané k přenosu "vyhrazených" a "důvěrných" státních a diplomatických informací, které lze používat pouze za přísných bezpečnostních podmínek.

Podle interního dokumentu, který máme k dispozici, bylo ministerstvo zahraničí předmětem cílených útoků ještě v lednu 2022. Podrobnosti o ruském hackerském útoku na komunikační kanály ministerstva zahraničí nám sdělili bývalí státní úředníci, kteří se o incidentu dozvěděli od úředníků, kteří o něm přímo věděli.

Podle bývalých zpravodajských pracovníků kybernetické útoky naznačují, že za operacemi proti maďarskému ministerstvu zahraničí stojí jednoznačně ruské zpravodajské hackerské skupiny. Tito hackeři pracují pro Federální bezpečnostní službu (FSB), kterou dříve rovněž ovládal Putin, a pro ruskou vojenskou rozvědku GRU. Podle zdrojů jsou maďarským státním orgánům již dlouho dobře známí, protože nejméně deset let nepřetržitě útočí na vládní sítě. Ruské domácí útoky jsou většinou spojeny s hackerskými útoky na jiné země NATO a členové západní aliance pravidelně spolupracují a sdílejí informace, aby tyto útoky identifikovali.

Díky hackerským útokům na zahraniční sítě se maďarská diplomacie stala pro Moskvu otevřenou knihou. Rusové mohou předem vědět, co maďarské ministerstvo zahraničí plánuje a co si myslí, a to ve velmi citlivé době. Ruská infiltrace byla aktivní i před invazí na Ukrajinu a částečně i po ní, během současných krizových jednání EU a NATO. Zatím nic nenasvědčuje tomu, že by maďarská vláda proti invazi veřejně protestovala u Ruska.

Direkt36 na základě dokumentů zahraničních služeb a více než 30 rozhovorů rekonstruoval ruskou zpravodajskou operaci proti maďarské zahraniční službě, její nejméně deset let staré pozadí a nedostatečnost kontrarozvědných opatření. Mluvili jsme například také s bývalými maďarskými zpravodajskými důstojníky, kteří spolupracovali s ruskou rozvědkou a měli konkrétní informace o mnoha případech popsaných v tomto článku. Zdroje obeznámené s vnitřními záležitostmi ministerstva zahraničních věcí se podělily o informace o postupu ministerstva při řešení kybernetického útoku.

Minulý týden jsme zaslali podrobné dotazy ministerstvu zahraničních věcí a obchodu, ministerstvu vnitra, které je primárně zodpovědné za kybernetickou obranu a kontrarozvědku, a úřadu předsedy vlády ohledně všech hlavních tvrzení v článku. Zatím jsme neobdrželi žádnou odpověď.

Zaměstnanci ministerstva zahraničí nebyli informováni o tom, že jejich počítače jsou napadeny

Od podzimu 2021 se na interních e-mailových adresářích ministerstva zahraničních věcí a obchodu objevují dříve neobvyklé oběžníky. Zatímco dříve dostávali zaměstnanci ministerstva tyto e-maily týkající se kybernetické bezpečnosti jen příležitostně, od loňského roku se zaměstnancům ministerstva zasílají několikrát týdně.

Podle oběžníku ministerstva zahraničních věcí, který získal Direkt36, bylo 11. listopadu 2021 oznámeno, že "se připravuje projekt kybernetické bezpečnosti ministerstva zahraničních věcí, jehož cílem je posílit IT a kybernetickou bezpečnost ministerstva". Prvním krokem bylo zřízení centrální e-mailové adresy, na kterou mají úředníci ministerstev zahraničí "hlásit události související s kybernetickou bezpečností (např. phishingový e-mail, DDOS útok, ransomwarový virový útok, únik hesel, únik dat)".

Již před Vánocemi vydalo ministerstvo pokyn zahraničním misím, aby zpřísnily používání mobilních telefonů pro služební účely, a 7. ledna 2022 pokáral pracovník pro kybernetickou bezpečnost zaměstnance za jeho nedodržování. "Technická šetření provedená za účelem zvýšení informační a kybernetické bezpečnosti MZV ukázala, že úřední korespondence MZV není vedena výhradně pomocí typů zařízení a programů, které jsou k tomuto účelu povoleny," uvádí se v interním dopise ministerstva, který získal Direkt36.

Dopisy vedly na ministerstvu zahraničí k rostoucímu podezření, že problém může být docela vážný. Jeden ze zdrojů obeznámených s vnitřními záležitostmi ministerstva se tehdy domníval, že se Číňané mohli nabourat do systému ministerstva zahraničí. Jeden z oběžníků ministerstva to naznačuje: "Používá se měřitelné množství zařízení, u nichž bylo prokázáno, že skrytým způsobem předávají osobní údaje do Číny. Patří mezi ně mimo jiné Huawei (ZTE), Honor, Xiaomi, Wiko, OnePlus."

Tato poznámka je pozoruhodná nejen proto, že upozorňuje na vážnou zranitelnost vládní komunikace. Dopis je zajímavý také proto, že ukazuje, že vláda si je vědoma bezpečnostního rizika, které čínská zařízení představují, ačkoli léta popírá, že by se jednalo o problém, a je jedním z největších podporovatelů používání čínských telekomunikačních zařízení v Evropě. Szijjártó se například opakovaně zastával společnosti Huawei a tvrdil, že zařízení čínské společnosti nepředstavují žádné riziko.

V oběžnících ministerstva zahraničí se uvádějí i další zranitelná místa. Podle jednoho z nich interní šetření také odhalilo, že mnoho lidí raději používá amerického poštovního klienta BlueMail, který je rovněž nebezpečný. Podle pracovníka kybernetické obrany BlueMail "otevřeně ukládá zadaná hesla; má mnoho programových chyb, které lze snadno zneužít při útoku; neustále odesílá data z mobilních zařízení na tři různé servery".

Pouhý týden po varovném dopise s upozorněním na čínská zařízení, 14. ledna 2022, vydala KSČM rozsáhlé varování před jiným typem hrozby, v němž uvedla, že "tento týden byla na několika zahraničních velvyslanectvích zveřejněna phishingová zpráva". Anglicky psaný podvodný e-mail tvrdil, že příjemci končí platnost hesla k jeho e-mailovému účtu @mfa.gov.hu, tedy k e-mailovému účtu ministerstva, a že je třeba jej změnit. "Zadaná hesla budou automaticky přiřazena e-mailové adrese útočníka, která bude okamžitě předána neoprávněným uživatelům, kteří mohou snadno získat přístup k celému obsahu schránky," uvádí se ve varovném oběžníku.

V druhé polovině roku 2021 bylo i vedení ministerstva zřejmé, že za aktivní a závažnou infekcí systémů ministerstva stojí ruští hackeři, uvedlo pro Direkt36 několik bývalých maďarských státních úředníků, kteří měli podrobnosti od kolegů, kteří o ruské operaci přímo věděli nebo kteří dříve pracovali v oblasti ruské rozvědky.

Na základě metod hackerů, známých z předchozích kybernetických útoků v Maďarsku i v zahraničí, techniky infekce a dalších stop, které po sobě zanechali (IP adresy, původ a cíl síťového provozu, cíle), bylo agenturám zapojeným do odhalování útoku na ministerstvo zahraničí od počátku jasné, že na maďarské ministerstvo zahraničí zaútočily ruské zpravodajské služby. Například některé stopy byly výslovně spojeny se známými útoky proti jiným zemím NATO, které již byly identifikovány jako útoky vedené Ruskem, nebo se jim nápadně podobaly.

Do sítě maďarského ministerstva zahraničí se infiltrace dostala částečně prostřednictvím phishingových útoků a e-mailových příloh obsahujících viry a následně se rozšířila po celé vnitřní síti - zasaženy byly počítače na ministerstvu na Bémově náměstí a na více než 150 místech více než 90 zahraničních misí. Podle bývalých úředníků infiltrace probíhala mnoho let a byla odhalena tak pozdě, že zpětně nelze říci, v jakých okamžicích a jakým způsobem Rusové pronikli do systémů zahraniční služby.

Podle zdrojů obeznámených s vnitřními záležitostmi ministerstva byli Péter Szijjártó a nejvyšší vedení ministerstva zahraničí o nálezu informováni orgány odpovědnými za bezpečnost sítě nejméně před šesti měsíci, ale od té doby se Sándor Pintér a nejvyšší vedení ministerstva vnitra dozvěděli podrobnosti prostřednictvím tajných služeb, které řídí. Na ministerstvu zahraničních věcí je kybernetická bezpečnost v kompetenci odboru bezpečnosti, informačních technologií a telekomunikací (BITÁF) a jeho civilní zpravodajské agentury, Informačního úřadu (IH), na úrovni celé vlády pak Národního bezpečnostního úřadu (NSS). Podle několika bývalých zpravodajských důstojníků však společnost National Infocommunication Service Provider Ltd. (NISZ) a kontrarozvědka Úřad pro ochranu ústavy (AH).

Szijjártó na začátku prosince loňského roku sdělil parlamentnímu výboru pro národní bezpečnost, že IH, který je rovněž zodpovědný za ochranu ambasád v zahraničí, vypracoval novou koncepci posílení ochrany a "práce na ní začaly v letošním roce podle plánu". Dodal, že i v IH "jsme přijali další opatření k posílení vnitřní bezpečnosti". Neřekl však, že by to mělo něco společného s kybernetickými útoky.

Na stejné schůzi výboru měl Pintér rovněž připomínky. Poté, co uvedl, že za maďarskou kybernetickou obranu je "zcela" odpovědný NCA, na který dohlíží, dodal, že "bez ohledu na to musí každý regionální orgán plnit své úkoly v oblasti kybernetické obrany, protože nestačí mít centrální vizi, ale naši jednotliví zaměstnanci nevěnují dostatečnou pozornost používání počítačů a internetu".

Přestože si však maďarský ministry Szijjártó a jeho kolegové již delší dobu uvědomují rizika, kromě varovných oběžníků nesdělili aparátu zahraničních služeb, že jejich každodenní pracovní nástroje a sítě ministerstva zahraničí jsou již delší dobu kompromitovány. Navíc proces vyřazení ruských tajných služeb ze sítí maďarského ministerstva zahraničí probíhá velmi pomalu a doposud nebyl dokončen. Podle bývalých zpravodajských úředníků je to mimo jiné způsobeno roztříštěným a pomalým rozhodováním a nedostatkem odborných znalostí.

Přesto ruské kybernetické útoky na maďarskou vládu a maďarské ministerstvo zahraničí přicházejí již nejméně deset let.

Rusové do systému vstupovali a zase ho opouštěli

Ruští hackeři viděli vše, co se nacházelo v počítači vysoce postaveného maďarského vládního úředníka, jako kdyby fyzicky seděli na jeho židli před monitorem v Maďarsku. Na podzim roku 2012 byla do jeho počítače bez jeho vědomí nainstalována upravená verze aplikace pro vzdálený přístup TeamViewer, která jim umožnila vidět prakticky vše - dokumenty, hesla, nastavení systému i síťová připojení.

Nebyl jedinou maďarskou vládní obětí ruského kybernetického útoku před téměř deseti lety, ale cílem nebyli jen Maďaři. O několik měsíců později, v únoru 2013, se obětí útoku, později nazvaného TeamSpy, stalo také velvyslanectví členského státu NATO a EU v Moskvě a mimo jiné také výzkumné a vzdělávací instituce ve Francii a Belgii. Podrobnosti o útoku byly později zveřejněny v anonymizované verzi v odborné analýze.

Rozsáhlý ruský útok TeamSpy neodhalila západní kontrarozvědka, ale odborníci z centra kybernetické obrany maďarského Národního bezpečnostního úřadu (NBF) (NBF CDMA), uvedl expert na kybernetickou bezpečnost, který je s incidentem obeznámen. Maďarské centrum, které vzniklo v roce 2011, shromáždilo odborné znalosti a schopnosti v oblasti kybernetické obrany na ministerstvech a státních úřadech a o několik let později jeden z Maďarů vedl pracovní skupinu NATO pro kybernetickou obranu.

Podle odborníka na kybernetickou bezpečnost, který je s incidentem obeznámen, reagovali Maďaři na útok TeamSpy agresivním protiútokem. Pronikli do ruské útočné infrastruktury, identifikovali ruské hackery operující mimo jiné z ruských a ukrajinských internetových kaváren a získali seznam cílů útoků TeamSpy. V rámci společné operace s partnery z NATO současně vypnuli infikované počítače přístupem k počítačům obětí po celém světě, čímž ruské hackery odřízli od množství informací. Podle několika zdrojů Direktu36, které jsou s případem obeznámeny a zabývají se kybernetickou bezpečností, taková operace vyžaduje seriózní organizaci a odborné znalosti, což ukazuje, jak vyspělá byla v té době maďarská kybernetická obrana.

Ruské zpravodajské služby - především ruská Federální bezpečnostní služba (FSB) a ruská vojenská rozvědka (GRU) - se začaly hackerstvím zabývat až na počátku roku 2010. "Pro Rusko je kybernetická válka součástí permanentní informační války. Tato válka je založena na tom, že západní svět chce podkopat mocenské postavení Ruska a v konečném důsledku vyvíjí komplexní a nepřetržité úsilí o podmanění země," řekl v rozhovoru pro Direkt36 Péter Buda, bývalý šéf národní bezpečnosti AH.

Vzhledem k tomu, že Rusové považují NATO pouze za vojenský nástroj Spojených států, je podle Budy jejich kybernetická špionáž "kromě průběžného sledování schopností a záměrů zaměřena především na odhalování informací a střetů zájmů, které by mohly narušit jednotu aliance NATO". Metoda kybernetické špionáže, kterou používají i Rusové a která se nazývá Advanced Persistent Threat (APT), nemá za cíl okamžité a viditelné poškození jako hackerský útok, ale trvalou přítomnost v cílovém IT systému.

Zatímco premiér Viktor Orbán již do značné míry prosazoval politiku otevírání se Východu, ruští hackeři GRU a FSB - skupiny známé jako APT28 a APT29 - považovali Maďarsko za nepřítele a útočili na něj stejně jako na ostatní členské státy EU a NATO. Jeden z tehdejších představitelů Orbánovy vlády uvedl, že v letech 2012-2014 bylo kromě maďarského ministerstva zahraničních věcí napadeno i ministerstvo vnitra a dokonce i ministerstvo obrany, přičemž podle stop a výměny informací s mezinárodními partnery se mohlo jednat o ruské hackery.

"Útoky pocházely například z chybně napsaných domén, jako je mail.hm.qov.hu, kde místo GOV bylo QOV," připomněl bývalý úředník. Pokud byste na tento podvodný e-mail klikli, byli byste přesměrováni na duplicitní stránku ministerstva, kde byste byli požádáni o přihlašovací údaje. Podrobnosti o tomto útoku včetně snímků obrazovky zveřejnila v roce 2016 analytická firma zabývající se kybernetickou bezpečností.

O rozsáhlém ruském útoku na ministerstvo zahraničí a jeho mise za druhé Orbánovy vlády však nebylo dosud nic zveřejněno. "Každý kout kompletní zahraniční sítě byl infikován, všichni byli postiženi. Ve skutečnosti Rusové do systému vstupovali a vystupovali s právy správce domény," uvedl bývalý úředník Orbánovy vlády. Jeho tvrzení potvrdili bývalí zpravodajští důstojníci, kteří rovněž pracovali v ruské zpravodajské oblasti. Integrita systémů ministerstva zahraničí byla obnovena kolem roku 2013.

Zdroje se podělily o mnoho příběhů o slabinách kybernetické bezpečnosti, které Rusové mohli využít. Jeden z bývalých maďarských diplomatů například připomněl, že před několika lety bylo možné diskutovat o pracovních záležitostech dokonce na úrovni státního tajemníka na Facebooku Messenger - nezabezpečený kanál, kde by taková komunikace neměla být vůbec povolena a který byl v posledních letech mnohokrát hacknut. Dalším důvodem je, že jedním ze základních hesel na počítačích CCM bývalo "secretXX" (dvě stejná čísla). "A pokud bylo třeba ho změnit, číslo se vždy zvýšilo o jedničku. Ale "pro případ, že bychom zapomněli", mnoho sekretariátů a sdílených strojů si raději ponechalo původní heslo," dodal bývalý diplomat.

Kromě toho je na internetu stále k dispozici několik databází, které vznikly před několika lety hackerskými útoky a které obsahují hesla a e-mailové adresy maďarských ministrů zahraničí. Direkt36 například dříve hledal kontaktní údaje maďarského velvyslance a jednoduchým vyhledáváním na Googlu našel nejen soukromou adresu diplomata, ale také heslo začínající na "pussy...".

Bývalý úředník Orbánovy vlády obeznámený s ruskými kybernetickými útoky také uvedl, že v první polovině roku 2010 se Rusové nabourali nejen do dokumentů maďarského ministerstva zahraničí. Některá z infikovaných vládních letadel byla připojena k zombie síti, z níž pokračovala v útocích na další členské státy NATO, o které měla Moskva větší zájem (zombie sítě jsou stroje a zařízení, které hackeři tajně ovládli na dálku a z nichž provádějí koordinované útoky). V některých případech byla maďarská infekce nejprve zjištěna u třetí země NATO, která útočila prostřednictvím sítě - IP adresy vypadají, že útočníkem je stroj maďarského ministerstva.

"Je důležité si uvědomit, že Maďarsko není hlavním cílem těchto útoků, ale úroveň zabezpečení maďarské veřejné i soukromé infrastruktury je prostě tak nízká, že je nejsnazší se do ní dostat," řekl jeden z odborníků na kybernetickou bezpečnost.

Tehdejší šéf centra kybernetické obrany NBF Ferenc Frész v roce 2015 v prezentaci uvedl, že velká část jejich práce spočívá v řešení těchto zranitelností. V té době však centrum kybernetické obrany NBF prakticky přestalo existovat. Frész ve své prezentaci prohlásil, že maďarská kybernetická obrana byla demontována způsobem, který zcela eliminoval obranyschopnost Maďarska, a že "to vše bylo provedeno pod ruským ekonomickým tlakem". Nevysvětlil, na základě čeho toto tvrzení učinil, a když ho Direkt36 kontaktoval, odmítl se ke svému tehdejšímu prohlášení vyjádřit.

Velkolepý proruský obrat v maďarské politice nastal v roce 2014 poté, co Orbán a Putin oznámili dohodu o rozšíření Pakse a ministerstvo zahraničí převzal Péter Szijjártó, který má rozsáhlé ruské kontakty. V listopadu 2014 byl vyměněn šéf Inspekce národní bezpečnosti, instituce byla převedena pod ministerstvo vnitra a o několik měsíců později byli s odvoláním na reorganizaci propuštěni pracovníci centra kybernetické obrany.

Podle odborníka na kybernetickou bezpečnost, který je s případem obeznámen, začala Orbánova vláda považovat maďarskou kybernetickou obranu za svorník maďarsko-ruského sbližování a dohoda o rozšíření Pakse přinesla mimo jiné negativní obrat. Jiný expert na kybernetickou bezpečnost dodal, že kybernetičtí obránci se také izolovali tím, že různým ministerstvům bez obalu a bez "diplomacie" prozradili, jaké kritické zranitelnosti ve vládních sítích našli.

Za třetí Orbánovy vlády tak úkoly kybernetické obrany převzaly orgány spadající pod ministerstvo vnitra, zejména Národní bezpečnostní služba (NSS). Teprve po zrušení centra kybernetické obrany se vlastně všechny tajné služby a státní orgány začaly trochu věnovat kybernetické obraně. Podle bývalého úředníka Orbánovy vlády je důsledkem toho, že si jednotlivé agentury na sebe pravidelně ukazují a čekají jedna na druhou, fungují ve vzájemné izolaci a někdy dokonce přímo soupeří.

Další velká vlna ruských útoků ukázala slabiny nového uspořádání.

"Institucionální vypnutí" je v plném proudu

Když jednoho rána v listopadu 2016 vstoupil úředník ministerstva zahraničí do své kanceláře na Bémově náměstí, okamžitě si všiml, že mu ze stolu zmizel počítač. "Nejdřív jsem byl jen překvapený. Šel jsem za naší sekretářkou, abych se zeptal, co se stalo, protože bez počítače nemohu pracovat," vzpomínal tehdejší úředník ministerstva zahraničí pro Direkt36. Jediné, co se sekretářka dozvěděla, bylo, že počítač se stal virovým a že někdy dorazí další.

Virus se do počítače dostal prostřednictvím infikovaného e-mailu již v říjnu 2016, o podrobnosti incidentu se podělil bývalý maďarský zpravodajský důstojník. Rusové uvedli úředníka ministerstva zahraničí v omyl pomocí takzvaného spearphishingu, který spočíval v úpravě klamavého, personalizovaného e-mailu. V tomto konkrétním případě se na první pohled mohlo zdát, že e-mail odeslal zaměstnanec centrály NATO v Bruselu. Taková e-mailová adresa a takový člověk se v databázi adres bruselské centrály NATO skutečně nenachází, ale ani formát adresy nebyl správný, řekl bývalý úředník NATO pro Direkt36.

Křestní jméno odesílatele se však přesně shodovalo se jménem blízkého zahraničního známého zahraničního úředníka. "Název musel být zavádějící a já jsem zřejmě kliknul automaticky. NATO byl také chytrý trik, kdyby nešlo o jméno, kliknul bych na něj," uvedl bývalý úředník, podle kterého byl obsah e-mailu zcela nezajímavý a nepamatuje si, zda kliknul na odkaz nebo na přílohu v dopise.

"Po kliknutí se nestalo nic podezřelého, neobjevily se žádné mrtvé hlavičky," dodal. Ani když mu zmizel počítač, nenapadlo ho, že se něco děje, teprve když to později vyšetřovala OI, ale i to ho uklidnilo - a zbavilo ho jakéhokoli podezření. Ve druhém kole však přišli kontrarozvědčíci z AH, kteří ho posadili na dvě kola výslechů, a podruhé ho napojili na detektor lži. Snažili se zjistit, zda špehoval pro Rusko.

Podle bývalého agenta maďarské tajné služby byly všechny prvky e-mailového podvodu součástí plánovaného psychologického efektu, který měl přimět cílovou osobu, aby e-mail přesto otevřela. Zdroj dodal, že ruské tajné služby již delší dobu zkoumají minulost, kontakty a zájmy zahraničního úředníka. Je to proto, že britská zpravodajská služba o tom všem sdílela informace s AH, která následně informovala IH a NSI. Direkt36 se na to zeptal britského velvyslanectví, ale to zatím neodpovědělo.

Otevřením e-mailu nebyl infikován pouze vlastní počítač úředníka pro zahraniční záležitosti. "Byl to virus podobný polypu, který se dostane do jednoho počítače a pak se šíří systémem do všech ostatních," řekl. O tom se však dozvěděl až později, neformálně, prostřednictvím svých vysokých vládních kontaktů. Vládní kontakt mu tehdy sdělil, že se to týká i nejméně 20 dalších zahraničních úředníků. Další, kteří obdrželi podobně personalizované, zkažené e-maily, například týkající se NATO, bezpečnostní politiky, východoevropského regionu. "Můj známý mi řekl, že se mě Rusové snažili dostat v několika bodech a já jsem byl jen jedním z nich," dodal bývalý úředník ministerstva zahraničí.

Balázs Bencsik, ředitel Národního institutu kybernetické obrany (NKI), specializované služby v rámci maďarské kybernetické obrany, poskytl v létě 2017 na Svobodné univerzitě Tusványos informace o ruských kybernetických útocích v Maďarsku v roce 2016. Nejmenoval žádné ministerstvo, ale prohlásil, že na maďarském vládním serveru byla před prezidentskými volbami v USA v roce 2016 zjištěna podezřelá aktivita, která přenášela data do Nizozemska a Německa. Později se také zjistilo, že ruské hackerské skupiny se nabouraly i do serverů americké Demokratické strany.

Bencsik uvedl, že podobné útoky na maďarské vládní systémy jsou "časté a nepřetržité", ale nejsou primárně namířeny proti Maďarsku. Například tvrdil, že maďarský vládní server, na který se v roce 2016 nabourali hackeři, použili Rusové k maskování ("maskování IP adres") svého útoku na Spojené státy během prezidentské volební kampaně. Jinými slovy, Rusové opět udělali totéž, co když se v letech 2012-13 nabourali do ministerstva zahraničí, a opět použili hacknuté maďarské vládní počítače k nabourání dalších členských států NATO.

Rusové neútočili jen na maďarské ministerstvo zahraničí: ve stejném období bylo velmi podobným ruským útokem, jehož podrobnosti byly zveřejněny v ročence české kontrarozvědky (BIS) za rok 2017, napadeno i české ministerstvo zahraničí. Od začátku roku 2016 se Rusové dostali do e-mailových účtů nejméně 150 českých úředníků zahraničních věcí, z nichž pravidelně vytahovali veškeré informace. Souběžně byl od prosince 2016 veden jiný typ méně sofistikovaného útoku "hrubou silou" na stovky e-mailových účtů Ministerstva zahraničních věcí ČR, kdy útočník zkouší všechny možné přihlašovací klíče.

Lubomír Zaorálek, tehdejší ministr zahraničních věcí, na začátku roku 2017 odhalil, že desítky e-mailových účtů vysokých českých diplomatů byly napadeny hackery, přičemž některé z ukradených informací se týkaly NATO a EU. Podle českého investigativního webu Neovlivni.cz byly hacknuty i účty Zaorálka a jeho státních tajemníků a staženy tisíce dokumentů. Podle BIS se kompromitace e-mailových účtů českého ministerstva zahraničí "v mnoha klíčových ohledech shoduje s jinými podobnými kyberšpionážními operacemi v jiných evropských zemích".

Zatímco Češi se rozhodli zveřejnit informace, Orbánova vláda, podobně jako v Maďarsku v letech 2012-2014, kybernetické útoky na systémy ministerstva zahraničí v roce 2016 před veřejností tajila. "Došlo k institucionálnímu uzavření," řekl bývalý ministr zahraničí, který infikovaný e-mail otevřel a o několik měsíců později byl kontrarozvědkou označen za národní bezpečnostní riziko. To znamená, že jeho aktivity nebo kontakty byly z nějakého důvodu považovány za neslučitelné s jeho prací na ministerstvu a byl z ministerstva zahraničí propuštěn.

Stalo se tak navzdory skutečnosti, že bývalí zpravodajští důstojníci, kteří jsou obeznámeni s podrobnostmi případu, sdělili Direktu36, že vyšetřování potvrdilo, že úředník ministerstva zahraničí se s Rusy nespolčil, ale pouze kliknul na dopis. Navíc později začal pracovat pro vládu jiné evropské země NATO, jejíž národní bezpečnostní prověrkou prošel bez problémů.

Učinili tak navzdory skutečnosti, že bývalí zpravodajští důstojníci, kteří jsou s případem obeznámeni, sdělili Direktu36, že vyšetřování potvrdilo, že se úředník zahraniční služby nespolčil s Rusy, ale pouze kliknul na dopis. Navíc později začal pracovat pro vládu jiné evropské země NATO, jejíž národní bezpečnostní prověrkou prošel bez problémů.

"Bohužel několik takových případů skončilo neúspěchem," uvedl bývalý úředník Orbánovy vlády, který byl s těmito případy přímo obeznámen. Podle něj AH několikrát zahájilo vyšetřování kvůli podezření ze špionáže a propustilo zaměstnance ministerstva, kteří otevřeli podvržené dopisy. "Oni prostě nevěří, že ty útoky opravdu provádějí všelijací uhrovití petrohradští kluci," vysvětlil. Podle tohoto zdroje je to v podstatě způsobeno mentalitou policejního manažera ministerstva vnitra, a to i pokud jde o kybernetickou obranu: "Co dělá policista? Co dělá policista?" řekl.

Vyhazov zaměstnanců kliktivistů však nepomohl útoky zastavit.

Rusové pronikli i do tajných místností bez oken

Zcela uzavřené místnosti VKH bez oken nebo se závěsy se nacházejí všude ve světě, kde působí maďarské diplomatické mise, a to i v těch nejvzdálenějších zemích. Tyto místnosti střeží koncové body uzavřené chráněné zahraniční sítě (VKH), počítače, které šifrují zprávy a ke kterým se v zásadě nesmí připojit žádné externí zařízení, vysvětlil bývalý velvyslanec Orbánovy vlády.

Místnosti VKH využívají zaměstnanci ministerstva zahraničí a maďarští diplomaté, když chtějí svým kolegům a nadřízeným sdělit informace týkající se země, NATO nebo EU. Podle bezpečnostních předpisů ministerstva zahraničí je do těchto místností "možné vstupovat pouze s platným osobním bezpečnostním průkazem a oprávněním uživatele a s oprávněním ke zvláštní kartě nebo s písemným povolením a doprovodem vedoucího ostrahy".

Každý, kdo má přístup do tohoto systému, má rovněž přístup k maďarským státním a spojeneckým utajovaným informacím označeným jako "vyhrazené" a "důvěrné". Jedná se o utajované údaje, jejichž zpřístupnění veřejnosti nebo neoprávněným osobám by mohlo poškodit nebo ohrozit veřejný zájem a které jsou standardně utajovány po dobu 10, resp. 20 let.

Bývalý velvyslanec připomněl náročný proces této komunikace. Když chce diplomat poslat zprávu na VKH, přinese do místnosti vzkaz na papíře, zadá ho do počítače na klávesnici a systém ho zašifruje náhodně vygenerovaným jedinečným kódem. Poznámka na papíře musí být zničena. V prostorách VKH není dovoleno používat mobilní telefony ani jiná elektronická zařízení. Systém zaznamenává čas strávený v místnosti a přístupné materiály.

Ruská tajná služba se do VKH úspěšně nabourala již v první velké vlně útoků na počátku roku 2010, řekl Direktu36 bývalý úředník Orbánovy vlády, který o incidentu přímo věděl, což potvrdili i maďarští diplomaté, kteří se o incidentu rovněž dozvěděli. Bývalý vládní úředník uvedl, že kolem roku 2013 byly vyměněny přístroje ve všech místnostech VKH po celém světě, na ministerstvu na Bémově náměstí a v maďarských diplomatických misích v zahraničí, čímž byla obnovena integrita sítě. Bývalý velvyslanec Orbánovy vlády připomněl, že lidé z bezpečnostního oddělení ministerstva, kteří je navštívili, mu řekli, že staré zařízení je zastaralé a že síť bude zcela nahrazena.

Výměna strojů před téměř 10 lety problém na dlouho nevyřešila. Několik bývalých agentů tajné služby, kteří jsou obeznámeni s kybernetickým útokem na ministerstvo zahraničí kvůli zapojení jejich úřadu, sdělilo Direktoriu36, že VKH bylo v posledních letech opětovně hacknuto Rusy pomocí IT nástrojů. Člen zahraničního výboru parlamentu připomněl, že maďarští diplomaté již nejméně rok a půl říkají, že systém je opět zastaralý a nejistý, a že to byl důvod, proč žádali o peníze na modernizaci VKH.

Podle několika zpráv se však vyskytly také problémy s fyzickým zabezpečením systému, ale nejsou k dispozici žádné informace o tom, zda tyto problémy přispěly k poslednímu vloupání.

Podle bývalého velvyslance Orbánovy vlády bylo například typickým problémem, že zabezpečená místnost VKH na vzdálených zastoupeních nebyla vždy správně instalována. Člen zahraničního výboru to potvrdil a dodal, že samotné stavební práce představují další riziko - například při přestavbě může být stroj VKH ponechán na staveništi bez dozoru. A bývalý úředník ministerstva zahraničí informoval o incidentu z první poloviny roku 2010, kdy bylo zjištěno násilné otevření dveří maďarské mise ve Střední Asii. Podobný incident byl zveřejněn i v roce 2017. Diplomat z uzbecké mise v Uzbekistánu oznámil Szijjártóovi závažné bezpečnostní nedostatky a dostal neformální odpověď, že "toho nechá".

Ruské tajné služby měly přístup k jakémukoli dokumentu předávanému VKH díky hackerskému útoku. Jaké materiály a kdy přesně byly ohroženy, zdroje, které Direktu36 poskytly podrobnosti, neupřesnily. Utajované dokumenty předávané VKH však neobsahují pouze informace z maďarských zdrojů. Podle bezpečnostních pravidel ministerstva jsou přijímány i důvěrné dokumenty NATO a EU a bývalý velvyslanec Orbánovy vlády dodal, že tímto kanálem jsou přijímány i maďarské zprávy přepisující různá jednání NATO nebo EU.

Existují však přísněji chráněné informace než "vyhrazené" a "důvěrné" informace předávané na VKH, které jsou standardně klasifikovány jako důvěrné po dobu třiceti let. Ty jsou klasifikovány jako "tajné" nebo "přísně tajné". Podle bývalého velvyslance Orbánovy vlády jeho zastoupení na obdobě českého "Úřadu pro zahraniční styky a informace" žádné takové informace neobdrželo. Uvedl, že k dokumentům, které jsou považovány za nejzávažnější státní tajemství, se může dostat pouze úzký interní okruh na ministerstvu na Bémově náměstí, a to zvláštními kanály, jak to vyžadují bezpečnostní předpisy ministerstva. Direkt36 nemá žádné informace o tom, že by tyto ještě citlivější kanály byly kompromitovány.

Podle bývalého zpravodajského důstojníka, který je o incidentu nepřímo informován, byla integrita VKH v zásadě dočasně obnovena kolem února 2022, ale nyní zastaralé stroje VKH dosud nebyly nahrazeny. Dodal, že běžná vnitřní síť ministerstva zahraničí zůstala infikovaná.

Dokonce i diplomaté z půl tuctu členských států EU a NATO v únoru 2022 sdělili Direktu36, že od maďarského ministerstva zahraničí neobdrželi žádné oficiální informace o skutečnosti ruského kybernetického útoku, jeho závažnosti ani o tom, zda se týkal informací NATO a EU. "Mělo by být samozřejmé, že pokud nejste schopni infekci zlikvidovat sami, požádáte o pomoc spojence. Jediný případ, kdy jim to neřeknete, je ten, kdy můžete útok okamžitě odrazit," řekl bývalý představitel NATO. Kromě toho uvedl, že "v rámci Severoatlantické aliance platí džentlmenská dohoda, že pokud víte, že je vaše síť infikovaná, snažíte se z ní vyloučit dokumenty NATO". Vysoce postavený diplomat z jedné ze zemí EU však uvedl, že vláda může sama rozhodnout, co bude sdílet a co ne, protože neexistují žádná konkrétní pravidla.

Pravidla kontrarozvědky jsou však mnohem jasnější než pravidla diplomacie. "Jakákoli zranitelnost, která umožňuje kompromitaci chráněných dat federálního systému, způsobuje škody, které se následně obtížně napravují," uvedl Péter Buda, bývalý šéf AH, v rozhovoru pro Direkt36. Podle něj by prevence útoků na chráněné IT systémy měla být nejvyšší prioritou. Pokud však rychlá prevence selže, poslouží vtipně či nevědomky zájmům útočníka.

Na rozdíl od tajnůstkářské maďarské diplomacie však maďarská kontrarozvědka své partnery o kompromitaci ministerstva zahraničí již informovala.

U piva jim maďarská kontrarozvědka nakonec řekla, že nastaly potíže

Na podzim roku 2021 se zástupci evropských tajných služeb opět sešli v Bernském klubu, aby diskutovali o aktuálních problémech, přičemž hlavním tématem bylo i tehdy Rusko. Bernský klub je jedním z nejdůležitějších fór pro výměnu informací mezi západními zpravodajskými službami, kde je zastoupeno 27 členských států EU, Norsko, Švýcarsko a Spojené království a kam jsou zváni Američané, Kanaďané a někdy i Izraelci. Maďarským účastníkem fóra je Úřad pro ochranu ústavy.

Tentokrát se tajné služby nesešly na vyšší úrovni, ale na nižší, profesionálnější úrovni. V takových případech jsou přizvanými účastníky střední manažeři, například ředitelé kontrarozvědky, kteří jsou obeznámeni s podrobnostmi velké operace a mohou o nich diskutovat se svými zahraničními kolegy. Smyslem však není poměrně formální a obecný denní program konference, ale večerní večeře a pivo, kde se předává mnoho zajímavých informací.

Bývalý zpravodajský pracovník, který je nepřímo obeznámen s průběhem schůzky z loňského podzimu, řekl Direktu36, že právě tehdy, během neformálního popíjení po formálních jednáních, sdělil zástupce AH svým západním kolegům, že maďarské ministerstvo zahraničí se zřejmě ocitlo pod mimořádně silným ruským útokem. V reakci na to několik evropských účastníků okamžitě začalo vyjmenovávat počet a rozmanitost pokusů, které Rusové v jejich zemích v nedávné minulosti provedli.

Nejnovější případ se odehrál v Německu, kde byly během německé volební kampaně hacknuty e-mailové účty poslanců Bundestagu a dalších politiků, což Rusové spojili s "dezinformačními a vlivovými operacemi", uvádí se ve zprávě na internetových stránkách Institutu kybernetické obrany NBI. Podobné ruské kybernetické útoky v posledních letech zasáhly Rakousko, Českou republiku, Slovensko a Polsko. Tyto země EU postupovaly při řešení kybernetické špionáže zhruba stejně: zjistily potíže, podnikly rychlé kroky proti nim, sdílely informace se svými spojenci a nakonec incident zveřejnily a protestovaly u Ruska.

Podle bývalého zpravodajského důstojníka nesděloval zástupce AH členům Bernského klubu informace na základě konkrétních oficiálních příkazů ministerstva zahraničí nebo Orbánovy vlády. "AH má zásadní zájem na sdílení informací, protože pokud je nedá, nedostane je," uvedl expert na kybernetickou bezpečnost, který byl dříve spojován s agenturou.

Jako odstrašující příklad pro maďarské zpravodajské služby by mohl posloužit i případ Rakouska, kterému bylo před několika lety fakticky pozastaveno členství v klubu kvůli jeho nespolehlivosti. "Jednou z nejdůležitějších oblastí pro NATO v posledních letech bylo posílení spolupráce na alianční úrovni v boji proti ruským kybernetickým útokům," vysvětlil bývalý důstojník AH Péter Buda význam sdílení informací o ruských záležitostech.

V posledních měsících, po zasedání Bernského klubu, se zpráva o hackerském útoku na maďarské ministerstvo zahraničí dostala k mnohem širšímu okruhu odborníků na zahraniční a bezpečnostní politiku, včetně cizinců. "V evropské zpravodajské komunitě je nyní všeobecně známo, že Rusové se nabourali do maďarského ministerstva zahraničí a že mnoho maďarských diplomatických misí bylo kompromitováno," uvedl jeden z představitelů národní bezpečnosti EU, který se o hackerském útoku dozvěděl od své vlastní instituce v lednu 2022.

Kromě tajného sdílení informací se však Orbánova vláda nápadně zdržuje otevřeného odporu vůči ruským zpravodajským aktivitám. Například Direkt36 již dříve odhalil, že ruští rozvědčíci, kteří jsou v Maďarsku přistiženi při činu, jsou vždy "tiše deportováni", tj. jsou jednoduše posláni domů a nikdy nejsou zveřejněni.

Pokud jde o jedinou maďarskou výjimku, případ ruského diplomata v Budapešti, který byl po otravě Skripala vykázán, napsali jsme, že Budapešť a Moskva záměrně provedly vyhoštění a protivyhoštění tak, aby nepoškodily přátelské vztahy. Například jeden Rus byl vyhoštěn z Budapešti, když ukončil svou diplomatickou misi a chystal se vrátit domů.

Existuje několik spektakulárních příkladů měkkého zacházení s ruskou špionáží. Například bývalý moskevský diplomat Szilárd Kiss mohl zůstat ve své funkci i poté, co kvůli svým vazbám na ruské zpravodajské služby neprošel dvěma prověrkami národní bezpečnosti. Co se týče bývalého europoslance Bély Kovácse, který byl mezitím odsouzen za přípravu špionáže, Péter Szijjártó řekl listu Old Index, že na případ žádného bývalého ruského velvyslance neupozornil. Od té doby Kovács žije a vyučuje v Moskvě a v současné době analyzuje invazi na Ukrajinu na ruských propagandistických webových stránkách.

Naposledy se Maďarsko dostalo do mezinárodních zpráv o ruské kybernetické špionáži před několika týdny, kdy vyšlo najevo, že Orbánova vláda brání Ukrajině, která je obětí vážných ruských kybernetických útoků, v připojení k centru excelence NATO pro společnou kybernetickou obranu. Na prosincovém summitu EU byl Viktor Orbán marně žádán o zrušení veta, ale to se stalo až po ruské vojenské invazi na Ukrajinu.

Panyi Szabolcs, Direkt36 2022.03.29.