„Poznej svého nepřítele“ | Atribuce kyberútoků – Podcast & blog by Pepik Hipik & Knižní kočka

Odhalení konkrétního útočníka je spíš výjimečné, hackerské skupiny ale často zanechávají stopy. Díky nim je lze rozlišit, zjistit odkud jsou i kdo za nimi stojí. Pokud je útok řízený státem, přisoudit mu jej může být veřejným zájmem.

Atribuce je přisouzení útoku konkrétní skupině nebo státu. Při její technické fázi cyber odborníci útok identifikují a analyzují ze všech úhlů pohledu. Často jsou schopní něco zjistit i o autorovi. Pak přichází tzv. politická fáze – zhodnocení, jak na útok reagovat.

Samozřejmě, není to snadné. Hackeři dělají vše pro to, aby zůstali skrytí. Maskují se, falšují polohu, případně i provádí operace pod falešnou vlajkou (false flag), kdy se vydávají za někoho jiného. Důkazy jsou často nepřímé, nebo vzniklé chybou či nedůsledností hackera.

Analytici zkoumají vše – IP adresy, domény, síťové artefakty i nástroje a techniky útočníků – každý hacker či skupina má svůj „styl“, sofistikovanost napoví, zda jde o nadšence nebo profíky, poznámky mohou svědčit o národnosti. Značnou roli mají i vnější zpravodajské informace.

V ČR máme rozvinutý systém kybernetické obrany, který atribuci nastavuje a umožňuje. Na technické části se podílí zejména zpravodajské služby (Vojenské zpravodajství, Bezpečnostní informační služba, Úřad pro zahraniční styky a informace) a Národní úřad pro kybernetickou a informační bezpečnost. Využívají k ní i spolupráci ve zpravodajské komunitě, ale i se soukromým sektorem.

Pak přichází citlivá politická fáze – ukázat útočníka nebo neukázat? Jde o otázku národní bezpečnosti. Na jedné straně poodhalí naše schopnosti, na straně druhé varuje před hrozbou, odstraší od dalších útoků, ukáže na nepřítele a rozváže ruce k sankcím a jiným protiopatřením.

V ČR jsme poprvé tuto možnost využili před rokem odhalením kampaně ruské skupiny APT 28, působící pod hlavičkou ruské vojenské rozvědky GRU. A podruhé naše země k tomuto kroku přistoupila včera, kdy Česká republika oficiálně ukázala, že hackeři čínské zpravodajské služby stojí za kybernetickou kampaní proti Ministerstvu zahraničních věcí České republiky.