FortiBleed: Ruská stopa vede k datům britského zdravotnictví a energetiky, která nyní kolují na darknetu

Desítky tisíc přístupových údajů k britským úřadům, nemocnicím a energetickým firmám unikly po masivním útoku na firewally Fortinet. Podle expertů jde o typickou ukázku hybridní strategie, s níž Kreml dlouhodobě testuje odolnost západních demokracií.

Britská vláda i provozovatelé kritické infrastruktury se v uplynulých dnech potýkají s rozsáhlým únikem přístupových údajů, který bezpečnostní experti přisuzují kampani s kódovým označením „FortiBleed“. Útočníci podle britského deníku The Telegraph zneužili zranitelnosti ve firewallech a VPN branách značky Fortinet a od té doby postupně sbírají a testují přihlašovací údaje na více než osmdesáti tisících zařízeních po celém světě. Výsledkem je databáze přesahující třicet tisíc ověřených přístupů, mimo jiné z prostředí ministerstva zahraničí, místních samospráv, ambasád i klíčových provozovatelů kritické infrastruktury.

Mezi postiženými subjekty figurují podle dostupných informací zdravotnická zařízení Národní zdravotní služby (NHS), lékárenské řetězce, laboratoře a jejich dodavatelé, ale také energetické společnosti zajišťující dodávky elektřiny a plynu britským domácnostem. Britský Národní kybernetický bezpečnostní úřad (NCSC) kampaň označil za útok hrubou silou („brute force“) a vyzval organizace používající zařízení Fortinet, aby okamžitě prověřily své sítě, izolovaly kompromitovaná zařízení a změnily hesla.

Kód psaný v azbuce, prodej za desítky tisíc dolarů

Podle zjištění bezpečnostního výzkumníka Volodymyra Diačenka, který kampaň jako první zdokumentoval, byl škodlivý kód napsán v ruštině. Přístupové údaje jsou následně nabízeny na darknetových fórech pod přezdívkou prodejce „SantaAd“, a to za částky dosahující až šedesáti tisíc dolarů. Britské úřady zatím nedisponují přímým důkazem o přímém zapojení ruského státu, nicméně již dříve opakovaně upozorňovaly na úzké propojení mezi ruskými zpravodajskými službami a hackerskými skupinami operujícími z ruského území – a na skutečnost, že Moskva takové aktivity dlouhodobě toleruje, ne-li přímo řídí.

„Toto je přesně ten typ útoku, který bývá prvním krokem k rozsáhlým ransomwarovým kampaním schopným ohrozit bezpečnost pacientů v celé zemi.“

Bývalý lékař NHS a nyní bezpečnostní expert Saif Abed upozornil, že zdravotnická zařízení, lékárny, laboratoře a jejich dodavatelé jsou na produktech typu Fortinet výrazně závislí, a proto představuje tento typ úniku vážné riziko pro fungování celého systému. Připomněl přitom loňský případ laboratorní společnosti Synnovis, jejíž systémy byly po útoku spojovaném s ruskými aktéry vyřazeny z provozu natolik, že britské nemocnice musely zrušit více než tisíc operací a zhruba dva tisíce vyšetření.

Co víme jistě

  • Kampaň FortiBleed zneužívá recyklovaná hesla z dřívějších úniků a testuje je metodou hrubé síly proti zařízením Fortinet.
  • Postiženo je přes 80 000 zařízení ve 194 zemích, ukradeno bylo přes 30 000 ověřených přístupů.
  • Mezi oběťmi jsou britské ministerstvo zahraničí, místní samosprávy, ambasády, NHS, energetické firmy a farmaceutičtí dodavatelé.
  • Škodlivý kód je napsán v ruštině; přímé napojení na ruský stát nebylo dosud oficiálně prokázáno.

Energetika jako opakovaný cíl

Zaměření útočníků na energetický sektor není náhodné. Moskva dlouhodobě používá energetiku jako nástroj nátlaku – od manipulace s dodávkami plynu do Evropy až po opakované pokusy o průnik do řídicích systémů elektrických sítí v Pobaltí, Skandinávii i střední Evropě. Kybernetický útok na britské dodavatele energie tak lze číst jako digitální pokračování tradiční ruské taktiky energetického vydírání, tentokrát bez nutnosti fyzicky uzavírat plynovody – stačí ohrozit důvěru v bezpečnost dat a systémů, na nichž dodávky energie závisí.

Podobný vzorec byl v posledních letech zaznamenán i v jiných evropských zemích, včetně Německa, Polska a Dánska, kde ruské kybernetické operace opakovaně cílily na energetickou infrastrukturu, dopravní uzly i vládní instituce. Bezpečnostní analytici proto hovoří o stavu „permanentní hybridní války“, v níž si autoritářský Kreml systematicky testuje odolnost západních demokracií, aniž by musel sáhnout ke konvenčním vojenským prostředkům.

Analýza redakce

Skutečnost, že se terčem útoku stala zdravotnická data, posouvá celou záležitost za hranice běžné špionáže. Kompromitace systémů NHS, lékáren a laboratoří má potenciál přímo ohrozit lidské životy – a právě to podle expertů odlišuje současnou vlnu ruských kybernetických operací od klasického sbírání zpravodajských informací. Otevřený prodej ukradených dat na darknetu navíc naznačuje, že se ruské kybernetické operace posouvají směrem k systémové hrozbě na úrovni státní politiky. To by mělo Londýn i jeho spojence v NATO vést k razantnímu posílení kybernetické obrany a k vážné diskusi o tom, zda by útoky na zdravotnictví a energetiku neměly být právně i politicky posuzovány jako ekvivalent ozbrojeného útoku.

Co bude následovat

Britské úřady v tuto chvíli vyšetřují rozsah škod a snaží se identifikovat, kolik ze zveřejněných přístupů je stále aktivních. Vzhledem k tomu, že řada organizací nepoužívá vícefaktorové ověřování, hrozí, že se útočníci mohou k citlivým systémům dostat i po formální změně hesel. Případ FortiBleed se tak pravděpodobně stane dalším argumentem v probíhající debatě o tom, jak NATO a Evropská unie reagují na kybernetické hrozby ze strany Ruska – a zda dosavadní nástroje sankcí a diplomatického nátlaku vůbec dostačují.

Autor: Tomáš Vrbický

Podobné příspěvky

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Web používá Akismet ke snížení množství spamu. Zjistěte, jak jsou zpracovávány údaje z komentářů.