Místo kyberútoků na české nemocnice odhaleno. Stopy vedou na sever Moskvy
Místo kyberútoků na české nemocnice odhaleno. Stopy vedou na sever Moskvy
Kdo asi platí ruské hackery, aby se snížili k takové odporné špíně, jako je ochromování nemocnic? foto: Ilustrační foto

ČR - Redakce Seznam Zprávy získala první detailní informace včetně konkrétního jména jednoho z útočníků. Způsob napadení nemocničních počítačových systémů je netypický, analytici mluví o provokaci a „vyhlášení války“.
   V malé kanceláři tiše sedí dva muži v krátkých kalhotách a volných tričkách. Jejich prsty vyběhané po klávesnici supervýkonného počítače rytmicky klapají. Pro nezaujatého diváka to může působit jako filmová hudba k thrilleru, ve skutečnosti se tu však hledá cesta ke zdroji skutečného ohrožení.
   Právě totiž rozkrývají hackerský útok na české nemocnice.
   Na ně, jejich počítačové systémy, v posledních nejméně dvou měsících útočí silná skupina hackerů. Snaží se prolomit zabezpečení v různých zdravotnických zařízeních a pokud by se jim to povedlo, dokázali by je na nějakou dobu prakticky úplně vyřadit z provozu.
   Seznam Zprávy se spojily se skupinou českých etických hackerů, kteří se zabývají kybernetickou bezpečností a jejich prací je ochrana před hackery a také případně jejich identifikace. Práce byla úspěšná, takže už známe nejen první detaily o útocích, ale také jméno jednoho z těch, kdo se na útocích podíleli.
   Jmenuje se Alexandr Alexandrovič Černyšov, jeho poslední stopu zaznamenali čeští etičtí hackeři v Moskvě. A to v malém office centru ve čtvrti Marina rošča v severní části ruského hlavního města.
Popsat cestu, jak se analytici až k Černyšovovi dostali, je složité stejně jako pátrání samo. Kromě konkrétního jména jednoho z útočníků však přineslo řadu poznatků, které mohou naznačit, jaký úmysl za útoky stojí a co je vlastně jejich cílem.
   Prvním ze zjištění je to, že před sebou máme poněkud „jiný“ útok.
   Hackeři totiž za sebou většinou dokáží zamést stopy a na jejich úspěšné útoky většinou nepřijde nikdo. A pokud ano, tak s velkým časovým odstupem, kdy už není možné nic moc zjistit. Vedle toho útočníci obvykle něco chtějí - data nebo třeba peníze.
   Útoky, které ale v tuto chvíli probíhají na české cíle, jsou však jiné.
  „Útoky jsou to podivné,“ říká jeden z etických hackerů. „Trvají dlouho a útočník sám vlastně nic nechce. Jeho samotného to přitom musí stát velké peníze,“ popisuje neobvyklé okolnosti posledních útoků analytik, jehož jméno redakce nezveřejňuje kvůli obavám z případné pomsty.
Zanechali stopy
  Hackerské útoky na české nemocnice trvají s přestávkami už několik měsíců a vracejí se s větší nebo menší intenzitou. Jejich snahou je prolomit zabezpečovací hesla. Zajímavé však podle analytiků je, že útočník sám po sobě zanechává stopy.
   „Skoro to vypadá, jako by chtěl, abychom ho dokázali najít,“ říká český etický hacker.
   To je samo o sobě podivné, nejde totiž o amatéra - o tom svědčí schopnost útoky provádět ve velkém rozsahu a dlouhou dobu.
   Útoky pak mají ještě jednu zajímavou okolnost: nemocnice a jejich experti se dokážou ubránit, pokud se o to snaží. Efekt útoku je tedy hlavně v tom, že neustále přitahuje pozornost.
   „Z našeho pohledu to vypadá jako vyhlášení války,“ lakonicky charakterizuje útoky etický hacker spolupracující s redakcí Seznam Zpráv.
Velmi provokativní gesto
   Jaké stopy po sobě zanechal identifikovaný ruský hacker?
  Pro jeden z ataků, který se odehrával v posledním týdnu měsíce dubna, si pro své útoky přes nastrčené firmy nakoupil takzvané IP rozsahy. Zjednodušeně se dá říci, že je to jakási podsíť internetu, definována je jednotlivými IP adresami. (Do internetové sítě se přistupuje prostřednictvím IP adres. IP rozsah je soubor obvykle po sobě jdoucích IP adres, které tak vytvářejí podsíť, jež umožňuje vstup do samotné internetové sítě).
   A právě z těchto IP rozsahů hacker podnikal útoky, jimiž se snažil nabourat zabezpečení nemocnic se snahou prolomit jejich hesla. Pokud by se mu to povedlo, měl by přístup třeba ke zdravotnickým záznamům, nebo by dokázal paralyzovat elektroniku v nemocnicích. A vzhledem k tomu, že řada nemocničních přístrojů je připojena na vnitřní síť, mohl by tím fakticky nemocnice ochromit.
Etičtí hackeři zjistili, že zmíněný konkrétní útok probíhal z IP rozsahu 185.50.149.0/24. Jedná se o český rozsah, který byl v tu chvíli registrován na anonymní společnost Nexus ltd. To, že útok probíhá dokonce z českých IP rozsahů, je pak v hackerské komunitě považováno za velmi provokativní gesto.
   Zatímco pro laika by v tomto místě pátrání skončilo, analytikům spolupracujícím s redakcí znalost detailů pravidel umožňuje pokračovat dál. Zjistili proto, že Nexus po světě vlastní stovky IP rozsahů a přeprodává je dál. Jejich vlastníci se tak mění velmi často a stopovat je není jednoduché. Za poslední měsíc si Nexus, respektive jeho vlastník, zaregistroval 27 nových rozsahů, z nich dva jsou aktivní. Mimochodem poslední zdroj útoku přišel z rozsahu 87.251.72.0/24, opět registrovaného na Nexus.
V ulici Skladochnaja
  V tomto místě už se etičtí hackeři přiblížili ke jménu Alexandra Alexandroviče Černyšova.
   I samotný Nexus totiž provozuje z části legální obchod, a tím otvírá cestu, jak zjistit, kdo za ním stojí. A jeho IP rozsahy registroval právě Alexandr Alexandrovič Černyšov. On sám při oficiálních registracích uvádí adresu Ulice Skladochnaja 1-15 v Moskvě a telefonní číslo.
   Proč spravuje adresy, ze kterých se útočí zrovna na české nemocnice, není jasné. V e-mailu redakci Černyšov napsal, že neumí anglicky a že na nemocnice neútočil.
   „Jsem držitelem podílu a šéfem jedné z ruských internetových společností,“ uvedl dále.
   Jeho reakce však jednak dokazuje, že je jeho identita skutečná, a také vlastně potvrzuje údaje, které čeští etičtí hackeři objevili.
Neznámý velký klient
   Černyšov pro ně totiž není neznámá osoba. „V jím spravovaných systémech je mnoho zařízení, která jsou na blacklistech a útočí často. Není možné, aby o tom nevěděl,“ vysvětluje jeden z českých analytiků.
   Útok na české nemocnice navíc nebyl malý, probíhal zároveň nejméně ze 12 zařízení najednou.
   Proč registroval IP rozsahy firmy Nexus ltd., ze kterých proběhl útok na nemocnice, Černyšov nevysvětlil. Tvrdí, že patří jeho klientovi.
   „Adresy nám nepatří, ale ukazují se u nás, protože si je od třetí strany (od Nexusu - pozn. red.) pronajal náš klient, který toho má u nás hodně,“ pokračuje Černyšov. Přiznal ještě, že „klient“ je fyzická osoba a platí měsíčně. Ale o koho jde, odmítl sdělit, byť to zjevně ví, protože sám říká, že jde o velkého klienta.
Pompeova výzva
   Útoky na české nemocnice vzbudily pobouřené reakce po celém světě. Ohradil se proti nim i americký ministr zahraničí Mike Pompeo.
   „Vyzýváme toho, kdo je za to zodpovědný, aby se zdržel škodlivých kybernetických aktivit zaměřených proti českému zdravotnickému systému či podobné infrastruktuře na dalších místech,“ prohlásil šéf americké diplomacie.
   Vyzval k tomu, aby agresor byl volán k odpovědnosti. Ale kdo jím vlastně je? Je Alexandr Alexandrovič Černyšov tím hlavním článkem? Pracuje pro někoho?
   To jsou otázky, na které se Seznam Zprávy pokusí odpovědět již brzy. Připravujeme pokračování.
Janek Kroupa