Mezinárodní antivirová společnost ESET se stala středem skandálu. Varovala separatisty: špehují vás ukrajinští hackeři.

Koncem minulého týdne ukrajinský mediální prostor obletěla zpráva: specialisté ze slovenské IT společnosti ESET odhalili ukrajinské hackery, kteří sledovali protagonisty samozvaných DLR a LLR.

Slovenští odbornici přišli na celou kyberšpionážní kampaň. Byla vedena z území Ukrajiny pod krycím jménem Groundbait (Vnadidlo).

ESET je slovenská antivirová společnost, jejíž produkty využívá 100 mil. uživatelů ze 180 zemí. Zjistila, že organizovaná skupina použila virus ke špehování úřadů neuznaných republik. Fungovalo to tak, že se na mailovou adresu zaslal soubor se škodlivým programem a lákavým titulkem, který se tvářil jako dokument. Např. Rozmístění ukrajinských jednotek v zóně protiteroristické operace.scr. ESET zjistila, že hackeři prováděli špionáž z příkazových serverů provozovaných pod ukrajinskými hostingovými společnostmi (ho.ua).

Jako příklad ajťáci uvádějí ukrajinský web, který hackeři používali jako krytí:

Zdroj: prezentace od ESETu

„V tuto chvíli můžeme jen hádat, kdo stojí v pozadí těchto sérií kybernetických útoků. Kromě okupovaného území se terčem škodlivé kampaně stali také ukrajinští státní úředníci, politici a novináři“, uváděla zpráva ESET.

Komu nahráli do karet?

Tato zpráva samozřejmě vyvolala bouřlivou reakci ze strany uživatelů sociálních sítí. Zde je jeden ze statusů od předního IT novináře:

Timur Vorona
20. květen v 9:17

ESET a NOD32 podporují DLR a LLR

Existuje společnost ESET, která vyrábí antivir NOD32 a různé produkty ve sféře IT bezpečnosti. Nedávno tito hoši vyprávěli, jak pomohli vedení DLR a LLR se ubránit před kybernetickými útoky z ukrajinské strany a provedli zvláštní operaci proti ukrajinským hackerům.

Dokument na 46 stranách podrobně popisuje metody, jak bylo vedení DLR a LLR sledováno, a jak to ESET statečně překazil. Osoby, které nabouraly servery/mailové schránky předáků samozvaných republik, označuje ESET za „útočníky, kteří plánují záškodnické a špionážní akce proti LLR a DLR“. Doněckým kápům se zase říká aktivisté.

„V reakci na počínání jednotlivých aktivistů je ukrajinská vláda kvalifikovala jako teroristické organizace a území dotčených oblastí prohlásila za zónu protiteroristické operace (ATO)“, píše autor dokument Anton Čerepanov.

A zde je další citát:

„Odborníci z ESETu mají podezření, že skupina kybernetických zločinců působí na Ukrajině, kde se nachází většina obětí těchto útočníků. S ohledem na tuto skutečnost a na povahu útoků byly jejich činy kvalifikovány jako kybernetické sledovací operace“.

Samotný dokument je dosud ke stažení na webu společnosti: https://eset.ua/download_fil…/…/Operation_Groundbait_ukr.pdf

Zde je zase tisková zpráva na toto téma: http://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/article/ukrajinsti-separatiste-cilem-kyberspionaze/

Zda udělali správně, nebo naopak, posuďte sami, já osobně jsem si vždy myslel, že NOD32 jako antivir stojí za hovno. Doufám, že ho ukrajinské státní orgány nepoužívají. Jinak čekejme problémy.

Zdá se, že slovenští ajťáci, ať si to přáli či nikoliv, nahráli separatistům. ESET přece ve své studii podrobně popisuje, jaké metody ukrajinští hackeři používají, aby vytáhli údaje o klíčových postavách neuznaných republik. Navíc byla veřejnosti zpřístupněna všechna čísla příkazových serverů, názvy poskytovatelů hostingu a další odkazy.

„Nebudeme-li brát v potaz geopolitickou situaci, pak ESET jako každý antivir zjišťuje hrozby a píše o tom. Z ryze profesionálního hlediska tedy nelze mít žádné námitky“, uvažuje generální ředitel CYS-Centrum Mykola Koval: „Budeme-li však vycházet z hlediska mravně etického a mluvit z pozice ukrajinského občana, pak tato situace samozřejmě není dobrá“. Odhalení ukrajinských hackerů podle manažera jen sotva prospělo Ukrajině v boji proti separatismu.

Situaci ještě více dodává na choulostivosti skutečnost, že ESET dokonce i v přeložené do ukrajinštiny verzi studie používá atypické pro Ukrajinu výrazy a důrazy týkající se samozvaných republik. Zejména společnost, když vypráví o ozbrojeném konfliktu na východě, píše o separatistech jako „jednotlivých aktivistech“, které ukrajinská vláda kvalifikovala jako teroristické organizace. Tyto formulace se ukrajinských čtenářů pochopitelně dotýkají. Zde je jedna z interpretací popisu ukrajinského konfliktu od specialistů z ESETu: „V reakci na počínání jednotlivých aktivistů je ukrajinská vláda kvalifikovala jako teroristické organizace a území dotčených oblastí prohlásil za zónu protiteroristické operace“.

Vymazaná stopa

Největší koncentraci podobných vět obsahoval článek na populárním ruském portálu Habrahabr.ru uveřejněný jménem ESETu. Zejména pro separatisty se tu používá výraz opolčenci (podobně jako na ruských kanálech). Později tento článek redakce ruského webu urychleně odstranila. Dochovaly se však kopie z originálu.

ESET má na Ukrajině co riskovat. Jak pověděl v nedávném rozhovoru pro Ukrajinskou pravdu technický ředitel ukrajinské společnosti Zillya! Oleh Syč, slovenský antivir je u domácích státních struktur nejvyužívanější. Dříve byl jedničkou ruský antivir Kaspersky. V září 2015 však prezident Porošenko jeho používání u státních orgánů zakázal.

Důvodem k zavedení sankcí proti Kaspersky Lab bylo jednání zahraniční právnické osoby, které aktuálně nebo výhledově ohrožuje národní zájem a bezpečnost, samostatnost a územní integritu Ukrajiny nebo napomáhá teroristickým aktivitám.

Pověst v sázce

Společnost ESET, kterou LIGA.net kontaktovala, jakoukoli formu spolupráce se separatisty popírá. „Spolupracovali jsme pouze s těmi, kdo je našim oficiálním klientem. Žádné oficiální (ani neoficiální) dotazy ze strany zástupců tzv. republik jsme neobdrželi. K žádné spolupráci nedocházelo“, uvádí autor studie od ESETu Anton Čerepanov.

Dodává, že klienty ESETu jsou „někteří lidé“ mezi oběťmi na území Ukrajiny (ukrajinští novináři, úředníci různých šarží, politici a obchodní společnosti). „Společně s naším ukrajinským distributorem jsme pomohli vyčistit nakažené počítače na jednom státním resortu“, zdůrazňuje Čerepanov. Jména ukrajinských klientů expert neprozrazuje. Trvá na tom, že po důkladné analýze všech nalezených souborů byli separatisté jen jedním z terčů uskupení ukrajinských hackerů. Ačkoli v článku na Habrahabr stálo černě na bílém: „Hlavními terči Vnadidla byli opolčenci na východě Ukrajiny“.

Jak uvádí Čerepanov, pokud jde o Habrahabr.ru, vede zdejší blog ESETu jejich ruský distributor. „Pravděpodobně se to sami rozhodli z nějakého důvodu odstranit“, domnívá se.

Je zřejmé, že za vzniklou situaci může antivirová společnost ESET sama (popř. její zástupci): snažili se zavděčit oběma stranám. Zveřejňovat přesné údaje o ukrajinských špionech hackerech společnost přece vůbec nemusela. Kdyby totiž ajťáci měli skutečně jen jediný cíl, a sice pomoci ukrajinským úřadům odvirovat počítače, pak by o této operaci jen stěží napsal ruský distributor, který tuto informaci navíc naservíroval úplně v jiných souvislostech.

Autor: Stas Jurasov, LIHABiznesInform

Zdroj: LIGA.net, 24. května 2016

V češtině viz také: http://www.dvojklik.cz/welivesecurity/operace-groundbait-spionaz-ve-valecnych-zonach-na-ukrajine

Překlad: Svatoslav Ščyhol