Špionážní kampaň podporovaná Čínou cílí na novináře a aktivisty

Hackeři podporovaní čínským státem útočí na novináře a skupiny občanské společnosti

Výzkumníci z Citizen Lab a Mezinárodního konsorcia investigativních novinářů (ICIJ) odhalili rozsáhlou operaci digitální špionáže spojenou s Čínou, která systematicky cílila na novináře, ujgurské a tibetské aktivisty a taiwanské vládní úředníky. Kampaň využívala více než 100 škodlivých domén a phishingové zprávy generované umělou inteligencí, navržené ke krádeži přihlašovacích údajů a získání neoprávněného přístupu k e-mailovým účtům, souborům a kontaktním seznamům.

Rozsah a propracovanost této operace ji řadí mezi nejvýznamnější státem sponzorované sledovací kampaně zdokumentované v posledních letech. Zároveň vyvolává vážné otázky ohledně zranitelnosti skupin občanské společnosti, nezávislých mediálních organizací a komunit etnických menšin, které běžně působí pod státním tlakem.

Jak útok fungoval

Útočníci se do značné míry spoléhali na phishing — metodu, která přiměje oběti k vyzrazení uživatelských jmen a hesel tím, že napodobuje důvěryhodné služby nebo kontakty. Co tuto kampaň odlišuje, je hlášené využití zpráv generovaných umělou inteligencí, které útočníkům umožňují ve velkém měřítku vytvářet vysoce přesvědčivou, gramaticky správnou komunikaci, čímž se snižuje jedna z tradičních překážek účinného phishingu.

Jakmile byly přihlašovací údaje získány, útočníci mohli tiše přistupovat k e-mailovým schránkám, sklízet kontaktní seznamy a číst citlivé soubory, aniž by spustili zjevné upozornění. Tento typ přístupu je obzvláště škodlivý pro investigativní novináře, jejichž komunikace se zdroji a nepublikované dokumenty mohou být odhaleny, a pro aktivisty, jejichž sítě kontaktů mohou být identifikovány a vystaveny riziku.

Využití více než 100 škodlivých domén naznačuje dobře financovanou operaci. Rozložení infrastruktury napříč mnoha doménami ztěžuje bezpečnostním týmům zablokování kampaně zaměřením na jediný zdroj a umožňuje útočníkům rychle přecházet, pokud jsou jednotlivé domény označeny jako nebezpečné.

Kdo byl cílem a proč na tom záleží

Cíle této kampaně mají společného jmenovatele: jde o skupiny, které mají čínské úřady silné politické motivace sledovat. ICIJ je nejlépe známé díky publikování zásadních finančních investigací, včetně Panamských dokumentů a Pandořiných dokumentů. Ujgurské a tibetské komunity jsou dlouhodobě předmětem digitálního sledování a Citizen Lab zdokumentovalo několik předchozích kampaní namířených proti oběma skupinám. Taiwanští vládní úředníci představují geopoliticky citlivý cíl vzhledem k přetrvávajícímu napětí v Tchajwanském průlivu.

Nejde o izolovaný incident. Citizen Lab, sídlící na Torontské univerzitě, v průběhu let zdokumentovalo desítky kampaní namířených proti disidentům, novinářům a menšinovým skupinám se vazbami na Čínu. Nejnovější případ ukazuje, že metody se vyvíjejí. Začlenění nástrojů umělé inteligence do phishingových operací naznačuje, že i digitálně obezřetné cíle mohou mít stále větší potíže rozlišit škodlivé zprávy od legitimních.

Pro organizace občanské společnosti mají důsledky přesah za rámec jednotlivých účtů. Když je kompromitována schránka novináře, mohou být identifikovány zdroje. Když je sklizen kontaktní seznam aktivisty, celá síť se stane viditelnou pro nepřátelského státního aktéra. Škody jsou jen zřídka omezeny na přímo napadenou osobu.

Co to znamená pro vás

Pokud pracujete v žurnalistice, aktivismu nebo v jakémkoli oboru, kde je citlivá komunikace běžnou součástí práce, tato kampaň je jasnou připomínkou, že krádež přihlašovacích údajů je jedním z nejúčinnějších nástrojů dostupných státem sponzorovaným útočníkům. Nemusíte být vysoce profilovaným cílem, abyste se ocitli v širší sledovací síti.

Několik praktických kroků může vaše riziko smysluplně snížit:

• Používejte hardwarové bezpečnostní klíče nebo dvoufaktorové ověřování pomocí aplikace. Phishingové útoky, které kradou hesla, jsou mnohem méně účinné, pokud je k dokončení přihlášení vyžadován druhý faktor. Hardwarové klíče jsou zvláště odolné vůči phishingu.
• Buďte skeptičtí k nečekaným výzvám k přihlášení. Phishingové zprávy generované umělou inteligencí mohou vypadat přesvědčivě, ale samotná žádost — vyzvat vás k ověření přihlašovacích údajů nebo přihlášení přes neznámý odkaz — je varovným signálem.
• Pro citlivé konverzace používejte šifrované komunikační nástroje. E-mail je ze své podstaty obtížné zabezpečit. Aplikace pro zasílání zpráv se šifrováním end-to-end poskytují výrazně silnější ochranu komunikace se zdroji a citlivé koordinace.
• Pravidelně kontrolujte přístup ke svým účtům. Zkontrolujte, která zařízení a aplikace mají přístup k vašemu e-mailu a cloudovému úložišti. Odvolejte vše, co neznáte.
• Zvažte použití VPN při přístupu k citlivým účtům ve veřejných nebo nedůvěryhodných sítích. VPN nezabrání phishingu, ale chrání vaši komunikaci před odposlechem na úrovni sítě, což je důležité, pokud váš model hrozeb zahrnuje aktéry na státní úrovni.

Státem sponzorované phishingové kampaně, jako je tato, jsou navrženy tak, aby byly neviditelné. Přihlašovací údaje jsou ukradeny, přístup je udržován potichu a oběti často nemají tušení, že byly kompromitovány, dokud již nedojde k významné škodě. Porozumění tomu, jak tyto operace fungují, je prvním krokem k ochraně sebe a své sítě.

Pro novináře, aktivisty a každého, jehož práce ho staví do hledáčku motivovaného protivníka, není digitální bezpečnost technickou záležitostí na okraji zájmu. Je to základní součást bezpečného fungování. Přezkoumat své ověřovací postupy a komunikační návyky nyní — ještě před tím, než dojde k incidentu — je nejúčinnější dostupnou obranou.