Slovenská vládna infraštruktúra sa stala súčasťou vážnej kybernetickej operácie, pri ktorej útočníci rozposielali škodlivé dokumenty z legitímnych a kompromitovaných štátnych účtov. Nešlo pritom o obyčajné falšovanie adresy odosielateľa, ale o zneužitie reálnych prístupov, ktoré útočníkom umožnili tváriť sa ako dôveryhodná oficiálna komunikácia. Práve to robilo celú kampaň mimoriadne nebezpečnou.
Útok prišiel krátko po zverejnení kritickej zraniteľnosti v balíku Microsoft Office. Kým firmy a úrady ešte len testovali opravy a bezpečnostné záplaty, útočníci už začali konať. Ich cieľom nebolo vytvoriť chaos alebo získať výkupné, ale dostať sa k citlivým dátam a dlhodobo sledovať napadnuté systémy.
Práve využitie slovenských vládnych účtov dodávalo celej operácii mimoriadnu dôveryhodnosť. Správy nepôsobili ako podozrivé e-maily zo zahraničia, ale ako legitímna komunikácia zo štátnej správy. To výrazne zvyšovalo šancu, že príjemca otvorí dokument bez väčších pochybností.
Zneužili skutočné účty
Útočníci pritom neposielali správy, ktoré sa len tvárili ako oficiálne. V konkrétnych prípadoch mali k dispozícii skutočné prístupy ku kompromitovaným účtom, a teda aj k digitálnej identite, ktorú štátne systémy používajú ako dôkaz dôveryhodnosti.
Bežné bezpečnostné filtre sa často spoliehajú na to, že podvodný e-mail možno odhaliť podľa adresy odosielateľa alebo iných základných znakov. Ak však útočník operuje cez reálny účet, tento ochranný mechanizmus sa dramaticky oslabuje.
Adresáti preto nemali veľký dôvod pochybovať. Dokument predsa prišiel zo zdroja, ktorý pôsobil legitímne, a v takom prípade stačí jedno otvorenie prílohy na to, aby sa celý útok spustil.
Rozhodla chyba v Microsoft Office
Spúšťačom celej operácie bola zraniteľnosť v Microsoft Office označená ako CVE-2026-21509. Hoci Microsoft pripravil záplatu, útočníci začali konať veľmi rýchlo. Využili fakt, že v štátnom aj firemnom prostredí zavedenie bezpečnostných opráv často netrvá hodiny, ale dni či týždne.
Útok sa podľa dostupných informácií odohrával bez vedomia používateľa. Stačilo otvoriť pripravený dokument, ktorý následne cez protokol WebDAV stiahol škodlivý kód z internetu.
Za útokom stojí Fancy Bear
Kampaň sa pripisuje skupine známej pod názvami Fancy Bear, APT28 alebo UAC-0001. Ide o meno, ktoré sa v kybernetickej bezpečnosti objavuje dlhodobo a spája sa s ruskou vojenskou rozviedkou GRU. Skupina je známa tým, že necieli na rýchly finančný zisk, ale na politickú a vojenskú špionáž.
Takéto operácie sa nesústredia na bežné obete, ale na inštitúcie, ktoré pracujú s citlivými informáciami. Cieľom je získať interné dokumenty, pochopiť rozhodovacie procesy a dlhodobo monitorovať prostredie, ktoré je z pohľadu Ruska strategicky zaujímavé.
V tomto prípade sa pozornosť sústredila najmä na diplomatické, dopravné a ďalšie citlivé rezorty v krajinách EÚ a NATO. Slovenská vládna identita tu poslúžila ako účinný nástroj na zvýšenie dôveryhodnosti celej operácie.
Zadné vrátka, cez ktoré prúdili dokumenty
Útok sa neskončil otvorením jedného dokumentu. Po počiatočnej infekcii nasledovalo stiahnutie ďalších nástrojov, ktoré útočníkom umožnili dlhodobý prístup do systému. Medzi nimi bol aj backdoor BeardShell a špecializovaný nástroj NotDoor zameraný priamo na Outlook.
Práve NotDoor bol obzvlášť nepríjemný, pretože dokázal automaticky preposielať e-maily útočníkom bez toho, aby si to používateľ všimol. Celá operácia bola navrhnutá tak, aby za sebou zanechávala čo najmenej stôp. Systém nemusel vykazovať žiadne zjavné poruchy, no citlivé dáta mohli medzitým nenápadne odtekať preč.
Varovné signály môžu byť nenápadné
Ak niekto v posledných týždňoch otvoril oficiálne pôsobiaci dokument zo štátnej správy a následne zaznamenal nezvyčajné správanie, dôvod na opatrnosť je namieste. Medzi podozrivé príznaky môžu patriť miznúce správy v Outlooku, zmeny v bezpečnostných nastaveniach účtu alebo nevysvetliteľná aktivita systému krátko po otvorení dokumentu.
Rozsah škôd na slovenskej strane zatiaľ nie je verejne známy. Už samotný fakt, že sa pri operácii použili vládne účty, však naznačuje vážnosť celej situácie.
