„MacronLeaks“ – útok přišel z Ruska

Až dosud se Francouzi domnívali, že na prezidentskou kampaň Emmanuela Macrona a jeho politického hnutí En marche útočili na jaře 2017 osamocení hackeři bez jakýchkoliv mocenských ambicí. Minulý týden však deník Le Monde publikoval obsáhlý článek o aktivitách několika profesionálních skupin, jejichž cíl byl naopak jasný a promyšlený – ovlivnit volby v neprospěch Macrona. Stopy tohoto úsilí vedou k ruské vojenské rozvědce GRU. Připomeňme, že v rozhodujícím druhém kole prezidentských voleb se Macron střetl s vůdkyní francouzské radikální pravice Marine Le Penovou, jejíž názory na Evropskou unii i NATO dokonale zapadají do obrazu světa ruského prezidenta Vladimira Putina.

Informace zveřejněné v Le Mondu deník získal od specialistů z Googlu, společnosti FireEye zabývající se kybernetickou bezpečností a podobnou japonskou firmou Trend Micro. Vyplývá z nich, že minimálně dvě specializované jednotky napojené na GRU postupně zaútočily na e-mailové účty Macronových blízkých spolupracovníků a zneužily je.

  • Co je to GRU a kauzy z poslední doby

GRU (Glavnoje razvedyvatelnoje upravlenije, česky Hlavní rozvědková správa) je ruská vojenská rozvědka, jejíž vznik se datuje do roku 1918. Až do období Gorbačovovy perestrojky nebyla tato původně sovětská zpravodajská služba státem oficiálně ohlášena nebo veřejně známá. V současnosti je jednou z nejvýznamnějších ruských tajných služeb.

GRU provádí špionáž zejména v zahraničí, kde mimo jiné spravuje rozsáhlou síť takzvaných ilegálů (agentů bez oficiálního diplomatického krytí a s falešnou osobní identitou), a jako jediná z ruských výzvědných služeb není údajně přímo podřízená prezidentu Vladimiru Putinovi, ale generálnímu štábu ruské armády. Mezi nejznámější zdokumentované případy operací tajných agentů GRU patří například otrava bývalého ruského důstojníka a dvojitého agenta Sergeje Skripala nervověparalytickou látkou novičok ve Velké Británii nebo vměšování se do amerických voleb v roce 2016.

Právě nabourání se do počítačů Demokratické strany za účelem krádeže dat z volební kampaně Hillary Clintonové mělo být provedeno jednotkou 26165, elitní skupinou hackerů GRU. Tu zpráva amerického zvláštního vyšetřovatele Roberta Muellera spojuje se známou ruskou kyberšpionážní skupinou Fancy Bear. Podle západních vyšetřovatelů měli být tito hackeři zapleteni i do sestřelení malajsijského letu MH-17 nad ukrajinským Donbasem v červenci 2014, během něhož zahynulo všech 298 pasažérů.

Operace byla spuštěna počátkem března 2017, tedy několik týdnů před prvním volebním kolem. Skupina označená kódem APT28 nejprve rozjela klasický phishing neboli zasílání podvodných zpráv a dopisů členům hnutí En marche. Záměrem bylo získání jejich citlivých osobních údajů (identifikace, heslo) a tím i přístupu k interním e-mailům Macronova hnutí. Ty s delikátním obsahem pak měly být publikovány formou „úniku“ na WikiLeaks nebo prostřednictvím amerických aktivistů z řad tamní radikální pravice.

Obdobná strategie byla použitá i při posledních amerických prezidentských volbách a doplatila na ni kandidátka Hillary Clintonová. Na základě tohoto zjištění Le Monde usuzuje, že APT28 je součástí jednotky 26165 patřící do ruské vojenské rozvědky, jejíž členové byli za takové ovlivňování voleb obviněni americkou justicí.

Jak zjistila japonská společnost Trend Micro, ve stejné době vznikly i falešné, byť na první pohled autentické webové stránky Macronova hnutí En marche, které pro změnu šířily zkreslující informace o sociálních či ekonomických úmyslech Macrona, jestliže by se stal prezidentem.

O měsíc později po APT28 vstoupila na scénu skupina hackerů, jež podle pracovníků Googlu i společnosti FireEye používá krycí jméno Sandworm. Deník Le Monde v této souvislosti cituje zaměstnance FireEye a kybernetického odborníka Michaela Matonise: „Sandworm je specializovaná jednotka na provádění vysoce rizikových operací, tedy především takových, na něž je málo času a je třeba neodkladně jednat.“ A přesně to se ve Francii dělo těsně před druhým kolem voleb, kdy tato skupina začala po internetu šířit interní e-maily Macronových spolupracovníků, jež získala APT28.

Proč jsou tyto aktivity spojovány zrovna s ruskou rozvědkou, Le Monde vysvětluje s odvoláním na americké, britské a nizozemské zpravodajské služby, podle nichž jsou obě skupiny její nedílnou součástí nebo pro ni pracují. Někteří členové APT28 byli například zatčeni v nizozemském Haagu, kde se pokoušeli proniknout ze speciálně vybaveného automobilu do Wi-Fi sítě Organizace pro zákaz šíření chemických zbraní.

Sandworm se dle těchto zdrojů měl podepsat i na masivním kybernetickém útoku proti Ukrajině v červnu 2017 nebo proti loňským zimním olympijským hrám v jihokorejském Pchjongčchangu. V případě ovlivňování francouzských prezidentských voleb by měl být hlavním důkazem ruských zpravodajských aktivit fakt, že jméno jednoho z členů jednotky GRU 26165 zůstalo, zřejmě opomenutím, na jednom z dokumentů, jež Sandworm šířil těsně před druhým kolem prezidentských voleb ve Francii.

Autor článku: Jaroslav Formánek
Autor úvodní fotografie: Flickr/FNMF/N. MERGUI
Tento text vznikl díky finanční podpoře čtenářů, jako jste vy. Přidejte se do klubu Sester a bratrů v triku.