Írán blokuje internet, aby „předešel kyberútokům“
Zatímco provoz v íránském vzdušném prostoru houstne, na íránském internetu jej výrazně ubylo. Mezinárodní nezávislá organizace NetBlocks, která se mj. zabývá monitorováním globální internetové aktivity, ve své zprávě na síti X ukázala jeho velmi významný pokles 17. června kolem 17:30 místního času.
Byly pozorovány i výpadky u velkých poskytovatelů Telecom Iran (AS12880) a Mobinnet (AS58224). Nejde však, jak by se mohlo zdát, o důsledek vyřazení telekomunikační infrastruktury během probíhajících vzdušných operací izraelského letectva, ale o řízenou akci – Írán omezil přístup k internetu v zemi s cílem „ztížit Izraeli vedení tajných kyberoperací”. Mluvčí íránské vlády a kybernetické policie FATA uvedli, že zpomalení má za cíl udržet stabilitu internetu a že je „dočasné, cílené a kontrolované, aby odrazilo kyberútoky“.
Podle tiskové agentury Tasmin (spojované s íránskými revolučními gardami) je však cílem úplná izolace země od globálního internetu. Zároveň vláda vyzývá obyvatele, aby používali výhradně národní informační síť N.I.N (National Information Network), která je v Íránu budována zhruba od roku 2013 a která má za cíl „rozbít monopol internetu“. Uživatelé na ní mohou používat jen vládou schválené komunikační platformy a blokuje používání VPN. V síti jsou také nasazeny mechanismy pro hloubkovou inspekci packetů (DPI), filtrování obsahu na základě klíčových slov a cílené zpomalování provozu protokolů HTTPS nebo WebSocket. Sami Íránci jí pak přezdívají „Filternet“.
Mimo tuto svoji národní infrastrukturu se Írán snaží také o kontrolu internetové komunikace. Vláda například vyzvala občany, aby ze svých zařízení odstranili aplikaci WhatsApp – s tvrzením, že ji Izrael využívá ke špionáži. WhatsApp tato obvinění odmítl a uvedl, že uživatele nesleduje ani neposkytuje žádným vládám žádné informace. Přístup k vybraným médiím a sociálním platformám, jako je Facebook nebo Instagram, blokuje Írán již dlouhodobě, a jeho občané si tak zvykli rutinně používat VPN. I ty se však podle aktuálních zpráv ze země staly cílem vládní snahy o jejich zablokování.
Přesah vojenských operací z fyzického světa do virtuálního kyberprostoru je dnes již nedílnou součástí každého konfliktu. Zatímco se Izrael a Írán od pátku vzájemně ostřelují raketami, bezpečnostní experti varují před odvetnými kyberútoky nejen íránských státních aktérů a hacktivistických skupin, ale před skupinami stojícími na obou stranách. Na počátku tohoto týdne se např. proizraelská skupina Predatory Sparrow přihlásila k odpovědnosti za kyberútok na íránskou Bank Sepah, který zablokoval přístup k jejím webovým stránkám a bankomatům. Skupina uvedla, že banka obcházela mezinárodní sankce a financovala íránský raketový program, teroristické proxy skupiny režimu i jeho jaderný program.
Na poli ochrany proti kybernetickým hrozbám známá společnost Radware, sídlící v izraelském Tel Avivu, ve své zprávě zaznamenala zvýšenou aktivitu proíránsky orientovaných aktérů na Telegramu – včetně výhrůžek dalším zemím v regionu. Např. skupina Mysterious Team Bangladesh varuje Jordánsko a Saúdskou Arábii, jejichž systémy protivzdušné obrany se podílejí na sestřelování íránských raket, před podporou Izraele a v opačném případě hrozí kyberútoky na jejich infrastrukturu. Objevují se i „odvetné“ kyberútoky na Egypt.
Používání přístupu k internetu jako politického, případně represivního nástroje má v Íránu dlouhou tradici, viz např. známý týdenní „internetový blackout“ během protivládních protestů v listopadu 2019. Dopad takového omezení pro íránské civilisty je pak bohužel nejen v tom, že si nemohou přečíst jiné než vládní interpretace aktuálních událostí či živě sdílet scénu po dopadu rakety. V době, kdy mnoho z nich prchá před probíhajícími vojenskými operacemi, je pro ně nemožnost komunikace s příbuznými nebo nedostupnost bankovních služeb patrně mnohem hmatatelnější.
Funkce ASP v Gmailu umožnila obejít MFA
Podle zveřejněných informací Google Threat Intelligence Group probíhala od dubna tohoto roku do začátku června phishingová operace přisuzovaná hackerské skupině UNC6293. Ta by dle Googlu mohla být napojena na ruskou skupinou APT29, jež má na svém kontě mnoho kyberšpionážních kampaní.
V rámci zmíněné operace útočníci zneužili poměrně málo známou Google funkci ASP (Application-Specific Password), která umožňuje přístup k Gmail účtu pouze s pomocí specifického hesla, bez použití nastaveného dvoufaktorového ověření. Jak se však k takovému heslu skupina UNC6293 dostala?
Škodliví aktéři, vydávající se za zaměstnance amerického ministerstva zahraničí, rozesílali podvržené e-maily s bezchybnou angličtinou. Dané e-maily byly natolik sofistikované, že dokonce obsahovaly několik „kolegů” v kopii, jejichž e-mailová adresa obsahovala @state.gov příponu. Jakmile si útočník získal důvěru na základě výměny několika e-mailů s obětí, odeslal jí šestistránkový PDF soubor s falešným hlavičkovým papírem ministerstva. V něm byla instrukce k vytvoření 16znakového (ASP) hesla a zaslání souboru s heslem pod názvem „ms.state.gov” zpět. Toto heslo následně zneužili hackeři k přímému přístupu k Gmail účtu, a to bez nutnosti zadávat bezpečnostní kód z MFA. Jednou z obětí byl i britský spisovatel Keir Giles, expert na ruské vojenské operace.
Společnost Citizen Lab potvrdila, že podvodná kampaň byla mimořádně sofistikovaná. Texty e-mailů i samotný PDF soubor byly jazykově bezchybné a neobsahovaly žádné varovné signály typické pro phishing. Výzkumníci proto vyslovili domněnku, že útočníci využili generativní AI nástroje pro dokonalé stylistické zpracování zpráv.
V rámci reakce na zmíněnou operaci Google promptně deaktivoval všechna zneužitá hesla, uzamkl postižené účty a varoval další potenciální cíle. Sama společnost Google spolu s Citizen Lab doporučuje aktivovat Advanced Protection Program pro Gmail a projít aktivní App-Specific Passwords v nastavení účtu, případně odebrat ta, která nejsou nutná.
Kritická RCE zranitelnost ve Veeam Backup & Replication (CVE-2025–23121)
Veeam vydal záplaty k odstranění kritické bezpečnostní zranitelnosti ovlivňující software Backup & Replication, která by za určitých podmínek mohla vést ke vzdálenému spuštění kódu (RCE). Tato bezpečnostní zranitelnost, sledovaná jako CVE-2025–23121, nese hodnocení CVSS 9.9. Společnost Veeam ve svém upozornění uvedla, že zranitelnost umožňuje autentizovaným doménovým uživatelům potenciálně spouštět libovolný kód na zálohovacím serveru. Zranitelnost CVE-2025–23121 se týká všech dřívějších verzí 12.x, včetně 12.3.1.1139, a byla opravena ve verzi 12.3.2 (build 12.3.2.3617). Za objevení a nahlášení této zranitelnosti jsou oceňováni bezpečnostní výzkumníci z CODE WHITE GmbH a watchTowr.
Analýza společnosti Rapid7 v oblasti kybernetické bezpečnosti naznačuje, že tato aktualizace pravděpodobně reaguje na dříve vznesené obavy (konec března 2025) ze strany CODE WHITE. Tyto obavy se týkaly možnosti obejít dříve publikovanou záplatu, která měla eliminovat podobnou závažnou zranitelnost (CVE-2025–23120, s hodnocením CVSS 9.9). Kromě toho Veeam v rámci stejného produktu adresoval i další zranitelnost (CVE-2025–24286, CVSS skóre: 7,2), jež dovoluje ověřenému uživateli s rolí Backup Operator modifikovat parametry zálohovacích úloh, což by potenciálně mohlo vést k neoprávněnému spuštění kódu.
Jmenovaná společnost rovněž publikovala záplatu pro zranitelnost postihující Veeam Agent pro Microsoft Windows (CVE-2025–24287, skóre CVSS: 6.1), která umožňuje lokálním uživatelům systému upravovat obsah adresářů, což vede ke spuštění kódu se zvýšenými oprávněními. Tento problém byl opraven ve verzi 6.3.2 (build 6.3.2.1205).
Data společnosti Rapid7 ukazují, že ve více než 20 % případů, kdy byli její specialisté v roce 2024 zapojeni do zvládání bezpečnostních incidentů v zákaznických prostředích, došlo k neoprávněnému přístupu k systémům Veeam nebo k jejich zneužití, obvykle poté, co útočník již jinou cestou proniknul do cílového prostředí. Vzhledem k tomu, že se bezpečnostní zranitelnosti v zálohovacím softwaru Veeam v posledních letech staly primárním cílem útočníků, je zásadní, aby zákazníci okamžitě aktualizovali nejnovější verzi softwaru.
Nová phishingová kampaň mířící na Tchaj-wan: Silver Fox APT šíří pokročilý malware
Výzkumníci z Fortinet FortiGuard Labs upozorňují na sofistikovanou phishingovou kampaň namířenou proti uživatelům na Tchaj-wanu. Útočníci šíří malware z rodin Gh0stCringe a HoldingHands RAT, které jsou odvozené od známého trojanu Gh0st RAT – ten hojně používají čínské hackerské skupiny. Za celou operací stojí APT skupina označovaná jako Silver Fox APT.
Útoky začínají podvodnými e-maily, které se tváří jako oficiální zprávy od státních institucí nebo obchodních partnerů. Využívají běžná témata jako fakturace, daně nebo penzijní změny k tomu, aby přiměly uživatele otevřít přílohu. Tou může být PDF dokument nebo ZIP archiv, který následně spouští vícefázovou infekci.
PDF zpravidla obsahuje odkaz vedoucí na stránku, odkud se stáhne archiv s několika komponentami – včetně legitimních spustitelných souborů, shellcode loaderů a zašifrovaného kódu. Pomocí techniky DLL side-loading jsou pak do systému nenápadně načítány škodlivé knihovny. Součástí útoku jsou i pokročilé metody jako anti-VM ochrana (zabránění spuštění v sandboxu) nebo eskalace oprávnění, díky čemuž malware získá plnou kontrolu nad napadeným systémem.
Finální část infekce provádí spuštění souboru msgDb.dat, který zajišťuje komunikaci se serverem útočníka (C2), stahování dalších modulů a umožňuje mimo jiné vzdálený přístup nebo správu souborů na kompromitovaném zařízení.
Fortinet zároveň upozornil, že útočníci šíří Gh0stCringe i pomocí HTML přesměrování z PDF příloh, což komplikuje detekci běžnými nástroji. Celý útok je modulární a rozdělený do několika částí, což útočníkům umožňuje rychle měnit distribuční techniky a zároveň obejít běžné bezpečnostní systémy.
Další zjištění naznačují, že Silver Fox APT využívá i digitálně podepsané falešné dokumenty, například oznámení o změnách platů, podepsané odcizenými certifikáty. Tyto dokumenty obsahují škodlivé komponenty, které se rozbalí přímo do paměti a umožní trvalý vzdálený přístup bez zanechání stopy na disku.
Podle výzkumníků se skupina Silver Fox dlouhodobě zaměřuje na organizace na Tchaj-wanu a v Japonsku a neustále upravuje své nástroje i metody, v důsledku čehož představuje rostoucí a rychle se přizpůsobující hrozbu.
Ve zkratce
- V kampani zacílené na hráče a vývojáře bylo nalezeno 67 trojanizovaných GitHub repozitářů
- Nový Android malware útočí: Falešná rozhraní, virtualizace, NFC krádeže
- Nové chyby v Linuxu umožňují plný root přístup přes PAM a Udisks napříč hlavními distribucemi
- Bývalý analytik CIA odsouzen na 37 měsíců za únik přísně tajných dokumentů národní obrany
Pro pobavení:
CISO, SOC Manager, Team Leader, Incident Responder, SOC Analyst
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU