BIS vydala výroční zprávu za rok 2024
BIS v roce 2024 zaznamenala aktivitu kybernetických aktérů napojených na ruské zpravodajské služby GRU, SVR i FSB. Z nich byl nejaktivnější aktér APT28 spojený s GRU, který se soustřeďuje především na oblast vojenství, mezinárodních vztahů, politiku, energetiku a obranný, letecký a vesmírný průmysl. Nejčastěji cílí na země EU a NATO a na mezinárodní organizace a v Česku útočí soustavně po řadu let.
Nejvýznamnější případ spojený s APT28 v roce 2024 byl pokračováním útoků z předchozího roku, kdy aktér zneužil zranitelnosti MS Outlook k získávání přihlašovacích údajů ve formě NTLM hashů (digitálních otisků hesla v zašifrované podobě) prostřednictvím aktérem kompromitovaných routerů. Tato kampaň, zaměřená zejména na státy EU a NATO, v Česku cílila na celou řadu státních institucí a rovněž zneužívala českou internetovou infrastrukturu k útokům na další státy.
Zajímavé jsou také aktivity Číny. Čínská společnost Emposat, ve spolupráci s českým partnerem, zprovoznila na pozemku v obci Vlkoš u Kyjova satelitní anténu určenou pro komunikaci, řízení a sběr dat ze satelitů nad územím střední Evropy pro zahraniční zákazníky. V tomto případě neudělil Český telekomunikační úřad na základě identifikovaných bezpečnostních rizik pro anténní systém Emposatu umístěný na pozemní stanici povolení k využívání rádiových kmitočtů družicové služby.
Na ministerstvo vnitra zaútočili hackeři
V uplynulém týdnu bylo oznámeno odhalení hackarského útoku na systémy ministerstva vnitra. Útok byl dle ministra vnitra Víta Rakušana poměrně závažný, nedošlo při něm ale k úniku dat ani se nedotkl IT systémů policie, hasičského záchranného sboru, ani klíčových registrů státu.
NÚKIB vydal varování před některými produkty společnosti DeepSeek
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 10. července varování před hrozbou v oblasti kybernetické bezpečnosti spočívající ve využívání produktů, aplikací, řešení, webových stránek a webových služeb, včetně aplikačního programového rozhraní (tzv. API), poskytovaných společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností (společně dále jen „dotčené produkty“) na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.
Phishing zneužívající VZP
Všeobecná zdravotní pojišťovna upozorňuje, že internetoví podvodníci opět rozesílají falešné e-maily, které upozorňují na údajný nárok na vrácení přeplatků nebo příspěvků. Skutečným cílem je ovšem získat přístup k bankovním účtům a připravit oběti o peníze. Zprávy na první pohled působí velmi důvěryhodně – v předmětu e-mailu je uvedeno „Vrácení peněz od VZP ČR“ a jako odesílatel může figurovat „VZP ČR – klientské centrum“ nebo jiné oficiálně působící označení.
„Jedná se o další z dlouhé série pokusů o podvod. Při bližším pohledu si lze všimnout falešné e-mailové adresy, například může být na konci zahraniční doména místo české CZ. To by mělo být pro klienty varovným červeným světlem,“ říká Jan Svoboda, ředitel Odboru bezpečnosti VZP ČR a dodává: „VZP ČR nikdy nepožaduje aktualizaci bankovních údajů, ani v případě přeplatku či nedoplatku pojištění. Právě vyplněním svých bankovních údajů zajistíte podvodníkovi přístup k účtu a získání vašich úspor,“ upozorňuje Jan Svoboda.
Kyberútok na Qantas: Vishing jako (nová) zbraň hackerů
Australská letecká společnost Qantas se stala terčem závažného kybernetického útoku, při kterém došlo k úniku osobních údajů až šesti milionů zákazníků. Útočníci se k datům nedostali přímo přes servery společnosti, ale zneužili slabinu v systému externího poskytovatele IT služeb.
Tento incident nejenže odhaluje zranitelnost dodavatelských řetězců, ale zároveň poukazuje na prudký vzestup sofistikovaných sociálně-inženýrských útoků, konkrétně tzv. Vishingu.
BaitTrap: Když slavní „doporučují“ investice
Mnoho z nás už jistě narazilo na zprávy typu „Neuvěříte, co ve studiu řekla …“, „Šokující odhalení …“ na pochybných webech s doménovou koncovkou .xyz, .shop nebo .biz připomínající zpravodajské weby. Tento typ podvodných domén není u nás žádným unikátem, kolegové z CTM360 napočítali celosvětově přes 17 000 podvodných domén, hostujících falešné zprávy s příslibem pasivních příjmů pro zaručené zbohatnutí. Stránky napodobují zpravodajské weby jako CNN, BBC nebo regionální média, u nás tedy hlavně Seznam.cz, Novinky.cz a iDnes.cz.
V rozhovoru s moderátorem některá z místních celebrit či politiků oznámí šokující „pravdu“ o pasivním příjmu, díky kterému snadno zbohatnete. Nechybí ani komentáře od spokojených šťastlivců, kteří právě díky této metodě už nemusí do konce života pracovat. Realita je ovšem někde úplně jinde.
Bulvární titulky nalákají zvědavce, šokující odhalení v poutavém rozhovoru udrží pozornost a známá osobnost vybuduje jistou úroveň důvěry, než se čtenář dostane k pasáži zmiňující onu kouzelnou radu pro zbohatnutí na propagované platformě. Komentáře ostatních šťastlivců dále utvrdí důvěru v nabízenou radu.
Po návštěvě webu a vyplnění nezbytných kontaktních údajů důvěřivce zpravidla čeká hovor s „poradcem“, který dále požaduje osobní údaje, kopii občanky nebo řidičáku a následně založení konta po zaplacení „drobného“ aktivačního poplatku ve výši několika stovek dolarů. V uživatelském profilu jsou oběti servírována jen falešná čísla, simulující růst vložených investic. Jenže jsou to jen čísla – na svoji aplikaci na internetu si každý může napsat, co chce. Stejně tak by vám je mohl napsat na zeď v obýváku a dokazovalo by to totéž. Výběr nebo převod finančních prostředků je zcela nemožný, místo toho je oběť často znovu kontaktována a přesvědčována k dalším investicím.
Podvod nemá za cíl pouze vydělat pachatelům peníze, ale také získat osobní údaje od důvěřivých lidí, kteří mohou být cílem pro další kampaně v budoucnu. Pokud se s podobným případem setkáte, můžete nám jej nahlásit pomocí formuláře. Je-li web na české doméně .cz, dokážeme jej zablokovat sami, v případě zahraniční domény je nutná spolupráce s kolegy v zahraničí. Z pohledu někoho, kdo nemluví česky, je ale obtížné posoudit, zda se opravdu jedná o podvod, a blokace se tedy bohužel ne vždy podaří.
Zneužití Machine Keys v ASP.NET
Skupina známá jako Gold Melody byla spojena s kampaní, která zneužívá uniklé ASP.NET machine keys k získání neoprávněného přístupu do firemních systémů. Tato přístupová data následně přeprodává dalším útočníkům. Zranitelnost umožňuje útočníkům provést tzv. ViewState deserializaci – tedy vložení škodlivého kódu do paměti serveru bez nutnosti ukládání souborů na disk. První případy zneužití zaznamenal Microsoft už na konci roku 2024 a v únoru 2025 zveřejnil varování, že na internetu koluje přes tři tisíce veřejně dostupných machine keys.
Útoky se zaměřují především na společnosti v Evropě a USA a zasahují odvětví jako finanční služby, výroba, logistika nebo retail. Útočníci využívají open-source nástroje jako ysoserial.net k vytváření škodlivých ViewState payloadů a pro průzkum infrastruktury nasazují například Go portscannery nebo ELF binárky. Využitá technika je navíc velmi nenápadná – škodlivý kód běží pouze v paměti, čímž obchází klasické antiviry a EDR nástroje, které se spoléhají na detekci souborů nebo procesových stromů.
Z pohledu obrany je klíčové co nejdříve změnit známé machine keys, aktualizovat starší ASP.NET aplikace a zavést behaviorální detekce, které sledují podezřelé požadavky na IIS a nečekané child procesy. Tato kampaň znovu připomíná, jak důležitá je ochrana kryptografických klíčů a jaké riziko představují i méně známé, ale závažné aplikační zranitelnosti.
Bezpečnost švédského premiéra ohrožena aplikací Strava
Podle deníku Dagens Nyheter sedmero členů ochranky švédského premiéra Ulfa Kristerssona odhalovalo jeho polohu sdílením dat na veřejně dostupných profilech fitness aplikace Strava. Podařilo se mu získat data 1 400 tréninkových aktivit vykonávaných po celém světě, včetně hranice Polska s Ukrajinou, pobřeží Tel Avivu, Central Parku v New Yorku a vojenských základen v Mali a souostroví Seychelles.
Nejméně pětatřicetkrát sdíleli členové ochranky informace, které napřímo spojovaly premiéra s polohou jeho běžného výskytu a jeho soukromého bydliště, jenž má být tajné. Trasy běhu se pak shodovaly s trasou premiéra a místy výletů s jeho rodinou.
Software pro testování zabezpečení zneužíván k instalaci malware
Placený nástroj Shellter, doposud poskytovaný jenom prověřeným zákazníkům, je aktuálně zneužíván ke krádeži informací. Nástroj, který je původně určen pro bezpečnostní týmy pro tzv. Red teaming, se dostal do rukou zločinců a ti ho nyní aktivně zneužívají.
Pricip Shellteru spočívá ve stažení a spuštění libovolného škodlivého kódu na cílovém stroji. Během tohoto procesu se vyhýbá detekci. Obvykle se tak využívá pro testování, zdali jsou obránci schopni odhalit a vypořádat se s útoky podobnými těm, se kterými je možné se setkat od různých APT skupin.
Falešná žádost o resetování hesla
Britský obchodní řetězec Marks & Spencer potvrdil, že se stal obětí ransomwarového útoku. Útočníci se vydávali za jednoho z 50 000 lidí spolupracujících se společností, aby oklamali externího dodavatele služby a přiměli ho k resetování hesla zaměstnance.
To vedlo k nasazení ransomwaru DragonForce, který zašifroval servery M&S a údajně způsobil únik 150 GB dat. Firma se k výplatě výkupného nevyjádřila, ale uvedla, že komunikaci s útočníky ponechala na profesionálech a spolupracuje s britskými úřady.
Zranitelnosti v Ruckus vSZ a RND
V produktech Ruckus Wireless (Virtual SmartZone a Network Director) bylo objeveno devět vážných zranitelností, včetně možnosti obejít autentizaci, možnosti vzdáleného spuštění kódu (RCE) či čtení libovolných souborů. Útočník může navíc získat administrátorský nebo root přístup a plně kompromitovat celou síťovou infrastrukturu.
Některé chyby lze navíc řetězit a obejít tak vícevrstvou ochranu. Výrobce zatím neposkytl opravy, proto CERT/CC doporučuje používat tyto produkty pouze v izolovaných sítích s omezeným přístupem a zabezpečenou komunikací.
Kritické zranitelnosti v sudo
Bezpečnostní výzkumníci objevili kritickou zranitelnost zvýšení oprávnění v populárním nástroji Linux Sudo, jakož i další, která zůstala skrytá více než deset let. Sudo je nainstalováno na 99 % serverů a pracovních stanic Linux, což znamená přibližně 30–50 milionů koncových bodů pouze v USA.
První zranitelnost CVE-2025–32463 má kritickou závažnost a umožňuje lokálním uživatelům získat plný root přístup prostřednictvím zneužití funkce chroot. Problém vzniká kvůli povolení neprivilegovanému uživateli volat chroot() na zapisovatelné cestě pod jejich kontrolou. Zranitelnost byla zavedena v červnu 2023 a postihuje verze Sudo 1.9.14 – 1.9.17, ověřeno na Ubuntu 24.04.1 a Fedora 41 Server.
Druhá zranitelnost má nízkou závažnost, ale zůstala nepovšimnuta 12 let od implementace možnosti „host“ v kódu Sudo. Postihuje verze Stable 1.9.0 – 1.9.17 a Legacy 1.8.8 – 1.8.32, může být využita pouze s konfiguracemi používajícími direktivy Host nebo Host_Alias v podnikových prostředích a nevyžaduje exploit pro zvýšení oprávnění.
Uživatelům se důrazně doporučuje nainstalovat Sudo 1.9.17p1 nebo novější verzi k odstranění obou zranitelností. Hlavní konzultant Stratascale Rich Mirch zdůrazňuje, že dlouho neodhalené zranitelnosti odhalují kritické mezery ve viditelnosti digitálních infrastruktur a představují provozní rizika, která mohou podkopat důvěru a dodržování předpisů. Vedoucí pracovníci by měli provést okamžitý audit prostředí k identifikaci slepých míst, zajistit týmům schopnosti detekce a opravit všechny zranitelné systémy, přičemž by měli upřednostnit sdílená prostředí a internetové zdroje. Mirch varoval, že pokud tato zranitelnost zůstala neodhalena, pravděpodobně existují i další.
Kyberbezpečnost na dovolené
Léto a prázdniny jsou časem odpočinku, cestování a digitální lehkovážnosti. Právě v tomto období jsme paradoxně často nejzranitelnější – opouštíme pracovní rutinu, připojujeme se na veřejné Wi-Fi sítě, sdílíme fotky z dovolené a zapomínáme na základní zásady digitální hygieny. Kyberzločinci to vědí a čekají na příležitost.
Aby se vaše dovolená nezměnila ve stresující řešení ztracených dat, hacknutých účtů nebo firemního úniku, připravili jsme pro vás praktický přehled, jak se na cestách chovat kyberneticky správně.
Ve zkratce
- Oblíbené heslo 123456 opět na výsluní, tentokrát při úniku dat milionů zájemců o práci v McDonald’s
- Celosvětový emailový detox – ohromný výpadek Microsoft Outlook
- Tolik škody a přitom jen dva řádky kódu. Do doplňku ETHCode pro populární vývojové prostředí VSCode dokázal útočník propašovat škodlivý kód skrze zdánlivě užitečný pull request
- Facebook žádá uživatele o povolení „cloudového zpracování“ fotografií z telefonu pro tvorbu koláží a rekapitulací a to i když nejsou nahrané v aplikaci (prozatím jen v USA a Kanadě)
- Podvodníci volají a píšou vysoce postaveným úředníkům hlasem Marca Rubia
- Nemocnice jako snadný a přitažlivý cíl pro hackery
- Phishingová kampaň v reakci na populární Amazon Prime výprodeje
Pro pobavení
Hurá, aspoň někdo je zná!
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
