Postřehy z bezpečnosti: unikly přístupy k 74 tisícům zařízení FortiGate

Bezpečnostní výzkumníci upozornili na únik dat označovaný jako FortiBleed, který odhalil VPN přístupové údaje spojené s téměř 74 tisíci zařízeními Fortinet FortiGate po celém světě. Databázi s přístupovými údaji objevil bezpečnostní expert Volodymyr „Bob” Diachenko , který narazil na server obsahující uživatelská jména, e-mailové adresy a hesla v čitelné podobě. Podle společnosti Hudson Rock únik zasáhl 21 632 unikátních domén  a zahrnoval 73 932 unikátních URL adres firewallů ve 194 zemích světa.

Mezi organizacemi, jejichž zařízení se v uniklé databázi objevila , patří například společnosti Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota nebo čínské energetické podniky. Databáze navíc obsahovala informace o tržbách, odvětví podnikání a počtu zaměstnanců jednotlivých firem, což mohlo představovat cenné informace pro potenciální útočníky. Správci si mohou ověřit, zda se jejich doména v databázi nachází, a to prostřednictvím služby FortiBleed  společnosti Hudson Rock .  

Zatím není jasné, jakým způsobem byly přístupové údaje získány. Podle dostupných informací mohly pocházet z více zdrojů, včetně dřívějších kompromitací, infostealer malwaru nebo zneužití starších zranitelností. Následná analýza Diachenka naznačuje, že za operací pravděpodobně stojí rusky mluvící skupina  specializující se na útoky proti SSL VPN zařízením Fortinet FortiGate. Rozsah operace naznačují i zveřejněná čísla z Diachenkovy analýzy. Skupina měla provést přibližně 1,16 miliardy pokusů o získání přihlašovacích údajů proti více než 320 tisícům zařízení FortiGate a dalších 3,1 miliardy pokusů proti zhruba 163 tisícům MSSQL serverů. 

Pluginy pro JetBrains IDE kradly API klíče k AI službám 

Na JetBrains Marketplace se objevila sada škodlivých pluginů, které se tvářily jako užitečné nástroje pro vývojáře. Nabízely funkce spojené s umělou inteligencí, generováním testů, kontrolou kódu nebo prací s Gitem . Ve skutečnosti ale cílily na citlivé údaje, konkrétně na API klíče k AI službám. Incident je zajímavý hlavně tím, že nešlo o klasický malware poslaný mailem, ale o doplňky dostupné přímo v oficiálním marketplace pro vývojářské IDE. 

Podle zjištění bezpečnostní firmy Aikido šlo nejméně o 15 pluginů publikovaných pod sedmi různými účty. Dohromady měly téměř 70 tisíc instalací , i když počet stažení nemusí nutně odpovídat počtu reálně zasažených uživatelů. Pluginy používaly názvy, které měly vzbudit důvěru a zapadnout mezi běžné AI nástroje pro vývojáře. Objevily se mezi nimi například DeepSeek AI Assis­t, CodeGPT AI Assistant ne­bo AI Coder Review. 

Plugin se navenek choval jako běžný doplněk do IDE a uživatel neměl na první pohled důvod k podezření. Ve chvíli, kdy do něj zadal svůj API klíč a uložil nastavení, doplněk klíč odeslal na server útočníka. Podle vyjádření JetBrains odcházely klíče jako plaintext JSON přes HTTP na IP adresu 39.107.60[.]51 . To znamená, že nešlo o sofistikované skrývání komunikace, ale o přímočarý sběr údajů od uživatelů. 

JetBrains po nahlášení incidentu pluginy z Marketplace odstranil, zablokoval související vydavatelské účty a označil doplňky jako nefunkční, takže se v nainstalovaných IDE deaktivovaly při dalším spuštění. Firma zároveň uvedla, že nešlo o kompromitaci její interní infrastruktury . Problém tedy nebyl v samotném JetBrains IDE, ale v důvěře k rozšířením třetích stran. 

Pro bezpečnější práci s API klíči a rozšířeními třetích stran by vývojáři měli instalovat pouze důvěryhodné pluginy, ověřovat jejich autora, historii aktualizací a požadovaná oprávnění. API klíče by neměly mít širší práva, než je nezbytné. Zároveň je vhodné nastavit limity útraty a pravidelně sledovat spotřebu kreditů. Citlivé údaje je lepší spravovat pomocí nástrojů pro secrets management, než je zadávat přímo do doplňků. Stejně jako u balíčků z npm nebo PyPI platí, že i plugin do IDE se může stát vstupním bodem útoku. 

Microsoft Teams poprvé zneužit pro skrytou C2 komunikaci 

Společnost Symantec popsala první známý případ malwaru, který pro komunikaci s řídicí infrastrukturou zneužívá relay servery Microsoft Teams. Škodlivý software označený jako Backdoor.Turn  využívá protokol TURN, který je běžnou součástí technologií pro přenos hlasu či videa v reálném čase. Tyto servery fungují jako prostředník v případech, kdy mezi dvěma zařízeními nelze navázat přímé spojení – například kvůli firewallům nebo síťovým omezením (NAT) – a data proto bezpečně přeposílají přes vlastní infrastrukturu. Útočníci v tomto případě nevyužili softwarovou zranitelnost v Microsoft Teams, ale zneužili legitimní mechanismus, který aplikace běžně používá ke zprostředkování hovorů. 

Technický základ útoku vychází z výzkumu společnosti Praetorian pod názvem Ghost   Calls . Ten ukázal, že krátkodobé TURN přihlašovací údaje, které komunikační platformy jako Microsoft Teams nebo Zoom automaticky vydávají klientům v případech, kdy nelze navázat přímé spojení, lze zneužít k vytváření síťových tunelů přes jejich relay infrastrukturu. Takto vzniklý kanál následně umožňuje přenášet libovolný síťový provoz prostřednictvím infrastruktury původně určené pro hlasovou a video komunikaci. 

Incident byl podle Symantecu zaznamenán v prosinci roku 2025 při útoku na americkou společnost. Za kampaní měla stát ransomware skupina DragonForce, která nasadila malware Backdoor.Turn jako součást širší kompromitace prostředí. Koncept Ghost Calls byl zveřejněn v srpnu 2025 a ve stejném měsíci představen na konferenci Black Hat USA . Případ Backdoor.Turn dobře ilustruje, jak rychle se mohou nové výzkumné koncepty přesunout z konferenčních pódií přímo do arzenálu útočníků. 

Kodak – další velká ryba v síti ShinyHunters 

Společnost Kodak, globální gigant v oblasti profesionálních produktů a služeb pro reprografii, potvrdila incident, při kterém „neoprávněná třetí strana nelegálně získala dočasný přístup k omezenému množství firemních dat“. Firma byla založena v roce 1880 jako Eastman Kodak Company a sídlí v New Yorku. Dnes je těžiště jejího podnikání hlavně v oblasti tiskových technologií, chemikálií a materiálů, ale v době analogové fotografie byly její fotoaparáty a filmové svitky rozšířené v maloobchodním prodeji po celém světě. K útoku se přihlásila skupina ShinyHunters, a tvrdí, že údajně odcizila více než 2,2 milionu záznamů, které obsahují osobní údaje zákazníků  a interní firemní data. Zároveň pohrozila zveřejněním odcizených informací. Kodak je mimo jiné vlastníkem těžko představitelných zhruba 79.000 patentů, které si za svoji více než stotřicetiletou historii zaregistroval na celém světě. 

ShinyHunters se nejnověji zviditelnila sérií útoků proti více než 100 organizacím , při kterých byla zneužita zero-day zranitelnost v podnikovém softwarovém balíku Oracle PeopleSoft. Ten je používán pro správu klíčových firemních dat, např. lidských zdrojů, mzdové agendy nebo dodavatelských vazeb. Tato velmi citlivá data jsou primárním cílem útočníků, a jejich zveřejnění představuje pro organizace jak škodu reputační, tak i finanční. Přibližně dvě třetiny (68 %) těchto organizací tvořily vysoké školy a univerzity, a většina obětí se nacházela ve Spojených státech. 

Z technického pohledu je na této poslední vlně útoků znepokojivý hlavně znatelný posun ke stále sofistikovanějším metodám průniku. Historicky byli ShinyHunters spojováni s prostými krádežemi přihlašovacích údajů do systémů a databází, a získaná data obratem posloužila jako předmět výkupného. Nyní však byla použita zero-day zranitelnost v aktuálních verzích Oracle PeopleSoft , tedy vektor útoku, vůči kterému v tu chvíli výrobce softwaru neposkytuje ochranu, a není detekovatelný tradičními skeny zranitelností. Výzkumníci ze společnosti Google Mandiant uvedli, že mezi 27. květnem a 9. červnem 2026 sledovali zneužívání kritické zranitelnosti umožňující vzdálené spuštění kódu, CVE-2026–35273, která získala hodnocení CVSS 9,8. Společnost Oracle vyzývá uživatele, aby provedli okamžitá opatření a nainstalovali opravu, která v aktuálních verzích PeopleSoft 8.61 a 8.62. problém řeší. 

Co však zůstává stále stejné je finanční motivace útočníků. V květnu se jim podařilo „dosáhnout dohody“ , což je v tomto případě eufemismus pro zaplacení výkupného, se společností Canvas. Ta je výrobcem velice rozšířeného výukového systému pro vysoké školy.  ShinyHunters z něj zcizili přes 6 terabytů dat, včetně osobních údajů studentů, a obsahu soukromé komunikace mezi nimi, ale i směrem k učitelům. Přestože v tomto i dalších případech je zaplacení výkupného za nezveřejnění uniklých dat z určitého úhlu pohledu pochopitelné, tak zároveň znamená posílení motivace útočníků. A té mají, ve světle posledních týdnů, už nyní víc než dost. 

Ve zkratce  

• Útočníci zneužívají vývojář­ské nástroje k šíření malwaru 
• Tapety ze Steam Workshopu šířily malware přes Wallpaper Engine 
• Backdoor ukrytý v pracovní nabídce na LinkedInu
• Ukrajina získala přístup k expertům evropské kybernetické rezervy při řešení závažných  kybernetických útoků 
• Po 27 letech byla odhalena chyba v PPP stacku OpenBSD umožňující obejít autentizaci 

Pro pobavení  

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…