Přehled událostí v kybernetické bezpečnosti z týdne 1.-7. května

Dění, zaznamenanému v kybernetické bezpečnosti za uplynulý týden, dominoval především rozsáhlý únik interních informací hnutí francouzského prezidentského kandidáta Emmanuela Macrona, En Marche!, k němuž došlo 5. května. Některé z uveřejněných dokumentů, datovaných až do 24. dubna tohoto roku, obsahují podle provedených analýz metadata vykazující známky toho, že byla pozměněna osobami používajícími ruský jazyk. Tato indicie však kvůli snadné zfalšovatelnosti postrádá průkaznost. V souvislosti s identitou pachatele bylo již dříve poukazováno na to, že okolnosti a provedení útoku odpovídají postupům Ruské federace.

Ruské zavinění naznačil ve svém prohlášení z 9. května i šéf U.S. Cyber Command Michael Rogers, který oznámil, že americká bezpečnostní komunita v předstihu Francii varovala před pokusy Ruské federace o průnik do jejích počítačoých sítí. Dále dodal, že se Washington tímto způsobem upozorňuje i Německo a Spojené království.

Výzkumníci z Palo Alto Networks publikovali 3. května zprávu o objevu nového malwaru používaného při špionážních kampaních, nazvaného Kazuar. Virus pokládají za vylepšenou verzi nástrojů (pravděpodobně ruské) skupiny Turla zaměřující se už více než 20 let na politické, vojenské a vzdělávací instituce po celém světě, nedávno například na švýcarskou zbrojní firmu Ruag. Na základě analýzy zdrojového kódu uvedeného viru lze usuzovat, že existuje i ve verzích pro operační systémy Mac OS a UNIX. Kromě modularity, podpory rozmanitých komunikačních protokolů pro exfiltraci dat a dalších obvyklých propriet se Kazuar vyznačuje především schopností spustit na napadeném počítači webový server, což umožňuje malware řídit flexibilněji a s nižším rizikem odhalení.

Podle poznatků bezpečnostní společnosti Proofpoint byla nedávno nalezena zranitelnost Microsoft Office (CVE-2017-0199), kterou čínská APT skupina TA459 využívala k útokům na finanční analytiky z Ruska a okolních zemí zaměřující se na oblast telekomunikací. Právě Ruská federace a sousedící státy patří k typickým cílům této skupiny, spojované v minulosti s kybernetickou špionáží vůči armádní sféře a telekomunikačnímu sektoru. TA459 používá rozmanité spektrum malwaru včetně PlugX, NetTraveler, Saker, Netbot, DarkStRat a ZeroT. Nedávno objevené útoky spoléhající na spear phishing, s jehož pomocí byl doručen Word dokument, který iniciací uvedené zranitelnosti napadený systém infikoval, pokládá Proofpoint za pokračování dlouhodobé kampaně trvající již od roku 2015.

Firma GuardiCore Labs 4. května informovala o novém rozsáhlém botnetu na generování kryptovalut, především měny Monero. Takzvaná síť Bondnet, poprvé zaznamenaná v lednu 2017, nyní zahrnuje na 15 tisíc kompromitovaných serverů, běžících na platformách Windows Server. K jejich ovládnutí používají útočníci rozmanité exploity i brute-force útoky na slabě zabezpečené počítače. Následně jsou napadené systémy infikovány malwarem, jenž umožňuje instalaci programu na těžení digitálních měn, ale i potenciální využití v ohledu kyberšpionáže či provádění DDoS útoků.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace