Přehled událostí v kybernetické bezpečnosti z týdne 8.–14. května

Bezpečnostní specialisté ze společnosti Trend Micro publikovali 9. května report o novém botnetu, složeném z předmětů kategorie internetu věcí (IoT). Jak s pomocí vyhledávacího nástroje Shodan zjistili, malwarem, který za sítí nazývanou Persirai stojí, je ohroženo na 120 tisíc OEM kamer. Zmíněný virus, využívající ke kompromitaci zařízení zranitelnost objevenou v březnu 2017, je založen na částech zdrojového kódu nástroje Mirai, který ovládal stejnojmenný IoT botnet, s jehož pomocí byly v minulosti realizovány rozsáhlé DDoS útoky.

Švýcarská společnost Modzero popsala případ keyloggeru začleněného přinejmenším od konce roku 2015 do některých modelů notebooků a tabletů společnosti HP. Konkrétně se jedná o soubor MicTray.exe příslušící ke zvukovému driveru firmy Conexant, který dotyčnému řadiči umožňuje reagovat na stisky určitých kláves. V tomto případě však soubor zaznamenával veškerý zapsaný text, který odesílal prostřednictvím dolaďovacího rozhraní, nebo ukládal do logu na pevný disk. HP na situaci v rámci ochrany uživatel reagoval vydáním patche, který funkci blokuje.

Reuters 11. května informoval o (patrně ruských) kyberútocích vůči energetickému sektoru pobaltských států. Aktéři, kteří za kampaněmi stojí, měli dle oslovených zdrojů z bezpečnostní komunity a dalších zasvěcených osob minimálně po dobu dvou let pokradmu pronikat do sítí tamního energo průmyslu. V regionu zaznamenané kyber akce, spojované s účastí ruských státních složek, údajně zahrnují i dosud nemedializované případy DDoS útoku na portál ovládající rozvod elektřiny a pokusu o narušení distribuční sítě ropy (rovněž prostřednictvím DDoS) z konce roku 2015. Tou dobou mělo dojít také k napadení neupřesněné energetické infrastruktury realizované s pomocí malwaru zaměřeného na síťové vybavení zprostředkovávající spojení mezi průmyslovými systémy a běžnou výpočetní technikou. Oslovení zástupci NATO se obávají, že útočníci tímto způsobem zjišťují slabiny daných sítí, jichž může být zneužito při kybernetickém úderu na energetický sektor, jaký opakovaně postihl Ukrajinu.

Počínaje pátkem 12. května byla zaznamenána celosvětová kampaň ransomwaru WannaCry, která postihla statisíce uživatelů ve více než 150 státech. Patrně nejhůře byl zasažen anglický zdravotnický sektor a dopady zaznamenala i řada dalších institucí, včetně ruského ministerstva vnitra, španělské odnože telekomunikační firmy Telefonica a automobilky Renault, která musela přerušit výrobu v několika evropských provozovnách. Dílčí případy napadení byly zaznamenány i v České republice. Šíření původního kmenu infekce se podařilo zpomalit bezpečnostní záplatou, kterou Microsoft vydal pro starší operační systémy a využitím poznatku, že je virus designován tak, aby se deaktivoval, pakliže detekuje konkrétní přednastavenou doménu. Kromě klasických počítačů byl zaznamenán i minimálně jeden případ, kdy WannaCry zablokoval lékařský přístroj sloužící pro účely magnetoskopické rezonance, který využíval platformu Windows Embedded. Autoři kampaně jsou neznámí, nicméně na základě dostupných indicií se spekuluje, že je původcem APT skupina Lazarus, spojovaná se Severní Korejí.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace